行业安全漏洞与应对 - 网络安全公司SquareX在DEF CON 32上首次发现并披露了“最后一英里重组”攻击，该类攻击可绕过所有主流SASE/SSE解决方案，通过浏览器走私恶意软件 [2] - 在过去13个月内，尽管SquareX向所有主要SASE/SSE供应商进行了负责任的披露，但直到两周前才有供应商就漏洞向其客户发出官方警告 [2] - 随着更多攻击者利用“最后一英里重组”技术攻击企业，SASE/SSE供应商开始认识到代理解决方案已不足以防御基于浏览器的攻击 [3] 供应商公开承认与行业转折 - Palo Alto Networks成为首家公开承认安全Web网关在架构上无法防御“最后一英里重组”攻击的厂商，并将其描述为“在浏览器内部组装并绕过传统安全Web网关的加密、规避性攻击” [3] - 该公司同时承认“浏览器正成为企业的新操作系统，是AI和云应用的主要接口，保护浏览器安全不再是可选项” [3] - 这一事件标志着网络安全领域的一个分水岭，主要现有供应商公开承认了安全Web网关的根本局限性以及浏览器原生安全解决方案的至关重要性 [3] 攻击技术细节 - “最后一英里重组”攻击是一类利用安全Web网关架构局限性的技术，恶意文件通过代理层走私，然后在受害者浏览器中重组为功能完整的恶意软件 [4] - 一种技术是将恶意软件分割成不同的数据块，单个数据块不会触发安全Web网关的检测，绕过代理检查后，恶意软件在浏览器中重组 [4] - 另一种技术是通过WebRTC、gRPC和WebSocket等二进制通道走私恶意文件，这些是视频会议和流媒体工具等网络应用常用的通信通道，但完全不受安全Web网关监控 [5] - 总共有超过20种此类技术可以完全绕过安全Web网关 [6] 数据泄露与扩展研究 - SquareX的研究团队进一步研究了攻击者如何利用此类技术窃取敏感数据，并在BSides San Francisco上展示了“数据拼接攻击” [7] - 类似技术可被内部威胁和攻击者用于在浏览器中共享机密文件、复制粘贴敏感数据，完全绕过终端DLP和云SASE/SSE DLP解决方案 [7] - 此外，出现了一些允许用户发送任何文件而无需接受DLP检查的点对点文件共享网站 [8] 浏览器安全研究进展 - 随着浏览器成为攻击者最常见的初始切入点，浏览器安全研究对于理解和防御前沿的基于浏览器的攻击至关重要 [9] - SquareX启动了名为“浏览器漏洞之年”的研究项目，自1月起每月披露一个主要的架构漏洞，包括可静默冒充密码管理器和加密钱包以窃取凭证/加密货币的“多态扩展”，以及今年在DEF CON 33上披露的主要Passkey实现缺陷“Passkeys Pwned” [9] - 在过去一年中，公司在浏览器中发现了超过10个零日漏洞，其中许多因对组织构成重大威胁而在DEF CON和Black Hat等主要会议上披露 [10] 公司产品与行业影响 - SquareX的浏览器扩展可将任何设备上的任何浏览器转变为企业级安全浏览器，其行业首创的浏览器检测与响应解决方案使组织能主动防御浏览器原生威胁 [12] - 与专用的企业浏览器不同，该解决方案可无缝集成到用户现有的消费级浏览器中，在提供安全性的同时不损害用户体验 [12] - 公司创始人指出，Palo Alto Networks对“最后一英里重组”攻击的认可代表了现有厂商对浏览器安全观点的重大转变 [10] - 为了推动浏览器安全教育，公司与Campbell's和Arista Networks等大型企业的CISO合作撰写了《浏览器安全现场手册》，作为网络安全从业者了解前沿攻击和缓解技术的技术指南 [10]