Ataques de aquisição de conta surgiram como uma das ameaças mais persistentes e prejudiciais aos ambientes SaaS baseados em nuvem. No entanto, apesar dos investimentos significativos em medidas de segurança tradicionais, muitas organizações continuam a lutar para evitar esses ataques. Um novo relatório, “Por que os ataques de aquisição de conta ainda são bem-sucedidos e por que o navegador é sua arma secreta para pará-los” argumenta que o navegador é o principal campo de batalha onde os ataques de aquisição de conta se desenrolam e, portanto, onde eles devem ser neutralizados. O relatório também fornece orientação eficaz para mitigar o risco de aquisição de conta.
Abaixo estão alguns dos principais pontos levantados no relatório:
O papel do navegador nas aquisições de contas
De acordo com o relatório, a kill chain SaaS aproveita os componentes fundamentais que estão contidos no navegador. Para aquisição de conta, estes incluem:
- Páginas Net Executadas – Os invasores podem criar páginas de login de phishing ou usar o MiTM em páginas da net legítimas para coletar e acessar credenciais.
- Extensões do navegador – Extensões maliciosas podem acessar e exfiltrar dados confidenciais.
- Credenciais armazenadas – Os invasores pretendem sequestrar o navegador ou exfiltrar suas credenciais armazenadas para acessar aplicativos SaaS.
Uma vez que as credenciais do usuário são comprometidas, o invasor pode fazer login nos aplicativos e operar com impunidade lá dentro. Esta é uma kill chain diferente e muito mais curta em comparação com a kill chain native, que é também o motivo pelo qual as medidas de segurança tradicionais falham em proteger contra ela.
Dissecando TTPs de aquisição de conta
O relatório então detalha as principais táticas, técnicas e procedimentos de aquisição de conta (TTPs). Ele analisa como eles operam, por que os controles de segurança tradicionais são ineficazes na proteção contra eles e como uma plataforma de segurança de navegador pode mitigar o risco.
1. Phishing
O risco: Ataques de phishing abusam da maneira como o navegador executa a página da net. Existem dois tipos principais de ataques de phishing: uma página de login maliciosa ou interceptar uma legítima para capturar tokens de sessão.
A falha de proteção: Soluções SSE e firewalls não podem proteger contra esses ataques, pois os componentes da página da net maliciosa não podem ser vistos no tráfego de rede. Como resultado, os componentes de phishing conseguem entrar no perímetro e no endpoint do usuário.
A solução: Uma plataforma de segurança de navegador fornece visibilidade na execução de páginas da net e analisa cada componente executado, detectando atividades de phishing como campos de entrada de credenciais e redirecionamento MiTM. Então, esses componentes são desabilitados dentro da página.
2. Extensões de navegador maliciosas
O risco: Extensões maliciosas exploram os altos privilégios habilitados pelos usuários para controlar a atividade e os dados do navegador, assumindo o controle das credenciais armazenadas.
A falha de proteção: EDRs e EPPs geralmente têm confiança implícita nos processos do navegador, tornando as extensões um ponto cego de segurança.
A solução: Uma plataforma de segurança do navegador fornece visibilidade e análise de risco de todas as extensões e desabilita automaticamente as maliciosas.
3. Autenticação e acesso por meio de uma página de login
O risco: Depois que o invasor obtém as credenciais, ele pode acessar o aplicativo SaaS visado.
A falha de proteção: Os IdPs têm dificuldade em diferenciar entre usuários maliciosos e legítimos, e as soluções de MFA geralmente não são totalmente implementadas e adotadas.
A solução: Uma plataforma de segurança do navegador monitora todas as credenciais armazenadas no navegador, integra-se ao IdP para atuar como um fator de autenticação adicional e impõe o acesso do navegador para impedir o acesso por meio de credenciais comprometidas.
O que vem a seguir para os tomadores de decisões de segurança
O navegador se tornou uma superfície de ataque crítica para empresas, e ataques de aquisição de conta exemplificam seu risco e a necessidade de adaptar a abordagem de segurança organizacional. A LayerX identificou que uma solução de segurança de navegador é o componente-chave nessa mudança, combatendo técnicas de ataque existentes que forçarão os invasores a reavaliar seus passos. Leia o relatório completo.
