Palo Alto, California, 16 de abril de 2025/CyberNewsWire/--Investigadores de SquareX e Estará a revelar unha nova clase de técnicas de exfiltración de datos en BSides San Francisco 2025. Xesús Matías Audrey Adeline Xesús Matías Audrey Adeline Título » A charla amosará múltiples técnicas de apilamento de datos que permitirán aos atacantes filtrar calquera ficheiro sensible ou datos de clipboard, contornando completamente os principais provedores de protección de perda de datos (DLP) listados por Gartner explorando vulnerabilidades arquitectónicas no navegador. Data Splicing Attacks: Breaking Enterprise DLP dende o interior Data Splicing Attacks: Breaking Enterprise DLP dende o interior As violacións de datos poden levar a graves consecuencias, incluíndo perda de IP, violacións regulatorias, multas e graves danos á reputación.Con máis do 60% dos datos corporativos almacenados na nube, os navegadores convertéronse na principal forma para que os empregados creen, accedan e compartan datos. En consecuencia, o navegador converteuse nun obxectivo particularmente atractivo para os atacantes externos e as ameazas internas.Con todo, as solucións existentes de DLP de endpoint e cloud teñen telemetría limitada e control sobre como os empregados interactúan cos datos no navegador. Ademais, hai varios retos únicos cando se trata de manter a liñaxe de datos no navegador. Isto inclúe a xestión de múltiples identidades persoais e profesionais, o amplo panorama de aplicacións SaaS sancionadas e sombras, e as numerosas vías nas que os datos sensibles poden fluír entre estas aplicacións. que Audrey Adeline, investigadora de SquareX, di: "Os ataques de conxelación de datos son un cambio de xogo completo para as ameazas de insider e os atacantes que buscan roubar información de empresas. explotan as novas funcións do navegador que foron inventadas moito despois das solucións DLP existentes e, polo tanto, os datos exfiltrados usando estas técnicas son completamente non inspeccionados, resultando en bypasses completos. Audrey Adeline, investigadora de SquareX, di: "Os ataques de conxelación de datos son un cambio de xogo completo para as ameazas de insider e os atacantes que buscan roubar información de empresas. explotan as novas funcións do navegador que foron inventadas moito despois das solucións DLP existentes e, polo tanto, os datos exfiltrados usando estas técnicas son completamente non inspeccionados, resultando en bypasses completos. Como parte da conversación, tamén lanzarán un kit de ferramentas de código aberto, "Angry Magpie", que permitirá aos pentesters e aos equipos vermellos probar a súa pila de DLP existente e comprender mellor a vulnerabilidade da súa organización a ataques de espionaxe de datos. SquareX espera que a investigación resalte as graves ameazas que os navegadores presentan á perda de datos e sirva como un chamamento a acción para que empresas e vendedores repensen as súas estratexias de protección contra a perda de datos. Ao rematar BSides San Francisco, o equipo de SquareX tamén estará presentando no RSAC 2025 e estará dispoñible no Booth S-2361, South Expo para máis discusións sobre a investigación. Detalles da conversa: O título: Data Splicing Attacks: Breaking Enterprise DLP dende o interior Data Splicing Attacks: Breaking Enterprise DLP dende o interior Intervención de Jeswin Mathai e Audrey Adeline Páxina oficial: BSides San Francisco 2025 Lugar: San Francisco, CA Descargar cancións de Angry Magpie (Open Source) Sobre os oradores Arquitecto en xefe, SquareX Xesús Matías Xesús Matías Jeswin Mathai é o arquitecto xefe de SquareX, onde dirixe o deseño e a implementación da infraestrutura da empresa. Como orador e investigador experimentado, Jeswin presentou o seu traballo en prestixiosos escenarios internacionais como DEF CON US, DEF CON China, RootCon, Blackhat Arsenal, Recon Village e Demo Labs en DEFCON. Tamén compartiu o seu coñecemento a nivel mundial, formando sesións en clase en Black Hat US, Asia, HITB, RootCon e OWASP NZ Day. Tamén é o creador de proxectos de código aberto populares como AWSGoat, AzureGoat e PAToolkit. Investigador Audrey Adeline Audrey Adeline Audrey actualmente lidera o proxecto do ano dos bugs do navegador (YOBB) en SquareX que revelou varias vulnerabilidades arquitectónicas importantes do navegador ata a data. Ela tamén é autor publicado do Manual do campo de seguridade do navegador. Descubrimentos clave de YOBB inclúen extensións polimórficas, Ransomware do navegador e Syncjacking do navegador, todos os que foron cubertos por publicacións importantes como Forbes, Bleeping Computer e Mashable. Ela é apaixonada por promover a educación en seguridade cibernética e dirixiu múltiples talleres coa Universidade de Stanford e as mulleres en seguridade e privacidade (WISP). Antes de SquareX, Audrey foi un investidor en seguridade cibernética en Sequoia Capital e graduouse da Universidade de Cambridge cunha licenciatura en Ciencias Naturais. Máis sobre SquareX A detección e resposta do navegador (BDR) de primeira liña da industria axuda ás organizacións a detectar, mitigar e cazar ameazas de ataques web do lado do cliente dirixidos a empregados que ocorren contra os seus usuarios en tempo real. Isto inclúe a defensa contra ataques de identidade, extensións maliciosas, spearphishing, perda de datos do navegador e ameazas de insider. Squarex Squarex SquareX adopta un enfoque de investigación e ataque centrado na seguridade do navegador.O equipo de investigación dedicado de SquareX foi o primeiro en descubrir e revelar múltiples ataques pivot, incluíndo , , , e Como parte da (YOBB) proxecto, SquareX comprométese a seguir revelando polo menos unha importante vulnerabilidade arquitectónica do navegador cada mes. Atentados de última milla navegador sinxelo Extensións polimórficas navegador nativo ransomware O ano dos bugs do navegador Atentados de última milla navegador sinxelo Extensións polimórficas navegador nativo ransomware O ano dos bugs do navegador Contacto Xefe de PR Xulio Liew Squarex xuntanza@sqrx.com que que Esta historia foi distribuída como un lanzamento por Cybernewswire baixo HackerNoon's Business Blogging Program. Esta historia foi distribuída como un lanzamento por Cybernewswire baixo HackerNoon's Business Blogging Program. aquí
