聚焦源代码安全,网罗国内外最新资讯!
编译:代码卫士
企业环境中超过一半的浏览器配置不当。虽然配置好的浏览器几乎不可能受陷,但从配置不当的浏览器中窃取数据就像从婴儿手中抢糖果一样容易。最大的配置不当问题是对个人在工作设备上的浏览器资料使用不当 (29%)、修复路径不良 (50%)以及在未经管理设备上使用企业浏览器资料。
每10个SaaS 应用中就有3个是非企业影子SaaS,目前还没有SaaS 发现/安全解决方案可解决其风险。影子SaaS 以及影子身份是企业数据丢失的头号原因。现有的数据安全工具(不管是传统的DLP还是DSPM)均无法访问或控制员工在自己个人应用上能做什么。
攻击者使用躲避性攻击技术,而当前的邮件安全或网络安全工具均无法检测到。高阶的浏览器攻击技术如使用SaaS应用分发恶意软件或滥用声誉良好的网站进行钓鱼等,已成为一种威胁商品。
传统的安全工具无法立即应对超过一般的攻击向量,使得针对性的浏览器攻击成为企业安全事件的一大主因。
多数浏览器风险可导致身份窃取。弱密码、配置不当和SaaS安全问题都与数字身份有关。这一令人沮丧的发现说明了数字身份仍然是企业的致命弱点。
报告还说明了2022年的主要浏览器安全威胁详情,包括通过声誉良好的域名实施钓鱼攻击、通过共享系统分发恶意软件、利用个人浏览器资料泄露数据、过时的浏览器、受陷的密码、易受攻击的未经管理的设备、高风险扩展、影子IT以及通过钓鱼凭据造成的账户接管等。
除了主要威胁的数据和分析外,报告还回顾了2022年的主要浏览器安全事件,如2022年的第一期Chrome 浏览器0day攻击、IE浏览器时代的终结以及Lastpass客户数据泄露等。
https://thehackernews.com/2023/03/2023-browser-security-report-uncovers.html
题图:网络
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~
原文始发于微信公众号(代码卫士):浏览器安全的主要风险和盲点
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论