İşletmeler operasyonlarını tarayıcıya kaydırmaya devam ettikçe, güvenlik ekipleri artan siber zorluklarla karşı karşıya. Aslında, güvenlik olaylarının% 80’inden fazlası artık Chrome, Edge, Firefox ve diğer tarayıcılar aracılığıyla erişilen web uygulamalarından kaynaklanmaktadır. Özellikle hızlı gelişen bir düşman olan dağınık örümcek, bu tarayıcılara özel olarak hassas verileri hedefleyerek işletmelere zarar verme görevini yaptı.
UNC3944, Octo Tempest veya Muddlu Terazi olarak da adlandırılan dağınık örümcek, insan kimliği ve tarayıcı ortamlarının hassas hedeflenmesi yoluyla son iki yılda olgunlaştı. Bu değişim onları Lazarus Grubu, Fancy Bear ve Revil gibi diğer kötü şöhretli siberganglardan ayırıyor. Takviminiz, kimlik bilgileriniz veya güvenlik jetonlarınız gibi hassas bilgiler tarayıcı sekmesinde canlı ve iyi ise, dağınık örümcek bunları elde edebilir.
Bu makalede, dağınık Spider’ın saldırı yöntemleri ve bunları yollarında nasıl durdurabileceğiniz hakkında ayrıntıları öğreneceksiniz. Genel olarak, bu, organizasyonun tarayıcı güvenliğini yardımcı bir kontrolden savunmalarının merkezi bir direğine yükseltmek için her yerde CISOS’a uyandırma çağrısıdır.
Dağınık Örümcek Tarayıcı odaklı saldırı zinciri
Dağınık örümcek, hassas sömürü lehine yüksek hacimli kimlik avından kaçınır. Bu, kullanıcıların en çok kullanılan günlük uygulamalarına olan güvenini kullanarak, kaydedilmiş kimlik bilgilerini çalarak ve tarayıcı çalışma zamanını manipüle ederek yapılır.
- Tarayıcı hileleri: Tarayıcı tarayıcısı (BITB) kaplamaları ve otomatik doldurma ekstraksiyonu gibi teknikler, uç nokta algılama ve yanıt (EDR) gibi geleneksel güvenlik araçları tarafından algılanırken kimlik bilgilerini çalmak için kullanılır.
- Oturum token hırsızlığı: Dağınık örümcek ve diğer saldırganlar, tarayıcının belleğinden jetonları ve kişisel çerezleri yakalamak için çok faktörlü kimlik doğrulama (MFA) atlar.
- Kötü niyetli uzantılar ve JavaScript enjeksiyonu: Kötü amaçlı yükler sahte uzantılarla teslim edilir ve sürücü teknikleri ve diğer gelişmiş yöntemler aracılığıyla tarayıcıyı yürütür.
- Tarayıcı tabanlı keşif: Web API’leri ve yüklü uzantıların araştırılması, bu saldırganların kritik dahili sistemlere erişim elde etmesini sağlar.
Bu taktiklerin tam teknik dökümü için bkz. Tarayıcının içinde dağınık örümcek: uzlaşma ipliklerini izleme.
Stratejik Tarayıcı-Katman Güvenliği: CISOS için bir plan
Dağınık örümcek ve diğer gelişmiş tarayıcı tehditlerine karşı koymak için CISOS, aşağıdaki alanlarda çok katmanlı bir tarayıcı güvenlik stratejisi kullanmalıdır.
1. Çalışma zamanı komut dosyası koruması ile kimlik bilgisi hırsızlığı durdurun
Kimlik avı saldırıları onlarca yıldır var. Bununla birlikte, dağınık örümcek gibi saldırganlar, son yıllarda tekniklerini on kat geliştirdiler. Bu gelişmiş kimlik avı kampanyaları artık doğrudan tarayıcının içinde yürütülen kötü amaçlı JavaScript yürütmelere güvenerek EDR gibi güvenlik araçlarını atlıyor. Bu, kullanıcı kimlik bilgilerini ve diğer hassas verileri çalmak için yapılır. Kimlik avı kaplamalarını ve kimlik bilgilerini çalan tehlikeli kalıpları engellemek için, kuruluşların davranışı analiz etmek için JavaScript çalışma zamanı korumasını uygulamalıdır. Bu tür bir korumayı uygulayarak, güvenlik liderleri saldırganların çok geç olmadan erişim kazanmasını ve kimlik bilgilerini çalmasını engelleyebilirler.
2. Oturumları koruyarak hesap devralmalarını önleyin
Kullanıcı kimlik bilgileri yanlış ellere geçtikten sonra, dağınık örümcek gibi saldırganlar, çerezleri ve jetonları çalarak daha önce kimliği doğrulanmış oturumları ele geçirmek için hızla hareket edecekler. Tarayıcı oturumlarının bütünlüğünü güvence altına almak en iyi şekilde yetkisiz komut dosyalarının erişim kazanması veya bu hassas eserleri püskürtmekle sınırlandırarak elde edilebilir. Kuruluşlar, cihaz duruşu, kimlik doğrulaması ve ağ güveni gibi bileşenlere dayalı bağlamsal güvenlik politikalarını uygulamalıdır. Oturum belirteçlerini bağlamla ilişkilendirerek, işletmeler, kimlik bilgileri tehlikeye girdikten sonra bile hesap devralmaları gibi saldırıları önleyebilir.
3. Genişletme yönetişimi ve haydut senaryoları engelleyin
Tarayıcı uzantıları son yıllarda son derece popüler hale geldi ve Google Chrome, Chrome Web Store’da indirmek için 130.000’den fazla. Verimlilik arttırıcı olarak hizmet edebilse de, saldırı vektörleri haline geldiler. Kötü niyetli veya kötü incelenen uzantılar istilacı izinler isteyebilir, tarayıcıya kötü amaçlı komut dosyaları enjekte edebilir veya saldırı yükleri için dağıtım sistemi olarak hareket edebilir. İşletmeler, onaylanmış izinleri olan önceden onaylanmış uzantılara izin vermek için sağlam uzatma yönetişimi uygulamalıdır. Aynı derecede önemli olan, güvenilmeyen komut dosyalarını yürütmeden önce engelleme ihtiyacıdır. Bu yaklaşım, meşru uzantıların mevcut kalmasını sağlar, böylece kullanıcının iş akışı bozulmaz.
4. Meşru iş akışlarını kırmadan keşifleri bozun
Dağınık Örümcek gibi saldırganlar genellikle tarayıcı içi keşif yoluyla saldırılara başlayacaklar. Bunu, çevreyi haritalamak için WebRTC, CORS veya parmak izi gibi API’leri kullanarak yaparlar. Bu, sık kullanılan uygulamaları tanımlamalarına veya belirli kullanıcı davranışlarını izlemelerine olanak tanır. Bu keşifleri durdurmak için kuruluşlar, saldırı grubuna yanlış bilgi veren hassas API’leri devre dışı bırakmalı veya değiştirmelidir. Bununla birlikte, BYOD ve yönetilmeyen cihazlarda özellikle önemli olan meşru iş akışlarının kırılmasını önlemek için uyarlanabilir politikalara ihtiyaç vardır.
5. Tarayıcı telemetrisini eyleme geçirilebilir güvenlik istihbaratına entegre edin
Tarayıcı güvenliği, kötü amaçlı yazılımsız saldırılar için savunmanın son mil olmasına rağmen, mevcut bir güvenlik yığınına entegre etmek tüm ağı güçlendirecektir. Tarayıcı verileriyle zenginleştirilmiş etkinlik günlüklerini SIEM, SOAR ve ITDR platformlarına uygulayarak, CISOS tarayıcı olaylarını çok daha dolgun bir resim için uç nokta etkinliği ile ilişkilendirebilir. Bu, SOC ekiplerinin daha hızlı olay tepkileri kazanmasını ve tehdit avcılık faaliyetlerini daha iyi desteklemelerini sağlayacaktır. Bunu yapmak, saldırılara karşı uyarı sürelerini iyileştirebilir ve bir kuruluşun genel güvenlik duruşunu güçlendirebilir.
Tarayıcı Güvenlik Kullanım Örnekleri ve İş Etkileri
Tarayıcı-yerli korumanın dağıtılması ölçülebilir stratejik faydalar sağlar.
| Kullanım Kılıfı | Stratejik avantaj |
| Kimlik avı ve saldırı önleme | Yürütmeden önce tarayıcıdaki kimlik hırsızlığını durdurur |
| Web Uzantı Yönetimi | Bilinen ve bilinmeyen web uzantılarından kontrol yüklemeleri ve izin istekleri |
| Genai’nin güvenli etkinleştirilmesi | Üretken AI araçlarına uyarlanabilir, politika tabanlı ve bağlama duyarlı erişim uygular |
| Veri kaybı önleme | Yetkisiz taraflarla hiçbir kurumsal verinin maruz kalmasını veya paylaşılmasını sağlar |
| BYOD ve Yüklenici Güvenliği | Uyumsuz tarayıcı kontrolleri ile yönetilmeyen cihazları korur |
| Sıfır Güven Takviyesi | Her tarayıcı oturumunu güvensiz bir sınır olarak ele alır ve davranışı bağlamsal olarak doğrular |
| Uygulama bağlantısı | Bir kullanıcının doğru koruma seviyeleri ile doğru bir şekilde doğrulanmasını sağlar |
| Güvenli Uzak SaaS erişimi | Ek ajanlara veya VPN’lere ihtiyaç duymadan dahili SaaS uygulamalarına güvenli bağlantı sağlar |
Güvenlik Liderliği Önerileri
- Risk Duruşunuzu Değerlendirin: Tarayıcı gibi araçları kullanınTotal ™ Kuruluşunuzda tarayıcı güvenlik açıklarının nerede olduğunu belirlemek için.
- Tarayıcı Korumasını Etkinleştir: Chrome, Edge, Firefox, Safari ve diğer tüm tarayıcılar arasında gerçek zamanlı JavaScript koruması, jeton güvenliği, uzatma gözetimi ve telemetri yapabilen bir çözümü dağıtın.
- Bağlamsal politikaları tanımlayın: Web API’leri, kimlik bilgilerinin yakalanması, web uzantıları yükleme ve indirmelerle ilgili kuralları uygular.
- Mevcut yığınınızla entegre edin: Tarayıcı özellikli tehdit telemetrisini SIEM, Soar veya EDR araçlarına günlük olarak kullandığınızı besleyin. Bu, algılama ve yanıt özelliklerinizi zenginleştirecektir.
- Ekibinizi eğitin: Sıfır güven mimarinizin, SaaS korumanızın ve BYOD erişiminizin temel bir prensibi olarak çimento tarayıcı güvenliği.
- Sürekli test edin ve doğrulayın: Gerçek tarayıcı tabanlı saldırıları simüle edin, böylece savunmalarınızı doğrulayabilir ve kör noktalarınızın nerede olabileceğini öğrenebilirsiniz.
- Tarayıcılar arasında kimlik erişimi sertleşiyor: Her oturumda kimliği sürekli olarak doğrulayan uyarlanabilir kimlik doğrulamasını yerleştirin.
- Tarayıcı uzantılarını düzenli olarak denetleyin: Kullanılan tüm uzantıları takip etmek için inceleme süreçleri geliştirin.
- Web API’lerine en az ayrıcalık uygulayın:
- Hassas tarayıcı API’lerini yalnızca bunları gerektiren iş uygulamalarıyla sınırlayın.
- Tarayıcı tehdit avını otomatikleştirin: Tarayıcı telemetrisini kullanın ve şüpheli desenleri avlamak için verileri mevcut yığınınızla entegre edin.
Son Düşünce: Yeni Kimlik Çevresi Olarak Tarayıcılar
Dağınık Örümcek Grubu, saldırganların taktiklerini bir uç noktayı hedeflemekten işletmenin en çok kullanılan uygulaması olan tarayıcıya odaklanmaya nasıl geliştirebileceğini kişileştiriyor. Bunu kimlikleri çalmak, oturumları devralmak ve bir kullanıcının ortamında iz bırakmadan kalmak için yaparlar. CISOS, bu kimliğe dayalı tehditleri durdurmak için tarayıcı-yerli güvenlik kontrollerini uyarlamalı ve kullanmalıdır.
Sürtünmesiz, çalışma zamanı farkında bir güvenlik platformuna yatırım yapmak cevaptır. Güvenlik ekipleri gerici olmak yerine kaynaktaki saldırıları durdurabilir. Tüm güvenlik liderleri için, kurumsal tarayıcı koruması sadece dağınık örümcek gibi saldırganları azaltmak için çalışmaz; Pencereyi işletmenize güçlendirir ve tüm SaaS uygulamaları, uzaktan çalışma ve ötesi için güvenlik duruşunu yükseltir.
Güvenli kurumsal tarayıcılar ve kuruluşunuza nasıl fayda sağlayabilecekleri hakkında daha fazla bilgi edinmek için bir Seraphic uzmanıyla konuşun.