Atakos persikėlė į naršyklę — tradicinė apsauga jų nemato

Kai jūsų darbuotojas nukopijuoja kelis vidinius dokumentus ir įklijuoja juos į asmeninę „ChatGPT" sesiją, tradicinės apsaugos priemonės to nemato. Ne tinklo filtras. Ne DNS blokavimas. Ne galinio taško agentas. Ir vis dėlto būtent čia, naršyklėje, šiandien vyksta dauguma atakų.

Tai patvirtina ką tik pasirodžiusi „Verizon" 2026 metų duomenų saugumo pažeidimų ataskaita (DBIR) — kasmetinis industrijos etalonas, kurio išvados remiasi dešimtimis nepriklausomų šaltinių. Šiemet vienas ryškiausių signalų: 39 procentai visų pažeidimų buvo susiję su prisijungimo duomenų vagystėmis, o naršyklė tapo pagrindiniu mūšio lauku.

Prie ataskaitos prisidėjusi naršyklinio saugumo kompanija „Keep Aware" pateikia dar detalesnį vaizdą. Jų duomenimis, naršyklėje vykdomas prisijungimo duomenų grobimas sudarė maždaug 41 procentą visos stebėtos grėsmių veiklos 2025 metais. Kitaip tariant, pavogti slaptažodžiai naršyklėje vėliau tampa sėkmingų įsilaužimų pagrindu.

Visgi labiausiai nerimą kelia ne pats mastas, o aptikimo spraga. „Keep Aware" analizė atskleidė, kad 63 procentai „Microsoft" tematikos fišingo svetainių nebuvo pažymėtos nė vieno „VirusTotal" tiekėjo tuo metu, kai darbuotojai su jomis susidūrė. Dar daugiau — 100 procentų pastebėtų prisijungimo duomenų vagystės bandymų praslydo pro esamas ne naršyklinės apsaugos priemones. Tinklo tarpinės serveriai, DNS filtrai, galinių taškų agentai — nė vienas jų nesuveikė.

Šis atotrūkis tarp to, ką mato tradiciniai įrankiai, ir to, kas iš tikrųjų vyksta, yra struktūrinis. Kol saugumo architektūra orientuota į tinklą ir galinius taškus, atakos persikėlė ten, kur darbuotojai iš tiesų dirba — į naršyklės langą. O ten jų niekas neieško.

Šešėlinis DI kaip nauja duomenų nutekėjimo arterija

DBIR taip pat užfiksavo dramatišką šešėlinio dirbtinio intelekto naudojimo augimą. Neleistinas DI įrankių naudojimas tapo trečia pagal dažnumą nekenkėjiška vidine grėsme duomenų praradimo prevencijos sistemose — keturis kartus dažniau nei pernai. Darbuotojai nėra piktavaliai; jie tiesiog naudoja greičiausią prieinamą įrankį užduočiai atlikti, o tai vis dažniau reiškia konfidencialių dokumentų įkėlimą į asmenines DI sesijas.

Skaičiai iškalbingi: 67 procentai vartotojų įmonių įrenginiuose prieigą prie DI paslaugų gauna per asmenines, o ne korporatyvines paskyras. 45 procentai darbuotojų laikomi nuolatiniais DI vartotojais. „Keep Aware" telemetrija rodo, kad daugiau nei pusė DI užklausų siunčiama į asmenines paskyras, o 23 procentai jautrių duomenų įkėlimo atvejų keliauja per nepatvirtintas paskyras, kurių nepasiekia jokios įmonės duomenų apsaugos politikos.

Įsivaizduokite inžinierių, kuris, užuot laukęs savaitės, kol IT skyrius patvirtins įmonės DI paskyrą, tiesiog atsidaro naršyklę, prisijungia prie savo asmeninio „ChatGPT" ir įkelia pusę specifikacijos dokumento, kad greičiau parašytų testus. Tai nėra piktybiška — tai racionalu, kai įmonės procesai lėtesni nei darbuotojo poreikiai. Tačiau būtent tokie atvejai sudaro didžiąją dalį šešėlinio DI srauto, o kiekvienas iš jų yra potencialus duomenų praradimo įvykis.

Ką reiškia nematoma siena

Paradoksas tas, kad įmonės išleidžia milijonus perimetro apsaugai — ugniasienėms, įsilaužimų aptikimo sistemoms, galinių taškų apsaugai — o atakuotojai tuo tarpu ateina pro tas pačias duris, pro kurias darbuotojai kasdien išeina į internetą. Fišingo svetainė sukuriama ir išnyksta per kelias valandas, per greitai, kad ją spėtų indeksuoti tradicinės grėsmių žvalgybos sistemos. Prisijungimo duomenys įvedami į formą, kuri atrodo kaip „Microsoft 365" prisijungimo langas, o tinklo filtras mato tik šifruotą HTTPS srautą.

Naršyklė tapo nematoma siena — vieta, kurioje nėra nei signalizacijos, nei kamerų. O DBIR duomenys rodo, kad būtent čia dabar telkiasi tiek atakos, tiek atsitiktiniai duomenų praradimai.

Ką daryti: ne blokuoti, o matyti

Problemos sprendimas prasideda nuo pripažinimo, kad darbuotojai naudos DI įrankius nepaisant politikų. Kaip pastebi DBIR autoriai, žmonės naudoja tai, kas greičiausia — o „ChatGPT" langas naršyklėje atsidaro greičiau nei bet koks įmonės patvirtintas alternatyvus sprendimas. Užuot bandžius blokuoti, saugumo komandos turėtų siekti matomumo: specializuoti naršyklės saugumo įrankiai gali identifikuoti, kokie duomenys iškeliauja per DI sesijas, iš kurių programų ir į kurias paskyras.

Praktikoje tai reiškia, kad įmonės turi peržiūrėti savo saugumo architektūrą ir papildyti ją naršykliniu sluoksniu. Ne kaip atskiru produktu, o kaip lygiaverčiu komponentu greta tinklo ir galinių taškų apsaugos. „Keep Aware" nemokamas DI auditas, pavyzdžiui, leidžia įmonėms pamatyti, kas iš tikrųjų vyksta jų darbuotojų naršyklėse — kokie duomenys, iš kokių programų ir per kokias paskyras keliauja į išorinius DI įrankius.

Kol kas dauguma organizacijų šio sluoksnio tiesiog neturi. O DBIR skaičiai rodo, kad atakuotojai tai jau seniai pastebėjo.

Artimiausi metai greičiausiai parodys, ar naršyklės saugumas taps atskira disciplina, ar liks akląja zona tarp tinklo ir galinio taško komandų. Tačiau viena aišku jau dabar: kol įmonės nematys, kas vyksta jų darbuotojų naršyklėse, kasmetinėse DBIR ataskaitose skaičiai tik augs.