Güvenli web portalını atlamanın 25’ten fazla yolu vardır • Geçmiş

Def Con Güvenli Web Ağ Geçitleri (SWG’ler) kurumsal güvenliğin önemli bir parçasıdır; bu, SASE ve SSE için Gartner Magic Quadrant’taki her SWG’nin atlanabileceğini ve saldırganların, ağ geçitleri onu anında tespit edemeden kötü amaçlı yazılım dağıtmasına olanak tanıdığını bilmek şaşırtıcı hale getirir. Tümü.

SquareX kurucusu ve deneyimli güvenlik araştırmacısı Vivek Ramachandran, “son mil yeniden birleştirme” adını verdiği bir taktiği kullanarak, SWG’leri atlamanın 25’ten fazla farklı yolunu keşfedebildiğini ve bunların hepsinin aynı temel istismara geri döndüğünü söyledi: Modern web’de olanların çoğu.

“[SWGs] Yaklaşık 15-17 yıl önce icat edildi [and] Ramachandran bize şunları söyledi: “Her şey SSL müdahale aracıları olarak başladı ve bulut güvenliği daha önemli hale geldikçe insanlar tüm bu güvenlik yığınını bulutta oluşturdular.”

“İşte asıl sorun da burada başlıyor.”

Ramachandran, SDK’ların genellikle web tarayıcısına ulaşmadan önce ağ trafiğinden uygulama katmanı saldırılarını anlama yeteneklerine güvendiklerini açıklıyor. Trafiğin kötü amaçlı olduğu tanımlanamazsa API bunu algılamayabilir, bunun yerine kullanıcının tarayıcısına iletebilir.

Ramachandran’ın başarmayı başardığı şey tam olarak budur.

SquareX’in kurucusu bize “Bu satıcılar bunu düzeltemez çünkü… bunlar temel mimari hatalardır” dedi.

Bu tür kötü amaçlı yazılımlar daha çok dikkatsiz ihmale mi benziyor?

İsminden henüz anlamadıysanız, son kilometrede yeniden birleştirme fikri oldukça basittir.

Ramachandran, “Saldırganlar, komut dosyalarını çalıştırabilecekleri ve son dakika saldırılarını yeniden paketleyebilecekleri bir web tarayıcısı olan bir son dakika bilgi işlem cihazına erişme yeteneğine sahiptir. Nihai kurban için deneyim aynıdır.” dedi.

Ramachandran bize, kötü amaçlı yazılımı bölerek veya bir araya getirerek, Web Montaj dosyalarını kullanarak, kötü amaçlı yazılımı başka dosyalara gizlice sokarak ve kötü amaçlı dosyaları birkaç küçük, tanınmayan parçaya bölerek, bir saldırganın tarayıcıya teslim edebileceğini ve onu kötü amaçlı yazılımı yeniden birleştirmeye zorlayabileceğini söyledi. SWG’ye bilgi veriliyor Hiçbir indirme işlemi yok.

“Bu parçaların gerçek dosyalara benzememeleri nedeniyle en azından alarm vereceğini umuyordum” dedi. Ama ne yazık ki hiçbir şeye sebep olmadı.

SWG’ler aracılığıyla kötü amaçlı içerik kaçırmanın bu kadar kolay olmasının nedeninin büyük bir kısmı, daha önce de belirtildiği gibi, bunların güncelliğini yitirmiş olması ve modern İnternet tarayıcısının karmaşıklığını kaldıracak donanıma sahip olmamasıdır. SWG’ler genellikle gRPC, webRTC, WebSocket ve WebTorrent dahil olmak üzere çok sayıda sansürsüz kanala sahiptir; bu, bu yöntemler üzerinden gönderilen şeylerin hiç sansürlenmediği anlamına gelir.

Bu vakanın ciddiyeti sorulduğunda Ramachandran’ın söyleyecek çok şeyi vardı: “Çoğu [SWG] “Satıcılar bu saldırılardan bazılarının farkında, ancak bu onların yaklaşımını çarpıtacaktır” diye ekledi. “İnternet güvenlik grupları yalnızca en basit saldırıları durdurur” diye ekledi.

Ramchandran bize, buluta güvenirken bu temel sorunu bulut güvenlik araçlarıyla çözmenin “tüm bulut güvenliği paradigmasını” bozan “aptalca bir çaba” olduğunu söyledi.

Ramachandran ve SquareX ekibinin tespit ettiği tüm saldırıların tespiti, ağ geçidinin uygulamanın içeriğini tanıyabilmesi için her tarayıcı sekmesinin tam bir simülasyonunu gerektiriyordu. Ramachandran bulutla bunun neredeyse imkansız olacağına inanıyor.

Siber güvenlik duayeni, herhangi bir satıcının adını vermeyi reddetti ve bize kimseyi utandırmak istemediğini söyledi, ancak güvenlik profesyonellerinin ve CISO’ların, kullanıcıların tarama faaliyetlerini korumak için güvendikleri şeyin işe yaramadığını anlamalarını istiyor.

Ramachandran ayrıca başlatacağı bazı saldırılardan da şüphe etmeye başladı. Bugünkü DEF CON’dan öne çıkanlar Zaten vahşi doğada kullanılıyorlar. SquareX, SWG müşterilerinin kendi kurulumlarındaki güvenlik açıklarını test etmeleri için ücretsiz bir araç yayınlıyor.

Şirketlerin kendilerini bu tür saldırılardan korumak için neler yapabileceği konusunda ise Ramachandran’ın basit bir önerisi var: “Saldırılar tarayıcıda gerçekleşir ancak tespit edilebilecekleri tek yer uç noktadır.”

Ne yazık ki birçok SWG istemcisi, SWG gevşekliğini yakalamak için yeterli uç nokta korumasından yoksun olabilir.

Ramachandran şunu ileri sürdü: “SASE ve SSE satıcılarının pazarlama çabalarının büyük bir kısmı, buluttaki kötü amaçlı yazılımları zaten filtreliyor olmamız, dolayısıyla uç nokta güvenliğine ihtiyacınız yok. Bırakın her şey bulutta gerçekleşsin; neden uç nokta yönetimine ihtiyacınız var? ”

Son kilometre toplama saldırıları çok iyi bir neden gibi görünüyor.