- Browsers zijn de nieuwe frontlinie, maar de DLP van vandaag kan de echte bedreigingen niet zien
- Gegevenssplitsingsaanvallen doorbreken de beveiliging van de enterprise -browser
- Angry Magpie onthult hoe fragiel de huidige DLP-architectuur is in een browser-eerste wereld
Een nieuw onbedekte gegevensuitvoertechniek die bekend staat als gegevenssplicingaanvallen zou duizenden bedrijven wereldwijd met een aanzienlijk risico kunnen plaatsen, waarbij alle toonaangevende tools voor gegevensverliespreventie (DLP) omzeilen.
Aanvallers kunnen gegevens in de browser splitsen, coderen of coderen en bestanden transformeren in fragmenten die de detectielogica ontwijken die wordt gebruikt door zowel eindpuntbeschermingsplatforms (EPP) als netwerkgebaseerde tools – voordat deze stukken vervolgens buiten de beschermde omgeving worden samengesteld.
Door gebruik te maken van alternatieve communicatiekanalen zoals GRPC en WEBRTC, of beveiligde berichtenplatforms zoals WhatsApp en Telegram, kunnen dreigingsacteurs hun sporen verder verdoezelen en op SSL gebaseerde inspecties vermijden.
Dreigingsacteurs splitsen, coderen en verdwijnen nu
De groeiende afhankelijkheid van browsers als primaire werkhulpmiddelen heeft een verhoogde blootstelling. Met meer dan 60% van de bedrijfsgegevens die zijn opgeslagen op cloudplatforms die via browsers zijn toegankelijk, is het belang van een beveiligde browser nog nooit zo groter geweest.
Onderzoekers hebben aangetoond dat proxy -oplossingen die in veel veilige ondernemingsbrowsers worden gebruikt eenvoudigweg geen toegang hebben tot de noodzakelijke context om deze aanvallen te herkennen omdat ze geen zichtbaarheid in gebruikersinteracties, DOM -veranderingen en browsercontext hebben.
Bovendien worstelen eindpunt DLP -systemen omdat ze vertrouwen op API’s die door de browser worden blootgesteld, die geen identiteitscontext, uitbreidingsbewustzijn of controle over gecodeerde inhoud bieden.
Deze beperkingen creëren een blinde vlek die aanvallers kunnen exploiteren zonder detectie en ondermijnen het vermogen van veel ondernemingen om te verdedigen tegen scenario’s voor insider -dreigingen.
Wat deze ontdekking nog dringender maakt, is het gemak waarmee deze technieken kunnen worden aangepast of gewijzigd. Met nieuwe code kunnen aanvallers gemakkelijk varianten maken, waardoor de kloof tussen evoluerende bedreigingen en verouderde bescherming verder wordt verbreed.
In reactie daarop introduceerde het team Angry Magpie, een open source toolkit die is ontworpen om deze aanvallen te repliceren. Beveiligingsteams, rode teams en leveranciers kunnen de tool gebruiken om hun verdediging te evalueren.
Angry Magpie stelt verdedigers in staat om de blootstelling van hun systemen in realistische scenario’s te beoordelen, waardoor blinde vlekken worden geïdentificeerd in de huidige implementaties van zelfs de beste DLP -oplossingen.
“We hopen dat ons onderzoek zal dienen als een oproep tot actie om de belangrijke risico’s te erkennen, browsers vormen voor gegevensverlies,” zei het team.
