El Informe de Seguridad del Navegador 2024 Revela Cómo Cada Sesión Web Podría Ser un Campo de Minas de Seguridad.

Por:



Con el navegador convirtiéndose en el espacio de trabajo más prevalente en la empresa, también se está convirtiendo en un vector de ataque popular para los ciberatacantes. Desde la toma de cuentas hasta extensiones maliciosas hasta ataques de phishing, el navegador es un medio para robar datos sensibles y acceder a sistemas organizativos.

Los líderes de seguridad que están planeando su arquitectura de seguridad requieren datos y conocimientos sobre el panorama de amenazas del navegador. Recientemente, LayerX lanzó el “Informe Anual de Seguridad del Navegador 2024”, que proporciona un análisis en profundidad del panorama de amenazas en evolución para la seguridad del navegador.

Este informe integral destaca las vulnerabilidades críticas y los vectores de ataque que representan los mayores riesgos para la seguridad empresarial. Permite a los tomadores de decisiones y partes interesadas benchmarkear los desafíos de seguridad de su entorno para que puedan tomar decisiones accionables. A continuación, detallamos los hallazgos clave del informe y una lista resumida de recomendaciones de seguridad. Le instamos a leer todo el informe, que es rico en detalles, ejemplos y secciones adicionales que no incluimos en este artículo.

Hallazgos clave del informe

Riesgos del trabajo híbrido: los dispositivos no gestionados y los perfiles de navegador personales son vectores principales de amenazas cibernéticas, como la fuga de datos y el phishing. El riesgo es generalizado: el 62% de la fuerza laboral utiliza dispositivos no gestionados para acceder a datos corporativos y el 45% de todos los navegadores en dispositivos corporativos utilizan perfiles personales.
Amenazas de extensiones de navegador – El 33% de todas las extensiones dentro de una organización representan un alto riesgo, y el 1% de las extensiones instaladas se sabe que son maliciosas. El informe destaca cómo las extensiones engañosas son utilizadas por los atacantes para apropiarse de datos de usuario y llevar a los usuarios a sitios de phishing.
Riesgos de Shadow SaaS: el uso clandestino de aplicaciones Shadow SaaS por parte de los empleados crea vulnerabilidades significativas, como puntos ciegos y en la gestión de identidad.
Vulnerabilidades de identidad: cuentas compartidas y prácticas de inicio de sesión único (SSO) aumentan los riesgos de acceso no autorizado. Incidentes como la violación de datos de 23andMe destacan los peligros de las identidades compartidas.
Vulnerabilidades de Gen-AI y LLM – El 7.5% de los empleados corren el riesgo de exponer datos al pegar o escribir información sensible en herramientas de IA generativas como ChatGPT. Existe una brecha crítica en la comunidad de seguridad en la comprensión de los riesgos asociados con las herramientas de IA en entornos corporativos.
Amenazas impulsadas por IA – La IA puede ser utilizada para mejorar los ataques, desde malware hasta phishing, pasando por la explotación de extensiones de navegador hasta los ataques de la cadena de suministro. Estas amenazas aprovechan la personalización impulsada por IA para hacer que los ataques sean más convincentes y difíciles de detectar, o utilizan algoritmos de IA para mejorar las capacidades de ataque.
Vulnerabilidades sin parches – Las vulnerabilidades sin parches en los navegadores representan un riesgo significativo. Existen diferencias en los tiempos de parcheo entre los navegadores.

Recomendaciones para líderes de seguridad

Para combatir estas amenazas, los analistas del informe recomiendan un enfoque multifacético:

Actualizar regularmente los navegadores y enviar parches de seguridad de forma rápida para mitigar los riesgos de software obsoleto.
Restringir extensiones no autorizadas y revisar regularmente los permisos para prevenir el robo de datos.
Entrenar a los empleados para identificar y reportar correos electrónicos y sitios web sospechosos.
Implementar controles de acceso condicionales y promover políticas claras de BYOD para asegurar dispositivos personales utilizados para el trabajo.
Hacer cumplir el MFA y educar a los empleados sobre la higiene de contraseñas para mejorar la seguridad de las cuentas.
Hacer cumplir configuraciones seguras y la lista blanca de extensiones.
Restringir el acceso a datos sensibles basado en roles de usuario.
Utilizar herramientas avanzadas para detectar y analizar datos del navegador en busca de amenazas, asegurando una mitigación proactiva de amenazas.

Lea el informe

El Informe Anual de Seguridad del Navegador es un recurso importante para los líderes de seguridad que buscan comprender y mitigar los riesgos basados en el navegador. Al adoptar las estrategias recomendadas, las organizaciones pueden fortalecer su defensa contra las amenazas cada vez más sofisticadas dirigidas a los navegadores. Para obtener más información, mejores prácticas y predicciones, lea el informe aquí.



Fuente

Compartir:

Entradas relacionadas