Ландшафт кибератак изменился фундаментально. Ранее злоумышленники концентрировались на компрометации конечных точек сети и последующем горизонтальном перемещении внутри периметра. С массовым переходом на SaaS-приложения эта модель устарела. Теперь основной целью стали личности сотрудников, а главным полем боя — веб-браузер, где эти личности используются и хранятся.
Ключевая причина этого сдвига — «SaaS-ификация» IT. Критически важные для бизнеса системы больше не развертываются локально, а доступны через интернет. В рамках модели разделения ответственности за безопасность SaaS-сервисов, именно компании несут ответственность за управление учетными данными своих сотрудников. Это превратило управление личностями в самое уязвимое место современной корпоративной безопасности.
Основная цель атакующих — захват цифровых личностей сотрудников. Веб-браузер является средоточием этой активности: именно здесь создаются и используются учетные данные, а также хранятся сеансовые токены. Кража учетных данных ведет к целевым атакам или массовой подстановке учетных данных (credential stuffing). Кража сессионных токенов позволяет злоумышленнику войти в активный сеанс пользователя, полностью обходя процесс аутентификации, включая многофакторную (MFA).
Подтверждением этой тенденции служат реальные инциденты. В 2024 году произошла массовая кампания атак на клиентов Snowflake. Злоумышленники использовали украденные учетные данные для входа в сотни клиентских сред. Источником этих данных стали логи инфостилеров, собиравшиеся с 2020 года и содержавшие пароли, которые не были сменены или защищены MFA. Другим примером является волна преступлений, приписываемая группировке Scattered Spider в 2025 году, также сфокусированная на краже личностей.
Главным оружием для кражи личности остается фишинг. Все фишинговые атаки, независимо от канала доставки — будь то электронная почта, мессенджеры, социальные сети или вредоносная реклама в Google — в конечном итоге приводят пользователя в браузер. Современные фишинговые атаки стали значительно изощреннее. Они используют методы обхода защиты, такие как CAPTCHA и Cloudflare Turnstile, и применяют фишинговые комплекты нового поколения для атак «человек посередине» (AitM) с динамической обфускацией кода.
Новейшей тактикой фишинга стали downgrade-атаки. Их цель — обойти надежные методы аутентификации, такие как MFA и ключи доступа (passkeys), принудительно заставляя систему откатиться к более уязвимому методу, например, к одноразовому паролю, который можно перехватить. Эта техника демонстрирует адаптивность злоумышленников к современным мерам защиты.
Атаки можно разделить на две категории: атаки НА браузер и атаки ВНУТРИ браузера. Атаки НА браузер, направленные на уязвимости самого программного обеспечения, менее распространены. Примером могут служить вредоносные расширения, которые устанавливаются обманом или через компрометацию легитимного дополнения. Решением является строгий контроль разрешенных расширений с помощью таких инструментов, как Chrome Enterprise. Однако атаки ВНУТРИ браузера, использующие его как платформу для обмана пользователя, являются преобладающей угрозой.
Инфостилеры — это специализированное вредоносное ПО для конечных точек, созданное для извлечения учетных данных и сессионных токенов непосредственно из хранилищ браузера. После успешного сбора данных злоумышленник использует свой собственный браузер для входа в скомпрометированные сервисы, что еще раз подчеркивает центральную роль браузера в современной цепочке атак.
Масштаб проблемы огромен. Организация с 1000 сотрудников имеет более 15 000 учетных записей. Эта поверхность атаки включает аккаунты, уязвимые для фишинга с обходом MFA; аккаунты со слабыми, повторно используемыми или уже скомпрометированными паролями без MFA (так называемые «призрачные логины»); а также уязвимости, связанные со злоупотреблением функциями приложений, такими как создание API-ключей и фишинг с запросом согласия OAuth. Существуют и более сложные угрозы, например, межпровайдерное олицетворение (cross-IdP impersonation).
Коренная причина уязвимости кроется в конфигурационном разнообразии SaaS-приложений. Они предлагают совершенно разные параметры безопасности, и многие из них не предоставляют централизованной видимости или контроля над методами входа и статусом MFA, что и стало ключевым фактором в утечках у Snowflake. Эта проблема усугубляется моделью роста, ориентированной на продукт (product-led growth), и постоянным появлением новых SaaS-стартапов.
Браузер является идеальной точкой для организации защиты. Он обеспечивает полную видимость всех попыток входа во все приложения, а не только в те, что подключены к единой точке входа (SSO). Он предоставляет глубокий контекст, позволяя наблюдать за всеми свойствами аутентификации (например, используемый метод MFA) без необходимости API-доступа, который часто отсутствует. Анализ разметки страницы, скриптов и конечного адресата данных позволяет обнаруживать фишинг в реальном времени.
Эффективная стратегия защиты должна быть двуединой. Проактивная часть заключается в поиске и устранении уязвимостей в управлении личностями во всех приложениях: «призрачные логины», пробелы в покрытии SSO/MFA, рискованные интеграции OAuth. Реактивная часть — это обнаружение и блокировка атак, таких как AiTM-фишинг, подстановка учетных данных и перехват сессий, непосредственно в момент их совершения в браузере. Платформы, такие как решение от Push Security, уже реализуют этот подход, используя браузер как основной источник данных и точку контроля.
Изображение носит иллюстративный характер
Ключевая причина этого сдвига — «SaaS-ификация» IT. Критически важные для бизнеса системы больше не развертываются локально, а доступны через интернет. В рамках модели разделения ответственности за безопасность SaaS-сервисов, именно компании несут ответственность за управление учетными данными своих сотрудников. Это превратило управление личностями в самое уязвимое место современной корпоративной безопасности.
Основная цель атакующих — захват цифровых личностей сотрудников. Веб-браузер является средоточием этой активности: именно здесь создаются и используются учетные данные, а также хранятся сеансовые токены. Кража учетных данных ведет к целевым атакам или массовой подстановке учетных данных (credential stuffing). Кража сессионных токенов позволяет злоумышленнику войти в активный сеанс пользователя, полностью обходя процесс аутентификации, включая многофакторную (MFA).
Подтверждением этой тенденции служат реальные инциденты. В 2024 году произошла массовая кампания атак на клиентов Snowflake. Злоумышленники использовали украденные учетные данные для входа в сотни клиентских сред. Источником этих данных стали логи инфостилеров, собиравшиеся с 2020 года и содержавшие пароли, которые не были сменены или защищены MFA. Другим примером является волна преступлений, приписываемая группировке Scattered Spider в 2025 году, также сфокусированная на краже личностей.
Главным оружием для кражи личности остается фишинг. Все фишинговые атаки, независимо от канала доставки — будь то электронная почта, мессенджеры, социальные сети или вредоносная реклама в Google — в конечном итоге приводят пользователя в браузер. Современные фишинговые атаки стали значительно изощреннее. Они используют методы обхода защиты, такие как CAPTCHA и Cloudflare Turnstile, и применяют фишинговые комплекты нового поколения для атак «человек посередине» (AitM) с динамической обфускацией кода.
Новейшей тактикой фишинга стали downgrade-атаки. Их цель — обойти надежные методы аутентификации, такие как MFA и ключи доступа (passkeys), принудительно заставляя систему откатиться к более уязвимому методу, например, к одноразовому паролю, который можно перехватить. Эта техника демонстрирует адаптивность злоумышленников к современным мерам защиты.
Атаки можно разделить на две категории: атаки НА браузер и атаки ВНУТРИ браузера. Атаки НА браузер, направленные на уязвимости самого программного обеспечения, менее распространены. Примером могут служить вредоносные расширения, которые устанавливаются обманом или через компрометацию легитимного дополнения. Решением является строгий контроль разрешенных расширений с помощью таких инструментов, как Chrome Enterprise. Однако атаки ВНУТРИ браузера, использующие его как платформу для обмана пользователя, являются преобладающей угрозой.
Инфостилеры — это специализированное вредоносное ПО для конечных точек, созданное для извлечения учетных данных и сессионных токенов непосредственно из хранилищ браузера. После успешного сбора данных злоумышленник использует свой собственный браузер для входа в скомпрометированные сервисы, что еще раз подчеркивает центральную роль браузера в современной цепочке атак.
Масштаб проблемы огромен. Организация с 1000 сотрудников имеет более 15 000 учетных записей. Эта поверхность атаки включает аккаунты, уязвимые для фишинга с обходом MFA; аккаунты со слабыми, повторно используемыми или уже скомпрометированными паролями без MFA (так называемые «призрачные логины»); а также уязвимости, связанные со злоупотреблением функциями приложений, такими как создание API-ключей и фишинг с запросом согласия OAuth. Существуют и более сложные угрозы, например, межпровайдерное олицетворение (cross-IdP impersonation).
Коренная причина уязвимости кроется в конфигурационном разнообразии SaaS-приложений. Они предлагают совершенно разные параметры безопасности, и многие из них не предоставляют централизованной видимости или контроля над методами входа и статусом MFA, что и стало ключевым фактором в утечках у Snowflake. Эта проблема усугубляется моделью роста, ориентированной на продукт (product-led growth), и постоянным появлением новых SaaS-стартапов.
Браузер является идеальной точкой для организации защиты. Он обеспечивает полную видимость всех попыток входа во все приложения, а не только в те, что подключены к единой точке входа (SSO). Он предоставляет глубокий контекст, позволяя наблюдать за всеми свойствами аутентификации (например, используемый метод MFA) без необходимости API-доступа, который часто отсутствует. Анализ разметки страницы, скриптов и конечного адресата данных позволяет обнаруживать фишинг в реальном времени.
Эффективная стратегия защиты должна быть двуединой. Проактивная часть заключается в поиске и устранении уязвимостей в управлении личностями во всех приложениях: «призрачные логины», пробелы в покрытии SSO/MFA, рискованные интеграции OAuth. Реактивная часть — это обнаружение и блокировка атак, таких как AiTM-фишинг, подстановка учетных данных и перехват сессий, непосредственно в момент их совершения в браузере. Платформы, такие как решение от Push Security, уже реализуют этот подход, используя браузер как основной источник данных и точку контроля.
