防患于未然：多管齊下防范第三方腳本安全隱患

時(shí)間：2022-04-22 02:18:01 | 來(lái)源：行業(yè)動(dòng)態(tài)

時(shí)間：2022-04-22 02:18:01 來(lái)源：行業(yè)動(dòng)態(tài)

由此可見，第三方腳本帶來(lái)的種種安全風(fēng)險(xiǎn)為各種類型的網(wǎng)絡(luò)攻擊提供了溫床，但其自身又往往處于隱秘的角落，較難控制和監(jiān)測(cè)。但對(duì)于這樣的風(fēng)險(xiǎn)，企業(yè)并非完全束手無(wú)策，目前有四種常用的應(yīng)對(duì)方法，以將第三方腳本帶來(lái)的安全風(fēng)險(xiǎn)扼殺在搖籃中。



第一種方法是內(nèi)容安全策略（CSP）白名單。內(nèi)容安全策略是通過(guò)白名單的方式，檢測(cè)和監(jiān)控來(lái)自第三方的安全隱患，適用于能夠嚴(yán)格遵守該策略的企業(yè)，且以防御為主。但該方法也存在一定弊端，一是如果可信的第三方被利用并成為攻擊媒介，這種策略就無(wú)法起到應(yīng)有效果；二是該策略在實(shí)際操作中較難實(shí)施和維護(hù)，需要持續(xù)的手段分析和測(cè)試，如果策略設(shè)置得過(guò)于嚴(yán)格也將產(chǎn)生誤報(bào)；三是如果對(duì)于通用云存儲(chǔ)和開源項(xiàng)目中的資源設(shè)置白名單，會(huì)進(jìn)一步增加網(wǎng)站的脆弱性。

第二種方法是仿真測(cè)試掃描。仿真測(cè)試掃描是一種離線的策略方法，適用于簡(jiǎn)單的網(wǎng)站及策略更新時(shí)。但實(shí)行該方法仍然需要持續(xù)的手動(dòng)分析和測(cè)試。

第三種方法是訪問(wèn)控制/沙盒。訪問(wèn)控制/沙盒的方式適用于頁(yè)面簡(jiǎn)單或頁(yè)面數(shù)量較少、不包含個(gè)人驗(yàn)證信息的網(wǎng)站。該方法可以與內(nèi)容安全策略結(jié)合使用，同時(shí)也需要持續(xù)的手動(dòng)分析和測(cè)試。

第四種方法是應(yīng)用程序內(nèi)檢測(cè)。其檢測(cè)腳本的行為、可疑的活動(dòng)，著力于快速緩解攻擊、減少對(duì)業(yè)務(wù)的影響。這也是Akamai認(rèn)為有效的腳本保護(hù)方式之一。持續(xù)的手動(dòng)分析和測(cè)試在現(xiàn)實(shí)場(chǎng)景下較難實(shí)現(xiàn)，應(yīng)用程序內(nèi)檢測(cè)則是一個(gè)獨(dú)立于平臺(tái)且自動(dòng)的、不斷演進(jìn)的安全威脅檢測(cè)方式，并且不依靠于訪問(wèn)控制方法，真正能夠做到保障網(wǎng)站安全。舉例而言，對(duì)于Magecart攻擊來(lái)說(shuō)，這種方式能夠檢測(cè)可疑的行為，并且易于管理和設(shè)置，讓企業(yè)的網(wǎng)站始終處于監(jiān)測(cè)狀態(tài)、隨時(shí)在線。另外，它還能夠排除干擾信息，根據(jù)已知的安全威脅提供情報(bào)，避免重蹈覆轍。最后，針對(duì)訪問(wèn)的控制策略，該方法也會(huì)根據(jù)反饋不斷進(jìn)行更新。

隨著第三方腳本成為現(xiàn)代網(wǎng)站的必需品，針對(duì)第三方腳本的攻擊發(fā)生得也越來(lái)越頻繁，且往往給企業(yè)帶來(lái)巨大損失。企業(yè)應(yīng)當(dāng)保持警惕，使用諸如Request Map這樣的工具檢測(cè)網(wǎng)站頁(yè)面第三方腳本的數(shù)量，并對(duì)網(wǎng)站頁(yè)面的第三方腳本予以監(jiān)視，哪怕該腳本來(lái)自受信任的第三方也是如此。同時(shí)，企業(yè)應(yīng)考慮適用自身網(wǎng)站的腳本管理方式，進(jìn)行第三方腳本行為檢測(cè)，實(shí)施管理和風(fēng)險(xiǎn)控制，并將應(yīng)用程序內(nèi)的腳本保護(hù)與訪問(wèn)控制解決方案結(jié)合起來(lái)，協(xié)同運(yùn)行。

Akamai最近推出的Page Integrity Manager為Akamai客戶提供了管理腳本（包括第一方、第三方乃至第n方腳本）風(fēng)險(xiǎn)所需的檢測(cè)能力，以及根據(jù)客戶自身獨(dú)特需要制定業(yè)務(wù)決策所必不可少的實(shí)用信息 。