Massimo Carlotti, Sales Engineering Manager Italy di CyberArk, illustra rischi e vulnerabilità dei browser e le azioni da mettere in campo per proteggere l’infrastruttura aziendale nel suo complesso.
Il browser è ormai diventato un compagno costante di ogni attività online, ma non solo. Inizialmente sviluppato per gli utenti individuali, nel corso degli anni ha assunto un ruolo essenziale anche per le aziende, fungendo da collegamento tra identità, applicazioni e dati.
Tuttavia, nonostante i progressi ottenuti nel mondo digitale e cloud, a oggi il browser è ancora una delle applicazioni meno sicure.
Perché il browser è poco sicuro?
La natura degli accessi si sta evolvendo e oggi ogni utente può diventare privilegiato, ottenendo quindi accesso a informazioni altamente sensibili come dati dei clienti, informazioni finanziarie e proprietà intellettuale: in molti casi, un privilegio maggiore di quello effettivamente necessario.
Uno dei modi più comuni per ottenere questo accesso è proprio attraverso i browser, da cui gli utenti accedono ad applicazioni web, strumenti di collaborazione virtuale e unità condivise in cui è possibile visionare i documenti, scaricarli e modificarli, oltre ad altre possibilità di raggiungere dati di maggior valore.
Tutte queste attività sono aumentate esponenzialmente negli ultimi anni, a seguito del costante cambiamento di modi, dispositivi e luoghi in cui le persone lavorano. Secondo una recente indagine di CyberArk, le aziende italiane coinvolte prevedono compromissioni legate all’identità, a causa di tagli dovuti all’economia, fattori geopolitici, adozione del cloud e lavoro ibrido. La maggioranza afferma che ciò avverrà nell’ambito di iniziative di trasformazione digitale, come l’adozione del cloud o la migrazione di applicazioni legacy (43%) e dell’IoT (43%).
Ogni collaboratore è legato a più identità digitali per autenticarsi e accedere a ciò di cui ha bisogno ed è qui che risiede il fattore di rischio. Queste identità, insieme alle loro informazioni, hanno credenziali e autorizzazioni poco protette, che possono essere facilmente compromesse attraverso i browser degli utenti.
Rischio di livello superiore: come gli attaccanti possono infiltrarsi facilmente nelle sessioni browser
Dopo aver descritto i rischi legati alle persone (e, di conseguenza, alle identità) che utilizzano browser non protetti in azienda, è necessario osservare anche quelli legati alle tecnologie stesse dei browser che:
- Consentono agli utenti di installare estensioni non verificate che possono caricare segretamente i dati su server controllati da cybercriminali.
- Forniscono agli utenti interni strumenti integrati per aggirare i controlli preventivi.
- Permettono di memorizzare le password di tutte le loro applicazioni, lavorative e personali, in strumenti basati su browser progettati per favorire comodità, non protezione.
Per quanto riguarda i rischi IT, uno dei metodi di attacco più pericolosi è legato ai cookie, al loro furto, falsificazione, alterazione o manipolazione durante le sessioni web degli utenti, per ottenere accesso non autorizzato a risorse sensibili. Il Red Team di CyberArk ha riscontrato un aumento significativo nella presenza di questo vettore di attacco post-autenticazione in cui l’attore della minaccia:
- Agisce come un impostore, dirottando il cookie dopo l’autenticazione.
- Riproduce il cookie nella sessione in modo da poter aggirare l’autenticazione a più fattori con un tasso di rilevamento molto basso.
- Dirotta la sessione in corso con l’obiettivo di rubare dati, spostarsi lateralmente, aumentare i privilegi e interrompere le operazioni con il malware.
In un certo senso, i cookie sfidano costantemente i principi dello Zero Trust, esistendo come un’elusione automatica della verifica continua. Dopo un’autenticazione iniziale dell’utente, il sito o l’applicazione web stabilisce un cookie che consente di ripetere le visite, senza richiederne una nuova verifica.
Una volta compromesso il dispositivo della vittima, i criminali informatici possono dirottare i cookie, anche senza essere amministratori, offrendo accesso privilegiato continuo, poiché nei cookie vengono salvati non solo le identità degli utenti, ma anche i loro privilegi specifici. Nel frattempo, la tendenza dei dipendenti a utilizzare i dispositivi di lavoro per scopi personali – per tornare all’evoluzione del lavoro – aggrava il rischio, consentendo potenzialmente agli attaccanti di accedere a dati personali e aziendali.
Come difendersi dal furto di cookie e dal dirottamento di sessione?
L’implementazione di una navigazione cookieless può essere un valido strumento a supporto delle aziende.
È lecito chiedersi se sia applicabile o meno, con i cookie ormai onnipresenti e inevitabili e il tanto amato messaggio “Accetti tutti i cookie?” che rappresenta più una possibilità negata che una domanda.
Con la navigazione senza cookie, questi vengono memorizzati su un server sicuro per consentirne l’uso continuo da parte degli utenti che possono navigare senza rendere i propri cookie disponibili per il furto. Ciò consente anche di bloccare i dati e attivare la sicurezza a livello utente per proteggere le informazioni più sensibili. La navigazione cookieless consente di accedere e utilizzare le risorse basate su web in modo più sicuro, rendendo praticamente impossibile a malintenzionati o terzi di rubare, dirottare e causare danni. Per quanto riguarda la privacy, invece, sessioni web, dati e account degli utenti rimangano riservati e protetti.
Al di là dei cookie, è comunque essenziale avere una visione d’insieme degli elementi da proteggere nell’ambiente browser, con controlli e funzionalità per salvaguardare l’accesso ad applicazioni web, console di gestione cloud e strumenti e servizi basati su SaaS. L’approccio migliore include i principi chiave della sicurezza dell’identità, con la garanzia che il browser stesso sia integrato in modo nativo con le principali soluzioni di difesa in profondità, per consentire un accesso continuo e sicuro, condividendo al contempo controlli intelligenti dei privilegi a chi utilizza il browser, cioè gli utenti.
Con un panorama delle minacce sempre più sofisticato e pericoloso, sembra incredibile che in qualche modo il browser esista da 30 anni senza un serio livello di protezione. Ma oggi, pensando in chiave moderna a una protezione costante di browser, identità che li utilizzano e risorse sensibili a cui queste applicazioni consentono di accedere, il browser moderno può e deve essere progettato per bilanciare protezione e produttività grazie a un approccio adeguato e a una piattaforma integrata di sicurezza dell’identità.
