“防”字当头,第三方脚本成为网络攻击“重灾区”( 二 )
意外泄漏 。意外泄漏指应用意外收集用户敏感数据导致的合规风险 。2019年第四季度,某国际零售商网站上出现了不安全脚本,使得任何人都可以通过Web浏览器访问该网站近1.3 TB的数据,包括用户的IP、住址、邮箱地址和在网站的活动轨迹 。此外,这还可能会引发针对性的网络钓鱼攻击 。
已知漏洞(CVE) 。这是指在真实使用场景中,脚本已经暴露出漏洞,但未能得到及时修复 。2019年第四季度,某旅游服务商在一次第三方脚本攻击的15天内暴露了30多万用户的个人信息,导致百万美金的罚款 。而造成此次攻击的漏洞就来自于已知的脚本漏洞,并且该漏洞已在此前导致过数据泄漏 。
防患于未然:多管齐下防范第三方脚本安全隐患
由此可见,第三方脚本带来的种种安全风险为各种类型的网络攻击提供了“温床”,但其自身又往往处于“隐秘的角落”,较难控制和监测 。但对于这样的风险,企业并非完全束手无策,目前有四种常用的应对方法,以将第三方脚本带来的安全风险“扼杀在摇篮中” 。
文章插图
第一种方法是内容安全策略(CSP)白名单 。内容安全策略是通过白名单的方式,检测和监控来自第三方的安全隐患,适用于能够严格遵守该策略的企业,且以防御为主 。但该方法也存在一定弊端,一是如果可信的第三方被利用并成为攻击媒介,这种策略就无法起到应有效果;二是该策略在实际操作中较难实施和维护,需要持续的手段分析和测试,如果策略设置得过于严格也将产生误报;三是如果对于通用云存储和开源项目中的资源设置白名单,会进一步增加网站的“脆弱性” 。
第二种方法是仿真测试扫描 。仿真测试扫描是一种离线的策略方法,适用于简单的网站及策略更新时 。但实行该方法仍然需要持续的手动分析和测试 。
第三种方法是访问控制/沙盒 。访问控制/沙盒的方式适用于页面简单或页面数量较少、不包含个人验证信息的网站 。该方法可以与内容安全策略结合使用,同时也需要持续的手动分析和测试 。
第四种方法是应用程序内检测 。其检测脚本的行为、可疑的活动,着力于快速缓解攻击、减少对业务的影响 。这也是Akamai认为有效的脚本保护方式之一 。持续的手动分析和测试在现实场景下较难实现,应用程序内检测则是一个独立于平台且自动的、不断演进的安全威胁检测方式,并且不依靠于访问控制方法,真正能够做到保障网站安全 。举例而言,对于Magecart攻击来说,这种方式能够检测可疑的行为,并且易于管理和设置,让企业的网站始终处于监测状态、随时在线 。另外,它还能够排除干扰信息,根据已知的安全威胁提供情报,避免“重蹈覆辙” 。最后,针对访问的控制策略,该方法也会根据反馈不断进行更新 。
随着第三方脚本成为现代网站的“必需品”,针对第三方脚本的攻击发生得也越来越频繁,且往往给企业带来巨大损失 。企业应当保持警惕,使用诸如Request Map这样的工具检测网站页面第三方脚本的数量,并对网站页面的第三方脚本予以监视,哪怕该脚本来自受信任的第三方也是如此 。同时,企业应考虑适用自身网站的脚本管理方式,进行第三方脚本行为检测,实施管理和风险控制,并将应用程序内的脚本保护与访问控制解决方案结合起来,协同运行 。
Akamai最近推出的Page Integrity Manager为Akamai客户提供了管理脚本(包括第一方、第三方乃至第n方脚本)风险所需的检测能力,以及根据客户自身独特需要制定业务决策所必不可少的实用信息 。
【“防”字当头,第三方脚本成为网络攻击“重灾区”】
推荐阅读
- 强人“锁”难,MySQL到底有多少锁?
- 教育部|教育部传出好消息,对“学历歧视”的第一学历,将不再限制专科生
- 褚时健|人到中年,需要一次“重启”!
- |职场上怎么防备对手?
- 华为|宝马牵手华为 华为应用商店登陆全新7系:可安装“宝宝巴士”
- 电动车|收割国外“韭菜” 小鹏P5欧洲四国开售:起售价最低27.93万元
- 韩信之死萧何后悔吗 萧何杀韩信的原因
- 论文|中科院内部邮件揭开知网“黑幕”:近千万续订费苦不堪言
- 冬季腹泻如何处理 4种预防措施要牢记
- 冬季老人谨防心血管疾病发作