浏览器扩展程序已经深入到大多数用户的日常工作中,无论是拼写检查器还是生成式人工智能工具,都离不开它们的身影。然而,许多 IT 和安全人员可能并不清楚,浏览器扩展程序的过度权限正成为企业面临的一个日益严峻的安全风险。
LayerX 近日发布了《2025 年企业浏览器扩展程序安全报告》。这份报告首次将公共扩展程序市场的统计数据与企业实际使用情况的数据相结合,揭示了一个在现代网络安全中常被低估的威胁领域:浏览器扩展程序。
报告中的以下关键发现,值得 IT 和安全领导者在制定 2025 年下半年计划时重点关注:
1.浏览器扩展程序在企业中极为常见。99% 的员工都安装了浏览器扩展程序,其中 52% 的人安装了超过 10 个扩展程序。
-
安全分析:几乎所有的员工都面临着浏览器扩展程序带来的风险。
2.大多数扩展程序能够访问关键数据。53% 的企业用户的扩展程序能够访问敏感数据,如 Cookie、密码、网页内容、浏览信息等。
-
安全分析:一旦员工的设备被攻破,整个组织的安全都可能受到威胁。
3.这些扩展程序的发布者是谁?很难说。超过一半(54%)的扩展程序发布者身份不明,仅通过 Gmail 账号识别。79% 的发布者只发布了一个扩展程序。
-
安全分析:在有限的 IT 资源下,要追踪扩展程序的可信度几乎是不可能完成的任务。
4.生成式人工智能扩展程序的威胁正在增加。超过 20% 的用户至少安装了一个生成式人工智能扩展程序,其中 58% 的扩展程序拥有高风险权限范围。
-
安全分析:企业需要为生成式人工智能扩展程序的使用和数据共享制定明确的政策。
5.未维护和未知的浏览器扩展程序令人担忧。51% 的扩展程序在过去一年中没有更新,26% 的企业扩展程序是通过侧载安装的,绕过了基本的商店审核。
-
安全分析:即使扩展程序本身并非恶意,也可能因为缺乏维护而存在漏洞。
报告不仅提供了数据,还为安全和 IT 团队提供了具体的行动指南,帮助他们应对浏览器扩展程序带来的威胁。
建议组织采取以下措施:
-
审计所有扩展程序:全面了解企业中使用的扩展程序是应对威胁的第一步。
-
对扩展程序进行分类:某些类型的扩展程序更容易受到攻击,这可能是因为它们拥有广泛的用户群体(如生成式人工智能扩展程序),或者是因为它们被授予了过多的权限。对扩展程序进行分类有助于评估整体的安全态势。
-
列出扩展程序的权限:明确扩展程序可以访问哪些信息,这有助于进一步了解潜在的攻击面,并为后续制定策略提供依据。
-
评估扩展程序的风险:根据扩展程序的权限和它们可以访问的信息来评估每个扩展程序的风险。此外,还需要考虑外部因素,如扩展程序的声誉、流行度、发布者和安装方式等,将这些因素综合起来形成一个统一的风险评分。
-
应用适应性、基于风险的强制措施:根据分析结果,企业可以制定适应性强、基于风险的强制策略,以满足自身的使用需求和风险概况。
数世点评
数世咨询在2024年发布了企业浏览器能力指南,当时就强调要加强浏览器扩展管理、插件管理,否则将为企业带来未知的攻击向量,国内随着信创推进,很多央企、大型企业逐渐部署安全浏览器,海外市场上,前有Palo Alto收购 Talon Cyber Security,上个月Island与Browser Use又先后获得融资2.5亿、1700万融资,可见企业浏览器已经成为各大安全供应商重点关注领域。
🎉 大家期盼很久的#数字安全交流群来了!快来加入我们的粉丝群吧!
🎁多种报告,产业趋势、技术趋势
这里汇聚了行业内的精英,共同探讨最新产业趋势、技术趋势等热门话题。我们还有准备了专属福利,只为回馈最忠实的您!
👉 扫码立即加入,精彩不容错过!
😄嘻嘻,我们群里见!
更多推荐
原文始发于微信公众号(数世咨询):企业浏览器报告:多数浏览器扩展程序可访问企业敏感数据
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论