10月19日消息,微软日前发布博客文章,强调浏览器已不再仅仅是浏览网页工具,而是企业和个人的“通用工作区”,是云服务、人工智能(AI)和软件即服务(SaaS)的汇聚点。
微软明确指出未来将是“浏览器原生”的时代,鉴于这种核心地位,确保浏览器的安全性变得前所未有的关键。
微软列出的数据显示,现代企业平均通过浏览器访问多达106个SaaS应用,而用户平均每天在浏览器中花费超过6个半小时。
硬件无关性、通用可访问性、无摩擦安装以及作为“隐形层”的AI,是推动这种高使用率的关键驱动力。
然而,这种高使用率也使其成为了恶意行为者的高价值攻击面,微软列举了当今浏览器面临的诸多数字威胁:
网络钓鱼与社交工程2.0:利用深伪、弹出窗口、二维码等手段诱骗受害者。
会话劫持与令牌盗窃:通过密码重用、弱MFA或社交工程窃取用户会话。
恶意扩展与插件:偷偷窃取用户数据,是一种被低估的常见威胁。
零日漏洞与沙盒逃逸:通过复杂的恶意软件,进行系统级别的破坏。
规避与走私:利用编码碎片化和内容解码差异,让恶意载荷绕过网络过滤器。
AI集成浏览器新风险:针对AI功能的提示注入攻击、上下文泄露和数据暴露。
微软最后指出,尽管浏览器使用率大幅攀升,但企业在实施其安全控制方面仍存在明显差距,随着浏览器被应用于越来越多的企业级用例,组织必须立即重视并弥补这一安全漏洞,以保护其安全。
