Het enige dat nodig is, is een enkele gekaapte browsersessie of een onbeschermd apparaat van een derde partij op een netwerk om een ​​bedrijf te sluiten, wat miljoenen aan verloren productiviteit en inkomsten kost. Wat browseraanvallen betreft, kunnen veel CISO’s niet vergeten hoe de CNA financieel De inbreuk begon met een phishing-e-mail waarin een beheerder werd gevraagd een browserupdate uit te voeren. Aanvallers infiltreerden het CNA-netwerk, infecteerden 15.000 systemen met ransomware, vernietigden back-ups en schakelden monitoring- en beveiligingstools uit.

Het groeiende risico van onbeheerde eindpunten

Bedrijven worden overspoeld met meer werk dan hun groups aankunnen. Afdelingsleiders wenden zich tot aannemers om meer werk te voltooien en verwachten dat werknemers beschikbaar zijn op elk apparaat met internettoegang. Organisaties vinden honderden nieuwe onbeheerde eindpunten op hun netwerken, waarbij elke aannemer en werknemer afhankelijk is van zijn laptops, tablets en telefoons om zijn werk gedaan te krijgen.

Elke aannemer vragen een reeks speciale software program of applicaties op zijn apparaten te laden is niet praktisch en wordt maar beperkt geaccepteerd. Het belast ook het toch al overbelaste IT-personeel, dat om hulp wordt gevraagd. De paradox wordt nog uitdagender wanneer organisaties hulp van aannemers nodig hebben om snel aan de slag te kunnen gaan om de werklast bij te kunnen houden, maar toch een beveiligingsoplossing nodig hebben die over duizenden apparaattypen kan worden geschaald.

Het snel onboarden van aannemers leidt soms tot maar liefst 40% van nieuwe eindpunten die moeten worden getraceerd of zelfs ontdekt op het netwerk.

Wanneer een aannemer wordt aangenomen, krijgt deze vaak toegang tot gedeelde productiviteitsapps. Omdat veel organisaties niet over een proces beschikken om de toegang van een contractant through een cloud-app of -bron te verwijderen, kunnen inloggegevens jarenlang – zelfs tientallen jaren – blijven bestaan ​​en tot inbraak- en inbreukpogingen leiden.

Identificatie van de nieuwe golf van webgebaseerde aanvallen

Valse browserupdates zijn vandaag in opkomst. Deze aanvallen zijn afhankelijk van web sites die gebruikers vertellen hun browser bij te werken om de inhoud te zien. Brian Krebs, een onderzoeksjournalist en blogger op het gebied van cyberbeveiliging, schrijft“Nieuw onderzoek toont aan dat de aanvallers achter zo’n plan een ingenieuze manier hebben ontwikkeld om te voorkomen dat hun malware wordt verwijderd door beveiligingsexperts of wetshandhavers: door de kwaadaardige bestanden te hosten op een gedecentraliseerde, anonieme cryptocurrency-blockchain.”

Eerder dit jaar, veiligheidsonderzoeker Randy McEoin ontdekte en schreef over een aanvalsstrategie voor een webbrowser die hij noemde DuidelijkFake. De aanvalsstrategie begint met WordPress-sites die slachtoffers een webpagina bieden waarop de gebruiker wordt verteld dat hij zijn browser moet updaten voordat hij de inhoud kan bekijken. Sekoia.io’s Quentin Bourgue en het Menace & Detection Analysis Staff bieden een uitgebreide technische analyse van hoe ClearFake werkt en inzicht in de installatiestroom ervan.

Bron: Sekoia-blog

Start met het beveiligen van onbeheerde eindpunten in de browser

CISO’s worden uitgedaagd met het beheren van honderden of duizenden eindpunten die vaak veranderen naarmate contractanten worden aangenomen of worden losgelaten wanneer hun contracten aflopen. IT- en beveiligingsteams vertrouwen op de isolatie van webapplicaties, omdat is bewezen dat deze bescherming biedt tegen webgebaseerde bedreigingen die zich richten op de meest waardevolle apps en bronnen van een organisatie. Toonaangevende leveranciers van cyberbeveiliging die oplossingen voor webapplicatie-integratie bieden, zijn onder meer Broadcom/Symantec, Cloudflare, Cradlepoint, Forcepoint, Iboss, Menlo Safety, McAfee, NetSkope en Zscaler.

De technologie achter de isolatie van webapplicaties is hetzelfde browserisolatie op afstand (RBI), alleen omgekeerd gebruikt. In plaats van te voorkomen dat hackers zich kunnen richten op een netwerk en deze kunnen binnendringen through eindpuntwebbrowsers, voorkomt het dat hackers zich kunnen richten op bedrijfsweb- of cloudapplicaties en deze kunnen binnendringen. Cradlepoint onderscheidt zich door de ondersteuning en levering van uitgebreide, tweerichtingsbescherming voor de applicatie en haar gebruikers.

Hoe browserisolatie op afstand werkt

RBI gebruikt een zero-trust-aanpak om elk eindpunt en de apps en bronnen waartoe het toegang heeft te beveiligen, waarbij alle actieve code van een web site als een bedreiging wordt beschouwd, of deze nu kwaadaardig is of niet. Er is een zero-trust-aanpak nodig om elk apparaat te beschermen tegen de nieuwste, onbekende webgebaseerde bedreigingen. Zero-day-bedreigingen kunnen vaak worden omzeild door traditionele oplossingen, zoals antivirusoplossingen, die afhankelijk zijn van een database met bekende handtekeningen om bedreigingen te detecteren. Omdat zero-days per definitie onbekend zijn, kunnen traditionele oplossingen deze niet detecteren.

RBI gaat ervan uit dat alle web sites kwaadaardige code kunnen bevatten en isoleert alle inhoud van eindpunten om dit te voorkomen malware, ransomware en dat kwaadaardige scripts of code de systemen van een organisatie beïnvloeden. Alle sessies worden uitgevoerd in een veilige, geïsoleerde cloudomgeving, waarbij toepassingstoegang met de minste rechten op browsersessieniveau wordt afgedwongen.

Web als RBI heeft een isolatieoplossing voor webapplicaties geen invloed op de gebruikerservaring. De beveiligde webapplicatie is nog steeds volledig functioneel en interactief. Achter de schermen zorgt webisolatietechnologie ervoor dat de applicatie veilig blijft. Web als een webapplicatiefirewall (WAF) beschermt RBI applicaties tegen Layer 7-aanvallen. RBI verschilt van WAF omdat het niet is ontworpen om elke browsersessie een zero trust-beveiliging te bieden. WAF’s hebben handtekeningen die bedreigingen kunnen opvangen, maar het is bekend dat zero-day-aanvallen deze doorbreken.

Door autorisatie- en isolatietechnologieën te combineren, kunnen aanvallers geen inbreuk maken op applicaties en kwaadaardige code insluiten. Dat is essentieel voor het beschermen van eindgebruikers tegen phishing-pogingen, malware-infecties en andere applicatiegebaseerde aanvallen. Het doel is om interne systemen, netwerken en gegevens te beschermen die toegankelijk zijn of gekoppeld zijn aan applicaties die het risico lopen gecompromitteerd te worden. Vertrouwend op de OWASP Prime 10-framework is de inzet voor het ontwerpen van een RBI-architectuur die bestand is tegen risico’s.

Van de beschikbare RBI-oplossingen onderscheidt Cradlepoint’s Ericom zich door de combinatie van een beveiligde webgateway (SWG) met ingebouwde externe browserisolatie (RBI) om zero-trust-beveiliging te bieden voor surfen op het net. Beveiligingsteams gebruiken webapplicatie-isolatie om gedetailleerd beleid op gebruikersniveau toe te passen om te bepalen tot welke apps elke gebruiker toegang heeft, ongeacht locatie en rol. Deze gedetailleerde bedieningselementen bepalen welke acties ze in elke app kunnen voltooien.

Het is gebruikelijk dat (WAI)-platforms beleid ondersteunen dat de machtigingen voor het uploaden/downloaden van bestanden, het scannen op malware, het scannen van DLP en het beperken van knip-en-plakfuncties (clipboarding) en de mogelijkheid van gebruikers om gegevens in tekstvelden in te voeren, ondersteunt. De oplossing ‘maskeert’ ook de aanvalsoppervlakken van de applicatie voor potentiële aanvallers en beschermt zo tegen de aanvallen OWASP Prime 10 beveiligingsrisico’s voor webapplicaties.

Cradlepoint’s Ericom baseert webapplicatie-isolatie (WAI) op hun experience op het gebied van distant browserisolatie (RBI) en jarenlange ondersteuning van het MKB met zero-trust-initiatieven en -frameworks. Bron: Ericom

Het voor elkaar krijgen

Werken op afstand en het wijdverbreide gebruik van persoonlijke apparaten creëren geheel nieuwe bedreigingsoppervlakken waarvoor organisaties niet over voldoende personeel beschikken of niet over voldoende finances beschikken om endpoint-softwareagenten te leveren. Dat is de reden waarom browsergebaseerde benaderingen aanslaan.

Hieronder volgen de belangrijkste aandachtspunten voor het beveiligen van onbeheerde apparaten in de huidige zero-trust wereld:

Identificatie en categorisering van activa: Start met het grondig identificeren van alle bedrijfsapplicaties, gegevens en bronnen. Categoriseer ze op foundation van hun gevoeligheid en het vereiste toegangsniveau.

Inzet van isolatietechnieken voor webapplicaties: Om het risico te beperken dat onbeheerde apparaten een inbreuk veroorzaken, moet u vertrouwd raken met isolatietechnieken voor webapplicaties. Zelfs als een aanvaller het apparaat bereikt, zal het installeren van webapplicatie-isolatie de applicaties beschermen.

Toegang met de minste bevoegdheden afdwingen: Controleer eerst en identificeer vervolgens welke bronnen elke rol of identiteit nodig heeft en beperk de toegang tot andere apps, bronnen of databases. Dit alleen al kan de kans op een bedreiging van binnenuit verkleinen en de accidentele toegang tot gevoelige gegevens beperken.

Proceed monitoring en adaptief beleid: Een kernconcept van zero belief is het monitoren van elk resourceverzoek en elke transactie through een netwerk. Door dit goed te doen, beschikt u over de gegevens om bedreigingen te identificeren en inbreukpogingen te volgen.

Multi-Issue Authenticatie (MFA): Dit moet de inzet zijn voor elke aannemer en werknemer op het netwerk die een app of hulpmiddel gebruikt. Vereist het voor toegang tot het netwerk en ook voor elke app, database of samenwerkingsapp.

Versleutel gevoelige gegevens: Zorg ervoor dat alle gevoelige gegevens, zowel in rust als onderweg, worden gecodeerd. Dit beschermt de gegevensintegriteit en vertrouwelijkheid, zelfs als aanvallers toegang krijgen.

Preventie van gegevensverlies (DLP): essentieel voor Het afdwingen van waarborgen tegen blootstelling van vertrouwelijke en persoonlijk identificeerbare informatie (PII) en het voorkomen van gegevensverlies (DLP) zijn essentieel voor een organisatie die een strengere beveiligingspositie wil hebben. Het wordt steeds meer beschouwd als de kern van zero-trust-beveiligingsframeworks.

Segmentnetwerken: Het is de moeite waard om netwerksegmentatie goed te krijgen. Het uitschakelen van de zijwaartse beweging van aanvallers door het netwerk te segmenteren loont de eerste keer dat een inbraakpoging nergens toe leidt.

Implementeer eindpuntbeveiligingsoplossingen: Gebruik geavanceerde eindpuntbeveiligingstools om apparaten die toegang hebben tot het netwerk te controleren en te beheren. Dit houdt onder meer in dat ervoor wordt gezorgd dat alle apparaten worden bijgewerkt met de nieuwste beveiligingspatches.

Regelmatige beveiligingstrainingen en bewustmakingsprogramma’s: Coaching kan helpen het bewustzijn te vergroten over de meest flagrante phishing-pogingen, kwaadaardige hyperlinks en andere veel voorkomende bedreigingen. Zie het als een ondersteunende strategie, en niet als de kern van welk cyberbeveiligingsprogramma dan ook.

Zorg ervoor dat leveranciers en companions vroegtijdig aan boord gaan: Breid RBI onmiddellijk uit naar externe leveranciers en companions om toeleveringsketens en partnernetwerken te beschermen. Zorg ervoor dat ze zich houden aan vergelijkbare beveiligingsnormen om gedeelde netwerken en gegevens te beschermen.

Dit is slechts een start om onbeheerde apparaten te beveiligen. Als u deze suggesties als foundation gebruikt om aan de slag te gaan, kunt u het risico verkleinen dat een inbreuk op een apparaat van derden begint. Het is essentieel om RBI te laten draaien wanneer er wereldwijd een grote toestroom is van aannemers die aan projecten werken, om de infrastructuur te beschermen.