ИБ-индустрия научилась детектировать вредоносы, но запуск файла больше не обязательное условие для атаки: почта, документы, CRM — всё в вебе, и атаки переехали туда же, маскируясь под обычные действия пользователя. Классический антивирус молчит не потому, что ничего не происходит, а потому что не видит. Однако параллельно туда же сместился и слой защиты: корпоративные браузеры контролируют то, что недоступно EDR на эндпоинте, — расширения, сессии, поведение в вебе. Дальше — пять характерных атак и что по каждой закрывать. Атака №1: Угон сессии Как выглядит: Сотрудник зашёл в почту через браузер, вредоносное расширение перехватило сессию — атакующий заходит в сервис как сотрудник, иногда без пароля и 2FA. Чем опасна: Для службы безопасности это просто «вход пользователя». Что мониторить: Входы из другой страны и с необычных IP, всплески активности после входа (массовые скачивания, рассылки), новые устройства. Отдельно — расширения: именно через них чаще всего и происходит угон, поэтому
Пять атак, которые «живут» только в браузере, и что с ними делать
7 мая7 мая
8
3 мин