Браузер как новая поверхность атаки
В классической модели информационной безопасности всё вращалось вокруг вредоносных программ. Картина была привычной и почти театральной: злоумышленник доставляет заражённый файл, пользователь его запускает, на компьютере появляется подозрительный процесс — и антивирус с EDR вступают в игру.
Сегодня рабочая среда сотрудников изменилась — тихо, незаметно и, пожалуй, необратимо.
Сегодня почти всё происходит в браузере: корпоративная почта, документы, CRM, порталы подрядчиков, системы управления проектами, облачные хранилища. Браузер фактически стал операционной системой рабочего места. И это, разумеется, изменило модель атак.
Реальные инциденты
Это не абстрактная теория — модель уже неоднократно проверена в бою.
2022: атака на Okta. Злоумышленники получили доступ к аккаунту сотрудника компании-подрядчика, обслуживавшей службу поддержки. Через браузер они управляли сессиями клиентов и сбрасывали факторы аутентификации. Никакого вредоносного кода на компьютере не было. Вся атака разворачивалась через обычный веб-интерфейс.
2023: атака на Cloudflare. Сотрудники компании стали целью фишинговой кампании с использованием техники Adversary-in-the-Middle. Фишинговая страница работала как прозрачный прокси между пользователем и настоящим сервисом, перехватывая токены авторизации прямо в момент входа. Получив их, атакующие проникли во внутренние системы компании.
2022–2024: массовые атаки через OAuth. Сотрудникам компаний регулярно отправляют приглашения подключить «полезные» приложения к аккаунтам Google или Microsoft. После выдачи разрешения приложение получает доступ к почте и файлам через API. Пароль никто не крадёт. Пользователь сам, добровольно, открывает дверь.
Модель Browser Attack Surface
Все эти атаки удобно рассматривать через единую модель — Browser Attack Surface, поверхность атаки теперь это ваш корпоративный или личный браузер. Она состоит из четырёх ключевых элементов.
1. Подтверждение личности пользователя. Главная точка контроля — аутентификация. Атаки нацелены на кражу сессии, перехват токена, обход MFA, получение OAuth-доступа. Если злоумышленник однажды завладел возможностью представлять себя как легитимного пользователя — большинство систем автоматически будут ему доверять.
2. Сессионные токены. После входа сервис выдаёт браузеру токен — цифровой пропуск, подтверждающий, что пользователь авторизован. Пока токен действует, система не задаёт лишних вопросов. Кража такого токена позволяет обойти и пароль, и MFA, и часть механизмов контроля одним движением.
3. OAuth и API-доступ. Часто при входе на новый сайт или в приложение всплывает кнопка «Войти через Google» или «Войти через Apple». После нажатия появляется список разрешений: доступ к почте, контактам или календарю. За работу этой магии отвечает протокол OAuth (Open Authorization). Современные SaaS-системы активно используют OAuth, позволяя сторонним приложениям работать с данными пользователя. Удобно — и одновременно опасно. Через OAuth злоумышленник может получить долговременный, устойчивый доступ к данным, который переживёт любую смену пароля.
4. Поведение пользователя. Даже без кражи токена злоумышленник может просто обмануть пользователя: открыть фишинговую страницу, разрешить приложение, создать публичную ссылку на документ. С точки зрения любой системы — это будут легитимные действия легитимного сотрудника. Просто его обманули.
Пять типичных сценариев атаки
Угон сессии. Злоумышленник копирует сессионный токен и начинает работать под именем пользователя. Признаки: вход с непривычной географии, новое устройство, внезапный всплеск активности.
OAuth-фишинг. Пользователь сам выдаёт стороннему приложению доступ к почте и файлам — примерно как подписывает генеральную доверенность, не читая содержимого.
Фишинг с перехватом MFA. Фишинговый сервер выступает прокси между пользователем и настоящим сервисом, перехватывая токен аутентификации ещё до того, как тот успевает сделать своё дело.
Тихий угон почты. Атакующий создаёт почтовые правила — удаление писем, пересылка на внешний адрес, скрытие входящих — и молча наблюдает за перепиской, ожидая нужного момента.
Утечка данных без файлов. Данные копируются напрямую из веб-интерфейсов: карточки клиентов, таблицы, документы. Файлы могут вообще не появляться на локальном компьютере — классическая DLP-система просто не увидит ничего подозрительного.
Почему классические средства защиты плохо видят эти атаки
Большинство инструментов безопасности привычно контролируют процессы, файлы и сетевой трафик. Но атаки браузерной среды происходят на совершенно другом уровне — идентичности пользователя, облачных сервисов, API-доступов.
Именно поэтому они выглядят как обычная рабочая активность. Сотрудник просматривает документы, заходит в CRM, отвечает на письма. Только за его именем стоит кто-то другой.
Архитектура защиты
Контроль идентичности: анализ аномалий входа, управление сессиями, надёжная защита MFA.
Контроль SaaS-активности: массовые экспорты данных, создание публичных ссылок, изменения правил почты, подключение OAuth-приложений — всё это должно попадать в поле зрения.
Поведенческая аналитика (UEBA): системы, способные отличить нормальную активность сотрудника от нетипичной — резкого роста операций, обращений к разделам, с которыми пользователь раньше не работал.
Контроль браузера: корпоративные браузеры позволяют контролировать расширения, ограничивать копирование данных, управлять доступом к внутренним системам и интегрироваться с SIEM и SOAR.
Куда движется индустрия
В архитектурах Zero Trust браузер постепенно становится отдельным самостоятельным объектом защиты — таким же полноправным, как конечная точка или сетевой периметр. Крупные вендоры уже строят решения вокруг этой модели: изоляция браузера, защищённые корпоративные браузеры, детальный контроль SaaS-доступов.
Вектор очевиден.
Итог
Раньше основной целью атак был компьютер. Сегодня основной целью становится браузерная сессия пользователя.
Получив её, злоумышленник может читать почту, скачивать документы, работать в CRM, управлять корпоративными сервисами. Иногда — без единой строчки вредоносного кода. Иногда — без взлома в традиционном смысле этого слова.
Именно поэтому современная безопасность всё настойчивее смещается в сторону защиты идентичности пользователей, облачных сервисов и браузерной среды.
Потому что именно там сегодня и происходит всё самое интересное.