浏览器端攻击绕过EDR、邮件安全及SASE防护的新威胁

浏览器端攻击：传统安全工具的盲区

一类日益增长的网络威胁专门在浏览器内运行，能够绕过终端检测与响应（EDR）、邮件安全网关及安全访问服务边缘（SASE）等防护方案的检测。安全公司Keep Aware指出，这些浏览器专属攻击（browser-only attacks）利用了传统防御体系中的可视性盲区，使攻击者能够在不被察觉的情况下开展恶意活动。

现代安全架构中的技术盲点

传统安全工具旨在监控和阻止网络层、终端层或邮件层的威胁。然而，浏览器专属攻击（如恶意JavaScript注入、会话劫持和凭证窃取）完全在浏览器的沙盒环境中执行。由于此类攻击不触及文件系统、不生成网络日志，也不触发终端警报，因此能够规避以下防护措施：

• EDR/XDR解决方案：依赖操作系统级遥测数据
• 邮件安全网关：仅扫描附件和链接，无法监控浏览器内执行
• SASE框架：聚焦网络流量，而非客户端行为

Keep Aware的研究强调，攻击者越来越多地利用合法Web应用（如云存储、协作工具）传递恶意载荷，进一步增加了检测难度。

影响：隐蔽威胁带来的高风险

浏览器专属攻击可能造成严重后果，包括：

• 通过受感染会话进行数据泄露
• 通过窃取凭证或会话令牌实施账户接管
• 针对第三方Web组件（如CDN托管脚本）的供应链攻击

由于此类攻击留下的取证痕迹极少，事件响应团队可能难以确定初始感染途径，导致遏制和修复工作延迟。

安全团队的缓解策略

为应对这一盲区，组织应采取以下措施：

1. 部署浏览器隔离技术：对Web会话进行沙盒化监控
2. 实施客户端防护：（如内容安全策略（CSP）、子资源完整性检查）阻止恶意脚本执行
3. 增强日志记录：捕获浏览器级事件（如DOM修改、WebSocket流量）
4. 采用零信任原则：对Web应用实施持续身份验证和最小权限访问

Keep Aware倡导采用浏览器原生安全控制，以实时洞察客户端威胁，而不完全依赖传统EDR或基于网络的防御手段。

本文由Keep Aware赞助。