SquareX vừa công bố ra mắt cuốn sách "Cẩm nang Bảo mật Trình duyệt" (The Browser Security Field Manual) tại sự kiện Black Hat USA 2025. Không chỉ là một hướng dẫn thực tế toàn diện về các kỹ thuật tấn công (TTPs) mới nhất mà kẻ xấu đang sử dụng để nhắm vào nhân viên thông qua trình duyệt, cuốn cẩm nang này còn tập hợp quan điểm từ các CISO (Giám đốc An ninh Thông tin) hàng đầu của các công ty Fortune 500 và các doanh nghiệp lớn khác.

Các chuyên gia này chia sẻ góc nhìn của họ về sự thay đổi của bức tranh bảo mật trình duyệt, tầm quan trọng của từng vectơ tấn công và dự đoán về cách các cuộc tấn công này có thể phát triển trong tương lai gần. Những người đóng góp chính bao gồm:

• Rathi Murthy, CTO của Varo Bank, nguyên CTO của Expedia và Verizon
• Rahul Kashyap, nguyên CISO tại Arista Networks
• John Carse, nguyên CISO tại Dyson

Khi trình duyệt trở thành điểm cuối mới, nó cũng trở thành điểm truy cập ban đầu phổ biến nhất mà kẻ tấn công sử dụng để nhắm mục tiêu vào nhân viên. Điều này thể hiện rõ qua sự gia tăng gần đây của các cuộc tấn công dựa trên trình duyệt, như vụ xâm phạm Cyberhaven, các tiện ích mở rộng đa hình và cuộc tấn công dựa trên RDP của Midnight Blizzard. Tuy nhiên, dù nhận thức về lỗ hổng bảo mật trình duyệt ngày càng tăng, hầu hết các chuyên gia bảo mật vẫn thiếu nguồn lực và công cụ để tìm hiểu về lĩnh vực mới nổi này.

Để giải quyết vấn đề này, "Cẩm nang Bảo mật Trình duyệt" hướng dẫn người đọc một cách có hệ thống về các kỹ thuật mà kẻ tấn công đang sử dụng để nhắm vào nhân viên thông qua trình duyệt, trên năm vectơ tấn công chính: Phishing (tấn công lừa đảo), Tiện ích mở rộng trình duyệt độc hại, Rò rỉ dữ liệu dựa trên trình duyệt, Tấn công danh tính và Ransomware (mã độc tống tiền) trên trình duyệt.

Đồng tác giả của cuốn sách, Audrey Adeline và Vivek Ramachandran, đã bao quát mọi thứ, từ các kỹ thuật phổ biến đến tiên tiến nhất, bao gồm các đoạn mã mẫu và các nghiên cứu điển hình về các cuộc tấn công như vậy diễn ra trong thực tế.

"Kẻ tấn công khai thác sự thiếu hụt thông tin. Vì trình duyệt là nơi diễn ra 85% công việc, nên các đội bảo mật cần hiểu rõ nhân viên của họ đang bị nhắm mục tiêu như thế nào," Audrey Adeline, nhà nghiên cứu tại SquareX và đồng tác giả của "Cẩm nang Bảo mật Trình duyệt", cho biết. "Chúng tôi rất may mắn khi được làm việc chặt chẽ với một số nhà tư tưởng hàng đầu trong ngành và chúng tôi hy vọng rằng ấn bản mới này của cuốn cẩm nang sẽ cung cấp cho các đội bảo mật không chỉ kiến thức thực tế về bảo mật trình duyệt, mà còn cả góc nhìn của ngành về cách các vectơ tấn công này đang tác động đến các tổ chức trong thực tế ngày nay và chúng có thể phát triển như thế nào trong tương lai."

Ấn bản này được xây dựng dựa trên sự ra mắt thành công của cuốn sách tại Hội nghị RSA (RSAC) năm nay, nơi SquareX đã chia sẻ các bản sao đầu tiên với hàng trăm CISO để thu thập phản hồi sớm và hợp tác chặt chẽ với nhiều nhà lãnh đạo bảo mật này để kết hợp những hiểu biết sâu sắc của họ vào ấn bản thứ hai của cuốn sách.

"Cẩm nang Bảo mật Trình duyệt" sẽ có mặt tại các hiệu sách Black Hat và DEF CON 33, với sự tham gia của các tác giả trong sự kiện ký tặng sách tại cả hai cửa hàng. Sự kiện ký tặng sách Black Hat sẽ diễn ra tại hiệu sách Black Hat vào Thứ Năm, ngày 7 tháng 8, từ 3:00 chiều đến 3:30 chiều. Bạn cũng có thể đặt hàng trước cuốn sách thông qua trang web The Browser Security Field Manual. Ngoài ra, bạn có thể tìm hiểu thêm về cuốn cẩm nang tại Gian hàng #6825 của SquareX trong sự kiện Black Hat vào ngày 6 tháng 8, từ 10 giờ sáng đến 6 giờ chiều hoặc vào ngày 7 tháng 8, từ 10 giờ sáng đến 4 giờ chiều.

Về SquareX

SquareX biến mọi trình duyệt trên mọi thiết bị thành một trình duyệt an toàn cấp doanh nghiệp. Giải pháp Browser Detection and Response (BDR) đầu tiên trong ngành của SquareX cho phép các tổ chức chủ động phát hiện, giảm thiểu và săn lùng các cuộc tấn công web phía máy khách, bao gồm các tiện ích mở rộng trình duyệt độc hại, tấn công spearphishing nâng cao, ransomware trên trình duyệt, ngăn chặn rò rỉ dữ liệu GenAI và hơn thế nữa.

Không giống như các phương pháp bảo mật truyền thống và các trình duyệt doanh nghiệp phức tạp, SquareX tích hợp liền mạch với các trình duyệt hiện có của người dùng, đảm bảo tăng cường bảo mật mà không ảnh hưởng đến trải nghiệm hoặc năng suất của người dùng. Bằng cách cung cấp khả năng hiển thị và kiểm soát tuyệt vời trực tiếp trong trình duyệt, SquareX cho phép các nhà lãnh đạo bảo mật giảm thiểu bề mặt tấn công, thu thập thông tin tình báo hữu ích và tăng cường khả năng phòng thủ an ninh mạng của doanh nghiệp trước vectơ tấn công mới nhất – trình duyệt.

Bạn có thể tìm hiểu thêm tại www.sqrx.com.

Các thuật ngữ:

• TTPs (Tactics, Techniques, and Procedures – Chiến thuật, Kỹ thuật và Thủ tục): Là các hành động và phương pháp cụ thể mà kẻ tấn công sử dụng để thực hiện một cuộc tấn công.
• CISO (Chief Information Security Officer – Giám đốc An ninh Thông tin): Là người chịu trách nhiệm quản lý và đảm bảo an ninh thông tin của một tổ chức.
• Fortune 500: Danh sách 500 công ty lớn nhất Hoa Kỳ, được xếp hạng theo tổng doanh thu.
• Endpoint: Một thiết bị hoặc nút mạng là điểm cuối của một kênh truyền thông.
• Vectơ tấn công: Là con đường hoặc phương pháp mà kẻ tấn công sử dụng để xâm nhập vào một hệ thống hoặc mạng.
• RDP (Remote Desktop Protocol): Một giao thức cho phép người dùng kết nối và điều khiển một máy tính từ xa.
• RSAC (RSA Conference): Hội nghị bảo mật thông tin hàng đầu thế giới.
• Black Hat và DEF CON: Hai hội nghị bảo mật nổi tiếng, tập trung vào các vấn đề bảo mật máy tính và mạng.
• Browser Detection and Response (BDR): Giải pháp phát hiện và ứng phó với các mối đe dọa bảo mật trực tiếp từ trình duyệt.
• GenAI: Trí tuệ nhân tạo tạo sinh.