關閉選單
  1. Home
  2. NEWS最新消息
  3. 事件與威脅
  4. 資訊安全
顯示分類
2026.02.09
事件與威脅/資訊安全
EDR、電子郵件和SASE都無法抵禦這類瀏覽器攻擊

現在,大多數企業工作都在瀏覽器中完成。 SaaS 應用程式、身分提供者、管理控制台和 AI 工具使瀏覽器成為存取資料和完成工作的主要介面。然而,在大多數安全架構中,瀏覽器仍然處於邊緣地位。檢測和調查仍然側重於終端、網路和電子郵件,這些層級位於瀏覽器周圍,而不是瀏覽器內部。

結果是脫節日益加劇,當員工面臨威脅時,安全團隊往往難以回答一個基本問題:瀏覽器中究竟發生了什麼事?這一差距定義了一整類現代攻擊。在Keep Aware,我們把這種情況稱為攻擊者的「安全港」問題,因為目標現在已經成為了中心故障點。瀏覽器端攻擊難以應付的原因並非在於單一技術,而是多種攻擊類型都存在同樣的可見性盲點。

常見的基於瀏覽器的攻擊類型。

  1. ClickFix 和 UI 驅動的社會工程

這可能是2025年最大的瀏覽器攻擊途徑。攻擊者會透過虛假的瀏覽器訊息或提示誘導使用者複製、貼上或提交敏感資訊。攻擊不會植入惡意程式碼,也不會觸發漏洞利用,只是用戶進行一些看似正常的操作,幾乎不會留下任何調查痕跡。

  1. 惡意擴充

一些看似合法的擴充功能會被故意安裝,然後悄悄監視頁面內容、攔截表單輸入或竊取資料。從終端機或網路的角度來看,一切似乎都只是正常的瀏覽器行為。但當日後出現問題時,卻幾乎找不到任何關於該擴充功能實際操作的記錄。

  1. 瀏覽器中間人(以及 AitB、BitB 等)攻擊

這些攻擊並非利用系統漏洞,而是濫用合法的瀏覽器會話。使用者憑證輸入正確,多因素身份驗證 (MFA) 已通過,活動看似已授權。日誌證實了真實使用者和真實會話,但無法確定瀏覽器互動是否被篡改或重播。

  1. HTML走私

惡意內容直接在瀏覽器內部使用 JavaScript 構建,繞過了傳統的下載和檢查環節。瀏覽器會如預期渲染內容,而最關鍵的步驟卻從未被觸發,從而避免了安全事件的發生。

為什麼 EDR、電子郵件和 SASE 會故意規避這些攻擊

這並非工具或團隊的失敗,而是這些系統設計之初旨在識別的內容與實際未能識別的內容之間的差異所導致的後果。EDR(端點偵測與回應)著重於端點上的進程、檔案和記憶體。電子郵件安全追蹤郵件送達、連結和附件。 SASE(自簽章自動回執)和代理技術對網路流量強制執行策略,它們都能阻止已知的惡意活動,但都無法理解瀏覽器內部的使用者互動。

當瀏覽器成為使用者點擊、貼上、上傳和授權等操作的執行環境時,預防和偵測都會失去上下文資訊。操作可能被允許或拒絕,但由於無法了解實際發生的情況,控制措施會變得粗糙,調查也會變得不完整。

我們自己的瀏覽器研究揭示了什麼

這種差距並非僅限於某一款瀏覽器或部署模型,作為「掌控瀏覽器」專案的一部分,這是一項廠商中立的研究工作,評估了 20 多個主流瀏覽器、企業瀏覽器和 AI 原生瀏覽器,我們研究了瀏覽器在實踐中是如何受到保護和管理的。真正突出的不是缺乏控制措施,而是缺乏可供這些控制措施學習的可觀察行為。

在消費者、企業和新興的AI原生瀏覽器中,各種安全策略已被廣泛部署。然而,目前缺乏的是對這些策略在真實使用者行為中實際效果的結構化視覺性。缺乏這種洞察,預防措施就顯得粗糙,策略也難以改進或完善。

人工智慧工具和原生人工智慧瀏覽器正在拉大差距

人工智慧透過增加基於瀏覽器的資料傳輸量和資料傳輸的複雜性,加速了這個問題的出現。ChatGPT、Claude 和 Gemini 等工具規範了瀏覽器中直接複製、貼上、上傳和匯總敏感資訊的操作。而原生支援人工智慧的瀏覽器、內建助理和擴充功能則進一步簡化了這些操作。

從管控角度來看,這些活動大多看似合法。但從預防角度來看,脫離具體情況很難評估風險。政策可以允許或阻止某些操作,但如果無法觀察資料的使用情況,團隊就無法調整控制措施以適應實際情況。

隨著人工智慧驅動的工作流程變得常規化,沒有基於瀏覽器層級行為的預防措施很快就會落後。瀏覽器級可觀測性在事件發生前後發生了哪些變化?當瀏覽器活動變得可觀察時,安全團隊不僅可以更好地進行調查,還能更有效地進行預防。

了解資料在瀏覽器中的實際流動方式,可以讓團隊設定更聰明、更有針對性的控制措施:在風險行為發生時就加以阻止,並在出現問題時保留證據。

檢測能力提升,是因為行為可以在情境中進行評估。響應能力提升,是因為事件可以重現。策略提升,因為它們是基於實際使用情況而非假設。

這就形成了一個回饋循環:可觀察性有助於預防,預防可以降低風險,而每一次事件,無論是被阻止、暫停或允許,都會隨著時間的推移而完善策略。

這就引出了一個簡單的問題:如果今天您的環境中發生了這類攻擊,您能否既阻止它又解釋它的原因?如果不能,那麼 Keep Aware 正是旨在彌補這一差距。了解瀏覽器等級的可見性如何在預防和回應方面發揮作用。


資料來源:https://www.bleepingcomputer.com/news/security/edr-email-and-sase-miss-this-entire-class-of-browser-attacks/
 
分析為何 EDR、電子郵件安全與 SASE 無法偵測發生在瀏覽器內部的攻擊路徑(如 JavaScript 動態組裝、假性系統提示等)