Heroverweging van de beveiliging voor verspreide spin

Cyberbeveiliging
Heroverweging van de beveiliging voor verspreide spin

Terwijl ondernemingen hun activiteiten blijven verplaatsen naar de browser, worden beveiligingsteams geconfronteerd met een groeiende reeks cyberuitdagingen. In feite is meer dan 80% van de beveiligingsincidenten nu afkomstig van webapplicaties die zijn toegankelijk via Chrome, Edge, Firefox en andere browsers. Een bijzonder snel evoluerende tegenstander, verspreide Spider, heeft het hun missie gemaakt om schade aan te richten op ondernemingen door specifiek gevoelige gegevens over deze browsers te richten.

Verspreide spin, ook wel UNC3944, Octo Tempest of Muddled Libra genoemd, is de afgelopen twee jaar volwassen geworden door precisie -targeting van menselijke identiteit en browseromgevingen. Deze verschuiving onderscheidt hen van andere beruchte cybergangs zoals Lazarus Group, Fancy Bear en Revil. Als gevoelige informatie zoals uw agenda, referenties of beveiligingstokens leeft en goed in browsertabs is, kan Scattered Spider ze verwerven.

In dit artikel leert u details over de aanvalsmethoden van de verspreide Spider en hoe u ze in hun tracks kunt stoppen. Over het algemeen is dit een wake-up call naar CISOS overal om de browserbeveiliging van de organisatie te verheffen van een aanvullende controle naar een centrale pijler van hun verdediging.

Verspreide Spider’s browser-gerichte aanvalsketen

Verspreide spin vermijdt een groot volume phishing ten gunste van precisie-uitbuiting. Dit wordt gedaan door gebruik te maken van het vertrouwen van gebruikers in hun meest gebruikte dagelijkse toepassing, opgeslagen inloggegevens te stelen en de runtime van de browser te manipuleren.

  • Browsertrucs: Technieken zoals browser-in-the-browser (BITB) -overlays en auto-vul-extractie worden gebruikt om referenties te stelen en tegelijkertijd detectie te ontwijken door traditionele beveiligingshulpmiddelen zoals eindpuntdetectie en respons (EDR).
  • Session token diefstal: Verspreide spin en andere aanvallers zullen multi-factor authenticatie (MFA) omzeilen om tokens en persoonlijke cookies uit het geheugen van de browser te vangen.
  • Kwaadaardige extensies en JavaScript -injectie: Kwaadaardige ladingen worden geleverd door nep-extensies en voert in browser uit via drive-by technieken en andere geavanceerde methoden.
  • Browser-gebaseerde verkenning: Web API’s en het indringen van geïnstalleerde extensies stellen deze aanvallers in staat om toegang tot kritieke interne systemen van toegang te krijgen.

Zie voor een volledige technische uitsplitsing van deze tactieken Verspreide spin in de browser: tracering van drusten van compromis.

Strategische browser-laagbeveiliging: een blauwdruk voor cisos

Om verspreide spider en andere geavanceerde browserbedreigingen tegen te gaan, moeten CISO’s een meerlagige browserbeveiligingsstrategie gebruiken in de volgende domeinen.

1. Stop diefstal van de referentie met runtime scriptbescherming

Phishing -aanvallen bestaan ​​al tientallen jaren. Aanvallers zoals verspreide Spider hebben de afgelopen jaren echter hun technieken vertoogd. Deze geavanceerde phishing -campagnes zijn nu afhankelijk van kwaadaardige JavaScript -uitvoeringen die direct in de browser worden uitgevoerd en omzeilen beveiligingstools zoals EDR. Dit wordt gedaan om gebruikersreferenties en andere gevoelige gegevens te stelen. Om phishing -overlays met succes te blokkeren en gevaarlijke patronen te onderscheppen die inloggegevens stelen, moeten organisaties JavaScript -runtime -bescherming implementeren om gedrag te analyseren. Door dergelijke bescherming toe te passen, kunnen beveiligingsleiders voorkomen dat aanvallers toegang krijgen en referenties stelen voordat het te laat is.

2. Voorkom accountovernames door sessies te beschermen

Zodra gebruikersreferenties in de verkeerde handen komen, zullen aanvallers zoals Scattered Spider snel gaan om eerder geverifieerde sessies te kapen door cookies en tokens te stelen. Het beveiligen van de integriteit van browsersessies kan het beste worden bereikt door ongeautoriseerde scripts te beperken door toegang te krijgen of deze gevoelige artefacten te exfiltreren. Organisaties moeten contextueel beveiligingsbeleid afdwingen op basis van componenten zoals apparaathouding, identiteitsverificatie en netwerkvertrouwen. Door sessie -tokens aan context te koppelen, kunnen ondernemingen aanvallen zoals accountovernames voorkomen, zelfs nadat referenties zijn aangetast.

3. Handhaven van extensie -governance en blokkeersch -scripts

Browserextensies zijn de afgelopen jaren extreem populair geworden, met Google Chrome met 130.000+ om te downloaden in de Chrome Web Store. Hoewel ze kunnen dienen als productiviteitsboosters, zijn ze ook aanvalsvectoren geworden. Schadelijke of slecht doorgevoelde extensies kunnen invasieve machtigingen aanvragen, kwaadaardige scripts in de browser injecteren of fungeren als het leveringssysteem voor aanvalspayloads. Ondernemingen moeten robuuste extensie-governance afdwingen om vooraf goedgekeurde extensies met gevalideerde machtigingen mogelijk te maken. Even belangrijk is de noodzaak om niet -vertrouwde scripts te blokkeren voordat ze uitvoeren. Deze aanpak zorgt ervoor dat legitieme extensies beschikbaar blijven, dus de workflow van de gebruiker is niet verstoord.

4. Verkenning verstoren zonder legitieme workflows te breken

Aanvallers zoals Scattered Spider beginnen vaak aanvallen door verkenning in de browser. Ze doen dit door API’s zoals WebRTC, Cors of vingerafdrukken te gebruiken om de omgeving in kaart te brengen. Hierdoor kunnen ze vaak gebruikte toepassingen identificeren of specifiek gebruikersgedrag volgen. Om deze verkenning te stoppen, moeten organisaties gevoelige API’s uitschakelen of vervangen door lokvogels die onjuiste informatie aan de aanvallende groep leveren. Er is echter een adaptief beleid nodig om het breken van legitieme workflows te voorkomen, die vooral belangrijk zijn in BYOD en onbeheerde apparaten.

5. Integreer browsertelemetrie in bruikbare beveiligingsinformatie

Hoewel browserbeveiliging de laatste mijl van verdediging is voor aanvallen zonder malware, zal het integreren in een bestaande beveiligingsstapel het hele netwerk versterken. Door activiteitenlogboeken te implementeren die zijn verrijkt met browsergegevens in SIEM, SOAR en ITDR -platforms, kunnen CISO’s browserevenementen correleren met eindpuntactiviteit voor een veel voller beeld. Dit stelt SOC -teams in staat om snellere antwoorden op incidenten te krijgen en de jachtactiviteiten van dreigingen beter te ondersteunen. Als u dit doet, kan de alert tijden bij aanvallen verbeteren en de algehele beveiligingshouding van een organisatie versterken.

Browser beveiligingsgebruiksgebruik en zakelijke gevolgen

Het inzetten van browser-native bescherming levert meetbare strategische voordelen op.

Use case Strategisch voordeel
Phishing & Attack Prevention Stopt in browser diefstal voor de uitvoering
Web Extension Management Controle -installaties en machtigingsverzoeken van bekende en onbekende webextensies
Veilig mogelijk maken van Genai Implementeert adaptieve, beleidsgebaseerde en contextbewuste toegang tot generatieve AI-tools
Preventie van gegevensverlies Zorgt ervoor dat geen bedrijfsgegevens worden blootgesteld of gedeeld met ongeautoriseerde partijen
BYOD & Contractor Security Beveiligt onbeheerde apparaten met de bedieningselementen per sessie browser
Zero Trust -versterking Behandelt elke browser -sessie als een niet -vertrouwde grens, waarbij gedrag contextueel valideert
Toepassingsverbinding Zorgt ervoor dat een gebruiker correct is geverifieerd met de juiste beschermingsniveaus
Beveilig SaaS -toegang op afstand Maakt een veilige verbinding met interne SaaS -apps mogelijk zonder dat er extra agenten of VPN’s nodig zijn

Aanbevelingen voor beveiligingsleiderschap

  1. Beoordeel uw risicobositie: Gebruik tools zoals browserTotal ™ Om te bepalen waar de kwetsbaarheden van de browser in uw organisatie liggen.
  2. Schakel browserbescherming in: Implementeer een oplossing die in staat is tot realtime JavaScript-bescherming, tokenbeveiliging, extensie-toezicht en telemetrie over Chrome, Edge, Firefox, Safari en alle andere browsers.
  3. Definieer contextueel beleid: Regels afdwingen op web -API’s, het vastleggen van referenties, het installeren van webextensies en downloads.
  4. Integreren met uw bestaande stapel: Feed-browser-compatibele dreigingstelemetrie in SIEM-, SOAR- of EDR-tools die u al dagelijks gebruikt. Dit verrijkt uw detectie- en responsmogelijkheden.
  5. Leer je team op: Cementbrowserbeveiliging als een kernprincipe van uw nul trust -architectuur, SaaS -bescherming en BYOD -toegang.
  6. Continu testen en valideren: Simuleer echte browsergebaseerde aanvallen, zodat u uw verdediging kunt valideren en leren waar uw blinde vlekken kunnen zijn.
  7. Harden identiteitstoegang over browsers: Zet adaptieve authenticatie in die zich binnen elke sessie continu valideert.
  8. Regelmatig auditbrowserverlengingen: Ontwikkel beoordelingsprocessen om alle gebruikte uitbreidingen bij te houden.
  9. Pas het minst-privilege toe op web-API’s:
  10. Beperk gevoelige browser -API’s tot alleen de zakelijke apps die ze vereisen.
  11. Automatiseer de jacht op de browser: Maak gebruik van browsertelemetrie en integreer de gegevens met uw bestaande stapel om te jagen op verdachte patronen.

Laatste gedachte: browsers als de nieuwe identiteitsperimeter

De verspreide Spider Group personifieert hoe aanvallers hun tactiek kunnen ontwikkelen van het richten op een eindpunt tot het focussen op de meest gebruikte toepassing van de onderneming, de browser. Ze doen dit om identiteiten te stelen, sessies over te nemen en zonder een spoor in de omgeving van een gebruiker te blijven. CISO’s moeten zich aanpassen en browser-native beveiligingscontroles gebruiken om deze op identiteit gebaseerde bedreigingen te stoppen.

Investeren in een wrijvingsloos, runtime-bewust beveiligingsplatform is het antwoord. In plaats van reactionair te zijn, kunnen beveiligingsteams aanvallen bij de bron stoppen. Voor alle beveiligingsleiders werkt de bescherming van de browservoorbrowsers niet alleen om aanvallers zoals Scattered Spider te verminderen; Het versterkt het venster naar uw onderneming en upgrade de beveiligingshouding voor alle SaaS -applicaties, werk op afstand en daarna.

Voor meer informatie over beveiligde enterprise -browsers en hoe zij uw organisatie kunnen ten goede komen, spreek een serafische expert.

The Hacker News

Thijs Van der Does

Thijs Van der Does

De hoofdredacteur van Techidee.nl is Thijs Van der Does. Thijs begon als een eenvoudige technologie-enthousiast, die altijd op de hoogte was van het laatste nieuws en zijn ontdekkingen deelde met zijn vrienden.

Android -droppers leveren nu SMS -stealers en spyware, niet alleen Banking Trojans

Apple’s nieuwe Clear Case voor iPhone 17 Pro is misschien niet zo duidelijk

Neem contact met ons op

U kunt ons bereiken op onze bedrijfslocatie aan de Hoofdstraat 123, 4567 JH Amsterdam, of bel ons op 0318-1234567. We kijken ernaar uit van u te horen!

[email protected]