Akamai孟焯谈第三方脚本的安全风险与应对方式( 二 )


意外泄漏 。 意外泄漏指应用意外收集用户敏感数据导致的合规风险 。 2019年第四季度 , 某国际零售商网站上出现了不安全脚本 , 使得任何人都可以通过Web浏览器访问该网站近1.3 TB的数据 , 包括用户的IP、住址、邮箱地址和在网站的活动轨迹 。 此外 , 这还可能会引发针对性的网络钓鱼攻击 。
已知漏洞(CVE) 。 这是指在真实使用场景中 , 脚本已经暴露出漏洞 , 但未能得到及时修复 。 2019年第四季度 , 某旅游服务商在一次第三方脚本攻击的15天内暴露了30多万用户的个人信息 , 导致百万美金的罚款 。 而造成此次攻击的漏洞就来自于已知的脚本漏洞 , 并且该漏洞已在此前导致过数据泄漏 。
如何防范这一隐患?
如上所述 , 第三方脚本带来的种种安全风险为各种类型的网络攻击提供了“温床” , 但其自身又往往处于“隐秘的角落” , 较难控制和监测 。 不过 , 对于这样的风险 , 企业并非完全束手无策 。
在孟焯看来 , 目前有四种常用的应对方法 , 以将第三方脚本带来的安全风险“扼杀在摇篮中” 。
首先是内容安全策略(CSP)白名单 。 据介绍 , 内容安全策略是通过白名单的方式 , 检测和监控来自第三方的安全隐患 , 适用于能够严格遵守该策略的企业 , 且以防御为主 。 但该方法也存在一定弊端 , 一是如果可信的第三方被利用并成为攻击媒介 , 这种策略就无法起到应有效果;二是该策略在实际操作中较难实施和维护 , 需要持续的手段分析和测试 , 如果策略设置得过于严格也将产生误报;三是如果对于通用云存储和开源项目中的资源设置白名单 , 会进一步增加网站的“脆弱性” 。
其次是仿真测试扫描 。 仿真测试扫描是一种离线的策略方法 , 适用于简单的网站及策略更新时 。 但实行该方法仍然需要持续的手动分析和测试 。
再次是访问控制/沙盒 。 访问控制/沙盒的方式适用于页面简单或页面数量较少、不包含个人验证信息的网站 。 该方法可以与内容安全策略结合使用 , 同时也需要持续的手动分析和测试 。
第四是应用程序内检测 。 其检测脚本的行为、可疑的活动 , 着力于快速缓解攻击、减少对业务的影响 。 这也是Akamai认为有效的脚本保护方式之一 。 持续的手动分析和测试在现实场景下较难实现 , 应用程序内检测则是一个独立于平台且自动的、不断演进的安全威胁检测方式 , 并且不依靠于访问控制方法 , 真正能够做到保障网站安全 。 举例而言 , 对于Magecart攻击来说 , 这种方式能够检测可疑的行为 , 并且易于管理和设置 , 让企业的网站始终处于监测状态、随时在线 。 另外 , 它还能够排除干扰信息 , 根据已知的安全威胁提供情报 , 避免“重蹈覆辙” 。 最后 , 针对访问的控制策略 , 该方法也会根据反馈不断进行更新 。
【Akamai孟焯谈第三方脚本的安全风险与应对方式】“随着第三方脚本成为现代网站的‘必需品’ , 针对第三方脚本的攻击发生得也越来越频繁 , 且往往给企业带来巨大损失 。 ”最后 , 孟焯建议道:“企业应当保持警惕 , 使用诸如Request Map这样的工具检测网站页面第三方脚本的数量 , 并对网站页面的第三方脚本予以监视 , 哪怕该脚本来自受信任的第三方也是如此 。 同时 , 企业应考虑适用自身网站的脚本管理方式 , 进行第三方脚本行为检测 , 实施管理和风险控制 , 并将应用程序内的脚本保护与访问控制解决方案结合起来 , 协同运行 。 ”


推荐阅读