«Мы выстроили круговую оборону с Zero Trust: проверяем пользователя, устройство, местоположение. Но всё это рушится в момент, когда сотрудник нажал «Разрешить»
в окне браузера. Наш самый большой брешь в защите, это не брандмауэр, который мы забыли настроить, а расширение для подбора шрифтов, которое внезапно получило доступ ко всем данным. Браузер, это та самая тёмная сторона легального доступа, где наши правила безопасности перестают работать.»
Внедряя Zero Trust, компании фокусируются на очевидных точках контроля: MFA при входе, верификация устройства, сегментация сетей. Но самая распространённая точка взаимодействия с корпоративными данными — веб-браузер — часто остаётся вне зоны строгого недоверия. В нём смешиваются легитимный доступ сотрудника и неконтролируемая экосистема расширений, скриптов и обновлений, что создаёт уникальный вектор для обхода всей архитектуры безопасности.
Атака изнутри: как cryptojacking обходит все защитные периметры
Cryptojacking, это практика использования вычислительных ресурсов устройства без ведома владельца для майнинга криптовалюты. В корпоративном контексте это выглядит как «безвредное» мошенничество, ведь данные не крадутся. Однако с точки зрения Zero Trust такая атака — наглядная демонстрация фундаментальной бреши. Архитектура контролирует, кто и к чему получает доступ, но не отслеживает, как используются ресурсы, выделенные этому доступу.
Когда пользователь посещает легитимный сайт, встроенный в него скрипт для майнинга интерпретируется браузером как обычный контент. Он выполняется в рамках авторизованной сессии, на проверенном устройстве, под подтверждённой учётной записью. С точки зрения Zero Trust — все условия соблюдены, доступ предоставлен законно. Далее скрипт начинает потреблять 80–90% мощности процессора, но ни одна система безопасности не замечает аномалии.
- DLP (Data Loss Prevention) молчит, потому что данные не экспортируются наружу.
- EDR (Endpoint Detection and Response) не видит вредоносного ПО, так как это не отдельный процесс, а встроенный JavaScript в вкладке браузера.
- Сетевые фильтры и прокси пропускают трафик, потому что скрипт может общаться с пулинг-сервером через WebSocket или легитимный CDN, используя HTTPS с валидным сертификатом.
Сессия, начавшаяся с многофакторной аутентификации и проверки устройства, превращается в криптоферму, и ни один контрольный пункт Zero Trust этого не видит. Его задача завершилась на моменте предоставления доступа. Что происходит внутри сессии — остаётся вне поля зрения.
Распространённый путь проникновения — компрометация рекламных сетей или сторонних библиотек, подгружаемых даже на доверенных сайтах. Бывают ситуации, когда сотрудник открывает отчёт на внутреннем портале, и в фоне запускается скрипт майнинга. Системные администраторы видят высокую нагрузку на CPU, грешат на «тормозящую» ОС или вирусы, и лишь детальный анализ журналов производительности выявляет аномальную активность конкретного процесса браузера.
Расширения браузера: доверенный троянский конь
Расширения, это мини-приложения с широкими полномочиями, работающие в контексте браузера. Они могут читать и изменять содержимое любых страниц, перехватывать ввод, работать с cookies и локальным хранилищем. При этом в корпоративных политиках они часто рассматриваются как второ0степенные «удобства», а не как критичные точки риска.
Zero Trust может проверить, обновлена ли операционная система и включено ли шифрование диска. Но он не анализирует, какое расширение с правами «читать и изменять все данные на сайтах» было установлено вчера вечером. Он не отслеживает, что после автоматического обновления это расширение начало отправлять данные на подозрительные домены, замаскированные под сервисы карт.
Официальные магазины, такие как Chrome Web Store, не гарантируют безопасность. Известны случаи, когда популярные расширения с сотнями тысяч установок после обновления начинали собирать конфиденциальные данные. Например, расширение для работы с PDF, получив доступ ко всем сайтам, могло перехватывать URL и параметры запросов во время сессий в корпоративных Google Workspace и отправлять их на сторонние сервера.
Проблема усугубляется моделью разрешений. Расширение для блокировки рекламы запрашивает доступ ко всем данным — и получает его. После компрометации такого расширения злоумышленник получает возможность действовать от имени авторизованного пользователя, минуя все проверки MFA, потому что сессия в браузере уже активна. Zero Trust не проводит повторную оценку контекста во время работы: если токен валиден, то все действия из браузера считаются легитимными.
Опасная иллюзия: автоматические обновления
Политика обязательных автоматических обновлений браузера и расширений — стандарт кибергигиены. Но этот механизм сам становится каналом для атаки, если злоумышленник получает контроль над аккаунтом разработчика в магазине. Вредоносное обновление, подписанное валидным сертификатом, будет автоматически доставлено на тысячи устройств, включая корпоративные.
Был реальный инцидент с легитимным расширением для веб-аналитики. После взлома аккаунта разработчика было выпущено обновление, добавлявшее функционал по съёмке скриншотов страниц, содержащих пути вроде /admin или /console. Изображения выводились через стеганографию в обычных POST-запросах к серверам, зарегистрированным под видом хостинга изображений. Прокси и брандмауэры пропускали этот трафик, так как он не нарушал политик и шёл на домены с действительными SSL-сертификатами.
регулярные обновления создают ложное чувство защищ