A böngésző: Ajtó a támadók előtt
A modern munkavégzés döntő része már a böngészőben zajlik: levelezés, céges alkalmazások, felhőszolgáltatások, sőt egyre több MI-eszköz is ide költözik. Ezt a kényelmet használják ki a támadók – nem betörnek, hanem „belépnek”, vagyis érvényes felhasználói azonosítást, tokeneket és jogosultságokat használnak ki. Mindezt úgy, hogy a vállalati védelem többsége csak a belépésig terjed, a böngészőn belüli tevékenységeket már nem figyeli.
Hogyan verik át a hagyományos védelmet?
A támadások három látványos példa alapján váltak igazán kézzelfoghatóvá: egyetlen bővítményen keresztül 4,3 millió felhasználót fertőztek meg, 400 000 vállalati ügyfél gépeit támadták meg karácsonykor, illetve néhány nap alatt összesen 8,5 millió dollár (kb. 2,97 milliárd forint) tűnt el 2520 kriptotárcából. Az ilyen támadások egyike sem indított riasztást a hagyományos védelmi rendszereknél. A történések mögött komoly erők álltak: a támadók tiszta, évekig ártatlan bővítményeket fegyvereztek fel, automatikus frissítés útján juttattak el rosszindulatú kódot, vagy épp API-kulcsokat szivárogtattak ki.
Az Omdia jelentése szerint a vállalatok adatforgalmának 64%-át titkosítva kezelik, de ezt a forgalmat nem ellenőrzik, miközben 65%-uk semmilyen kontrollt nem gyakorol a böngészőben használt MI-eszközök felett. Tízből kilenc dolgozó legalább egy böngészőbővítményt használ, több mint a felük olyan jogosultságokkal, amelyek hozzáférnek sütikhez, jelszavakhoz, sőt akár teljes oldaltartalomhoz. Ezek fele ráadásul nem is hivatalos forrásból származik.
Ismétlődő támadási mintázatok
A támadásokban követhető három visszatérő séma:
– A „hosszú játék”: Tiszta bővítmények évekig reputációt építenek, majd egy váratlan pillanatban a támadók átveszik felettük az irányítást, így például óránkénti JavaScript-letöltésekkel hátsó kaput létesítenek.
– A hitelesítőadat-lopás: Egy fejlesztő kompromittált fiókján át rosszindulatú frissítést töltenek fel az áruházba, amely órák alatt több százezer gépen terjed szét.
– Az API-kulcs szivárgása: Egy nyilvánosságra került Chrome API-kulcs segítségével a támadók minden kontrollon átjuttatják a fertőzött frissítést, ennek eredményeként napokon belül tömeges kriptovaluta-lopás történik.
Miért buknak el a hagyományos észlelési módszerek?
Ennek alapján megállapítható, hogy mind a politikai, mind a pénzügyi motivációjú támadók ugyanazokat a böngészői „vakfoltokat” használják ki. Bár a hitelesítő adatok érvényesek maradnak, a valódi felhasználói magatartás rendszerint eltér. A viselkedéselemzés – például szokatlan adathasználat, váratlan jogosultságnövelés vagy adatmozgás – itt különösen fontos lenne. De a legtöbb cég még képtelen arra, hogy ezeket az adatokat a valós idejű döntéshozatalhoz integrálja.
Amint a támadók megszerzik a hitelesítési tokent, azt bárhonnan újra felhasználhatják, hiszen a hitelesítés és a többfaktoros azonosítás már lefutott. A hagyományos védekezés csak a belépésig véd, onnantól a támadók észrevétlenül mozognak.
Az MI-eszközök is rejtett adatcsatornákká válnak
Lényeges szempont, hogy a ChatGPT-hez és más MI-eszközökhöz vezető böngészőalapú csatornák nemcsak produktívak, de veszélyesek is lehetnek. A vállalatoknál 2025-ben az összes adatvesztéses incidens 14%-a már MI-hez köthető. Hálózati szinten egy adatlopás és egy jogos használat teljesen azonosnak tűnik, csak böngészőszinten különböztethetők meg – például amikor egy dolgozó épp forráskódot másol át egy külső MI-chatbe.
Az egyik vállalatnál letiltották a fájlok másolását és beillesztését a ChatGPT-be, miközben maga a szolgáltatás elérhető maradt a dolgozóknak – ezzel kompromisszum született a termelékenység és a védelem között.
Milliós üzlet, két iskola
A nagyvállalatok már milliárdos összegeket fordítanak új védelmi megoldásokra. Az egyik tábor komplett, cégspecifikus böngészőt vezet be (ilyen például az Island), míg a másik a meglévő böngészők felett kínál plusz védelmi réteget (például a Menlo Security). Mindkét megoldás csak akkor hatékony, ha a böngészőben zajló aktivitást összekapcsolják a felhasználói identitásokkal és rendszerjelzésekkel – ezt jelenleg kevés vállalat tudja biztosítani.
Mit lehet tenni a gyakorlatban?
A böngészőbiztonság erősítésének hat leghatékonyabb mintázata:
– A kiegészítők teljes körű karbantartása, az érzékeny jogosultságú bővítmények szűrése.
– Az automatikus frissítések lassítása és ellenőrzése, hogy egy-egy támadás ne néhány órán belül terjedhessen el.
– Az adatvédelmi szabályok böngészőszintre emelése: például másolás/beillesztés tiltása érzékeny oldalakon.
– Az összes alternatív böngésző száműzése a vállalati környezetből – hisz minden új, nem menedzselt böngésző kockázat.
– A GenAI-eszközök kezelése úgy, mintha nem lennének ellenőrizve; gyanúsan nagy mennyiségű vagy tiltott adatmozgás esetén jelzés a SOC felé.
– Érthető, demonstrálható működés bemutatása a felsővezetők felé – például élő példával demonstrálva, hogy mit akadályoz meg a rendszer.
Következtetés: Böngészőből lett az új frontvonal
A böngészőből indított támadások elleni küzdelem nem feltétlenül jelent új platformvásárlást – a lényeg a meglévő rendszerek tudatosabb használata, a kiegészítők ellenőrzése, az automatikus frissítések menedzselése és a böngészőszintű adatpolitika betartása.
Ennek alapján megállapítható, hogy a hatékony védelem nem a perifériaeszközök halmozásában, hanem a böngésző, mint elsődleges végrehajtási környezet tudatos menedzselésében rejlik. Ha erre nem helyeznek külön hangsúlyt, a vállalati információk védelme csak látszólagos marad.
