防患于未然:多管齐下防范第三方脚本安全隐患
时间:2022-04-22 02:18:01 | 来源:行业动态
时间:2022-04-22 02:18:01 来源:行业动态
由此可见,第三方脚本带来的种种安全风险为各种类型的网络攻击提供了温床,但其自身又往往处于隐秘的角落,较难控制和监测。但对于这样的风险,企业并非完全束手无策,目前有四种常用的应对方法,以将第三方脚本带来的安全风险扼杀在摇篮中。
第一种方法是内容安全策略(CSP)白名单。内容安全策略是通过白名单的方式,检测和监控来自第三方的安全隐患,适用于能够严格遵守该策略的企业,且以防御为主。但该方法也存在一定弊端,一是如果可信的第三方被利用并成为攻击媒介,这种策略就无法起到应有效果;二是该策略在实际操作中较难实施和维护,需要持续的手段分析和测试,如果策略设置得过于严格也将产生误报;三是如果对于通用云存储和开源项目中的资源设置白名单,会进一步增加网站的脆弱性。
第二种方法是仿真测试扫描。仿真测试扫描是一种离线的策略方法,适用于简单的网站及策略更新时。但实行该方法仍然需要持续的手动分析和测试。
第三种方法是访问控制/沙盒。访问控制/沙盒的方式适用于页面简单或页面数量较少、不包含个人验证信息的网站。该方法可以与内容安全策略结合使用,同时也需要持续的手动分析和测试。
第四种方法是应用程序内检测。其检测脚本的行为、可疑的活动,着力于快速缓解攻击、减少对业务的影响。这也是Akamai认为有效的脚本保护方式之一。持续的手动分析和测试在现实场景下较难实现,应用程序内检测则是一个独立于平台且自动的、不断演进的安全威胁检测方式,并且不依靠于访问控制方法,真正能够做到保障网站安全。举例而言,对于Magecart攻击来说,这种方式能够检测可疑的行为,并且易于管理和设置,让企业的网站始终处于监测状态、随时在线。另外,它还能够排除干扰信息,根据已知的安全威胁提供情报,避免重蹈覆辙。最后,针对访问的控制策略,该方法也会根据反馈不断进行更新。
随着第三方脚本成为现代网站的必需品,针对第三方脚本的攻击发生得也越来越频繁,且往往给企业带来巨大损失。企业应当保持警惕,使用诸如Request Map这样的工具检测网站页面第三方脚本的数量,并对网站页面的第三方脚本予以监视,哪怕该脚本来自受信任的第三方也是如此。同时,企业应考虑适用自身网站的脚本管理方式,进行第三方脚本行为检测,实施管理和风险控制,并将应用程序内的脚本保护与访问控制解决方案结合起来,协同运行。
Akamai最近推出的Page Integrity Manager为Akamai客户提供了管理脚本(包括第一方、第三方乃至第n方脚本)风险所需的检测能力,以及根据客户自身独特需要制定业务决策所必不可少的实用信息 。
在线咨询
