在最近的网络攻击中,三个著名站点遭到了类似Magecart风格的攻击,以窃取购物者的个人信息。信息很明确:网站和Web应用程序容易受到攻击,并且现有的安全部署不足以防御客户端攻击。那么如何使现代Web体验更安全?现代的Web体系结构创建了一个环境,在该环境中,当今网站上多达70%的代码呈现都不来自站点所有者的服务器,而是通过安全性外部运行的JavaScript集成来控制大多数站点所有者所部署的。
Web开发人员喜欢这些集成的动态性和分析能力。不幸的是,由于这些集成很大程度上不受管理和监控,因此它们大大扩展了攻击面,给企业及其最终用户带来了巨大的风险。
但是,在世界上95%的网站都使用客户端JavaScript的世界中,您如何管理和防范这种风险?问题是大多数组织将其Web安全策略基于监视服务器,这在15年前就很有意义了。如今,执行点在浏览器中,这也是当今的网络安全策略所必须遵循的目标。
从Google取得提示
Google是第一个认识到现代网络可以在创新,复杂,面向JavaScript的应用程序上运行的公司。他们在浏览器中内置了强大的技术,提供了以前在.exe文件上运行的那种功能。
在构建Gmail和Google Maps的过程中,他们比其他任何人都早发现了这些新应用程序中潜在的安全漏洞。因此,在他们开创这些技术的同时,他们开始构建保护它们所需的控件。
在这一领域进行创新的其他公司在增加功能性方面做得很出色,而且没有弥合不断扩大的安全漏洞。这就是像Magecart这样的网络攻击者想要利用的空白。
如果当今的网络是围绕基于客户端的,基于JavaScript的应用程序构建的,那么我们有理由对这些应用程序使用相同的基于标准的安全性。
这些都是所有现代浏览器和Web应用程序框架所固有的,但数量惊人的公司却利用了这一优势:美国Alexa 1000网站中只有2%的安全性足以抵御攻击英国航空公司和梅西百货公司的攻击类型。
攻击浏览器
如果攻击者能够进入浏览器,他们可以释放出几种攻击方式:他们可以破坏服务器(英国航空公司就是这种情况),他们可以破坏我们刚才提到的任何第三方应用程序(以及因为它们可能依赖于第四方和第五方),否则可能会损害客户。
实际上,这意味着他们可以窃取数据-最终用户通过cookie或存储在本地数据库中的数据以某种形式(例如信用卡,用户凭据,医疗保健信息)输入数据。他们还可以将用户重定向到竞争对手或恶意站点,向他们显示竞争对手或恶意内容,或劫持其机器以用于加密采矿。
静态数据和移动数据由已建立的防御机制(如身份验证,加密和访问控制)提供支持。但是在现代网络上,服务器不再需要处理数据,它所要做的只是发送JavaScript文件。
执行的重点已经转移到浏览器的客户端上,您真正需要的是保护浏览器本身不受攻击。有很多现成的且非常有效的安全措施(CSP,SRI,Referrer-Policy等)。
但是,公司采用这些措施的速度很慢,并且通常缺乏实施这些措施的资源。安全团队没有行销团队那样的预算,专注于应用程序安全的网络安全人才之间存在巨大差距。
我们需要一种新的思维方式
弥补这些漏洞需要改变我们对网络安全的思考方式。在过去的十年中,Web发生了如此巨大的变化,人们以我们未曾想到的方式使用它:考虑移动Web的增长和物联网的发展。我们的安全方法没有跟上步伐。
每个网站都可以具有与Google用来保护客户信息的相同的安全控制措施和政策。对于安全从业人员来说,过去已经来临,应该更加密切地关注数据源的高度针对性的问题,并开始勤奋地立即部署客户端安全性。想了解更多信息安全的信息,请继续关注中培伟业。