Überlegungen zum Schließen der Sicherheitslücke im Browser

Zunächst die weniger erfreuliche Nachricht: Die Browser-Sicherheitslücke ist real, sie nimmt zu und sie ist gefährlich. Trotz umfassender Verteidigungsstrategien nehmen Phishing- und Ransomware-Angriffe weiterhin stark zu. Methoden zur Erkennung und Reaktion nach einer Sicherheitsverletzung versagen definitionsgemäß bei Zero-Day-Phishing-Angriffen. Dies stellt ein erhebliches Problem dar, da mittlerweile 80 % aller Phishing-Angriffe Zero-Day-Angriffe sind und Signaturen umgehen. 
‍

Diese sind als HEAT-Angriffe bekannt. HEAT steht für Highly Evasive Adaptive Threats. Leider bieten Browser und der von ihnen verarbeitete Web-Traffic sowohl Raum für ausweichende als auch für adaptive Angriffe.

Nun die gute Nachricht: Die Browsersicherheit ist kein ungelöstes Problem.

Dieser Artikel ist der erste einer Reihe, die verschiedene Aspekte behandelt, die Sie und Ihre Stakeholder im Prozess der Schließung der Browser-Sicherheitslücke abwägen und berücksichtigen müssen. Wir werden über Folgendes sprechen: 

• Architektur
• Die Wahl des Browsers und ihre Auswirkungen
• Die zunehmende Kritikalität der GenAI-Sicherheit
• Sicherer App-Zugriff und VDI-Reduzierung
• Cloudbasierte Browsersicherheit im Vergleich zu herkömmlicher RBI

In diesem ersten Teil werden wir uns mit der Architektur beschäftigen. Lassen Sie uns zuerst einen genaueren Blick auf das Schlachtfeld werfen.
‍

HEAT-ANGRIFFE

Stark ausweichende und adaptive Bedrohungen (Highly Evasive and Adaptive Threats, HEAT) sind eine Art von Cybersicherheitsbedrohung, die häufig ausgefeilte Techniken wie dynamisches Verhalten, dateilose Angriffe und verzögerte Ausführung einsetzt, um einer Erkennung zu entgehen und herkömmliche Sicherheitsmaßnahmen zu umgehen. Diese Bedrohungen sind darauf ausgelegt, unbemerkt zu bleiben, und können für Sicherheitsexperten besonders schwierig zu erkennen und zu entschärfen sein.

Betrachten Sie den HTML-Schmuggel HEAT-Angriff, der durch genau die HTTP-Methoden ermöglicht wird, die die Dateiübertragung optimieren: Chunked File Transfer (Streaming), Range Requests (Teilinhalt) und automatische Downloads. Bedrohungsakteure betten Malware in diese Dateien ein. Anschließend kann aktiver Code wie Javascript den Download erkennen und die Malware ausführen. HTML-Schmuggel umgeht die netzwerkbasierte Erkennung, da diese aufgrund ihrer Architektur in der Regel nicht den gesamten Inhalt von Dateien sehen können, die über HTML übertragen werden. Die Endpunkt-Erkennung wird ebenfalls umgangen, wenn das bösartige Javascript die Malware aktivieren kann, bevor ein AV-Scan sie erkennen kann. Mitre bietet eine hervorragende, eher technische Erörterung dieses Themas hier.

Betrachten Sie nun die KI-gesteuerte Eskalation bei Phishing-Angriffen: Früher war es einfach, eine Phishing-E-Mail anhand von Tippfehlern, Grammatikfehlern oder Misstrauen gegenüber einem unbekannten Absender zu erkennen. Diese Zeiten sind vorbei, denn Angreifer nutzen die Fähigkeiten von GenAI, um Grammatik und Schreibstil zu verbessern. Selbst eine schlecht geschriebene Phishing-Kampagne erforderte früher Zeit für die Durchführung; mit GenAI können Angreifer ihre Angriffe innerhalb von Minuten wiederholen.

Schließlich ist einer der neueren Exploits (der derzeit leider sehr viel in den Nachrichten ist) Voice-Phishing oder Vishing. Es gibt unzählige, endlos mutierende Vishing-Flows , die von Bedrohungsakteuren genutzt werden. 

Hier ist ein triviales, einfaches Beispiel:

1. Ich nutze einen Streaming-Dienst auf meinem Laptop.
2. Ein Bedrohungsakteur startet denselben Streaming-Dienst auf seinem Computer.
3. Der Bedrohungsakteur hat seine Hausaufgaben gemacht und verfügt über ausreichende Informationen über mich, um mich glauben zu lassen, dass er für meinen Internetdienstanbieter tätig ist. Der Bedrohungsakteur sagt zu mir: „Wir müssen Ihren Dienst für Sie testen. Bitte gehen Sie zu service/device_auth und senden Sie mir den Code auf Ihrem Bildschirm“
4. Der Bedrohungsakteur nutzt jetzt mein Login für seinen Streaming-Dienst.

Dieser spezielle Angriff ist nur für den Verbraucher schmerzhaft, aber die gleichen Angriffsprinzipien können und werden für viel höhere Einsätze und gravierendere Folgen verwendet. Salesforce.com sieht sich derzeit mit einer Erpressungsforderung konfrontiert, die die Rückgabe von 1 Milliarde Datensätzen betrifft, die Dutzenden von Kunden gehören und durch einen Vishing-Angriff gestohlen wurden.

Betrachten wir nun, inwiefern die Architektur Ihrer Browser-Sicherheitslösung Ihre Fähigkeit zur Abwehr solcher Bedrohungen unterstützen oder beeinträchtigen kann.
‍

Architektonische Entscheidung

Einfach ausgedrückt: Browser-Sicherheit findet an einem von zwei Orten statt:

1. Am Endpunkt. In der Regel erfolgt dies über ein Browser-Plugin oder durch den Austausch der gängigen Browser in Ihrem Unternehmen durch einen Ersatzbrowser wie Island oder den Prisma Browser von Palo Alto.

2. In der Cloud. Die Lösung von MenloSecurity isoliert Browsersitzungen in der Cloud, unabhängig vom Browser, Endgerät oder Standort des Benutzers 
   

Ersatzbrowser vermitteln ein falsches Gefühl der Sicherheit

Lassen Sie sich nicht von der potenziellen Einfachheit eines Unternehmensbrowsers täuschen. Architektonisch lassen sie Ihr Unternehmen in vielerlei Hinsicht ungeschützt, insbesondere:

1. Browser selbst sind besonders anfällig für Zero-Day-Phishing- und Malware-Angriffe, und diese Anfälligkeit bleibt bestehen, wenn ein Unternehmen seine gängigen Browser wie Chrome oder Edge durch einen anderen Browser ersetzt. Die Sicherheitslücken bestehen weiterhin. Ersatzbrowser basieren auf Chromium, der Engine, die Chrome und Edge unterstützt. Dies bedeutet, dass alle in Chrome und Chromium vorhandenen Common Vulnerabilities and Exposures (CVEs) auch in jedem anderen Chromium-basierten Browser vorhanden sind. Tatsächlich gibt es überzeugende Argumente dafür, dass das Ersetzen von Chrome durch einen anderen Chromium-basierten Browser (wie Island) das Risiko eher erhöht als verringert. Das Chrome-Team verfügt über Tausende von Ingenieuren, die sich mit dem Code befassen und CVEs so schnell wie möglich patchen. Anbieter von Ersatz-Browsern können diesen Ressourcenaufwand einfach nicht decken. Ihre Patches werden immer verzögert sein, und diese Verzögerung bedeutet mehr Risiko für den Kunden.

2. Es besteht auch eine erhebliche Lücke, die durch nicht verwaltete Endpunkte entsteht. Die Installation einer verwalteten Browseranwendung auf einem nicht verwalteten und potenziell kompromittierten Endpunkt schafft lediglich einen neuen Bedrohungsvektor, über den ein privilegierter Angriff Sitzungstoken stehlen oder den Speicher des Browsers auslesen kann, was schwerwiegende Folgen haben kann.

Im Gegensatz dazu ermöglicht die Zentralisierung einer cloudbasierten Browser-Sicherheitsarchitektur die Abwehr von Zero-Day-Bedrohungen, die von Ersatzbrowsern und Browser-Plugins nicht erkannt werden:

• Chrome- und Chromium-CVEs werden in der Cloud gepatcht, wodurch alle exponierten Browser auf verwalteten und nicht verwalteten Endpunkten vor Angriffen geschützt werden, selbst wenn die Browser auf den Geräten nicht aktualisiert wurden.  Warum? Der gesamte Browser-Datenverkehr wird in der Menlo Secure Cloud über die Surrogate-Browser-Instanz bereinigt, wodurch der Endpunkt vor Sicherheitslücken geschützt wird.

• In der Cloud kann die Verteidigung präventiv sein. Wie? In der Cloud fängt ein Ersatzbrowser den Benutzerverkehr ab und verhindert, dass Bedrohungen den Endpunkt erreichen. Ohne die Cloud werden Bedrohungen auf dem Endpunkt ausgeführt.

• In der Cloud werden Dienste wie die Datenverlustprävention ausgeführt, bevor vertrauliche Daten physisch auf dem Endpunkt vorliegen. Endpoint-Sicherheitslösungen sind ein schwaches Glied in der Kette. Sie sind nur so wirksam wie die Schulung und das Verhalten der Benutzer, und es ist keine praktikable Strategie, sich zu 100 % auf die Einhaltung von Richtlinien und das fehlerfreie Urteilsvermögen Ihrer Benutzer zu verlassen.

• In der Cloud sind die Daten zentralisiert. Protokolle von Millionen von Browsersitzungen können die Sicherheit durch maschinelles Lernen unterstützen.

‍

Kann KI helfen?

In der Cloud, ja. Die KI kann effektiv eingesetzt werden, um Zero-Day-Bedrohungen zu identifizieren und zu neutralisieren, was für Ersatzbrowser-Lösungen nach wie vor ein Wunschtraum ist.

Bitte lesen Sie zunächst diesen Bericht, um zu erfahren, wie Kriminelle KI für unlautere Zwecke einsetzen, beispielsweise für KI-angepasste Phishing-/Spear-Phishing-/Whaling-Angriffe. 

Menlo hat eine Reihe von Algorithmen auf Basis maschinellen Lernens entwickelt, um betrügerische Websites zu erkennen, darunter:

• Logoerkennung (Menlo-Kunden können eine hochauflösende Version ihres Logos einreichen, um es der Menlo-Logo-Datenbank hinzuzufügen, die zur Erkennung betrügerischer Websites verwendet wird)

• Seitenstruktur (mit Verständnis des Dokumentobjektmodells jeder Seite) 

• Eingabefelder

• Analyse des vollständigen URL-Pfades

Unsere Partnerschaft mit Google trägt in diesem Bereich weiterhin Früchte: Menlo Heat Shield AI nutzt nun die Google Vertex-Plattform mit Gemini-Modellen, um die Erkennung betrügerischer Phishing-Websites erheblich zu verbessern.
‍

Gabelung im Weg

Wie wir hier besprochen haben, hat die grundlegende Entscheidung zwischen cloudbasierter und endpunktbasierter Browsersicherheit erhebliche Auswirkungen auf die Fähigkeit Ihres Unternehmens, sich gegen die exponentielle Verbreitung von HEAT-Angriffen zu schützen. Wie jedoch zu Beginn dieses Artikels dargelegt, ist dies nicht die einzige Dimension dieser Frage. In den nächsten Beiträgen werden wir uns mit der Bedeutung der Aufrechterhaltung der Browserauswahl befassen und erläutern, was dies für Ihre Fähigkeit bedeutet, Gen-AI-Funktionen für Ihr Unternehmen und Ihre Nutzer bereitzustellen.

‍

‍