¿Por qué CSP no es suficiente para detener los ataques tipo Magecart?



A medida que los ataques Magecart y formjacking se vuelven más sofisticados, es esencial abordar no solo qué servicios pueden interactuar con los usuarios, sino también cómo se ve esa interacción y cómo controlarla.

2019 dejó a las empresas luchando por las medidas de seguridad para abordar nuevas amenazas, como el pirateo y los ataques dirigidos perpetrados por el grupo conocido como Magecart, así como otros atacantes que aprovechan las mismas técnicas. La mayoría, si no todos, los ataques de estilo Magecart comenzaron desde un dominio confiable, un tercero o el dominio serious del sitio web. El ataque de British Airways comenzó desde su propio dominio, mientras que Delta Airlines, Finest Purchase, Sears y otros comenzaron desde dominios de terceros de confianza.

Tradicionalmente, los analistas de seguridad han sugerido rápidamente la Política de seguridad de contenido (CSP) como una técnica válida para frustrar estos ataques. En realidad, existen muchas lagunas y vulnerabilidades en el uso de CSP como una solución remaining para monitorear y proteger sitios web y garantizar que el usuario final o el cliente también estén protegidos de estos ataques.

Desafortunadamente, el uso de CSP solo para combatir la amenaza planteada por Magecart deja grandes lagunas y puntos ciegos en el estado basic de salud, seguridad y funcionalidad de un sitio web.

¿Qué es un CSP?
CSP se implementa a través de una serie adicional de encabezados que un servidor world wide web puede enviar al navegador de un visitante para definir reglas sobre qué código, imágenes, videos y otros archivos puede cargar el navegador. En pocas palabras, el navegador recibe una lista de dominios en los que puede confiar y desde los cuales puede recuperar contenido. Si la página internet intenta cargar contenido de un dominio que no figura en la definición CSP proporcionada por el servidor net, ese contenido no se cargará.

CSP puede usarse para prevenir efectivamente ciertos tipos de ataques del lado del cliente. En los casos en que los recursos externos se puedan mapear de antemano, se investigue a fondo el código malicioso y se mantenga actualizado a través de futuras versiones, CSP puede ser un componente útil de una estrategia general contra Magecart.

Sin embargo, hay algunos problemas que muestran las desventajas de CSP. Aquí hay tres de sus mayores problemas, así como algunos consejos sobre cómo abordarlos.

CSP permite que el propietario de un sitio website controle de dónde puede provenir el código de terceros, pero no proporciona una forma sólida o granular de manejar lo que ese código hace una vez que se ejecuta en el navegador. De alguna manera, esto es análogo a dar la clave de su negocio a un contratista y dejarlos sin supervisión les está otorgando acceso pero no tiene regulate sobre su comportamiento una vez que tienen ese acceso.

A medida que los ataques tipo Magecart se vuelven más sofisticados, es esencial abordar no solo qué servicios pueden interactuar con su visitante, sino también cómo se ve esa interacción y cómo se puede controlar.

Se requiere más trabajo y gestión
La implementación de CSP requiere una gran cantidad de esfuerzo debido a la configuración, la experiencia en el tema y el mantenimiento continuo. Cada nuevo servicio de terceros introducido en el sitio world wide web requerirá un análisis por parte de los desarrolladores, la creación de nuevas directivas CSP y cambios en la aplicación del servidor world-wide-web para implementar esas nuevas directivas. Además, este proceso puede necesitar repetirse con cada nueva versión de cualquier servicio de terceros en specific presente. Por último, esto requiere una gobernanza continua y colaboración entre los medios digitales o los equipos de advertising and marketing y el desarrollo de aplicaciones, creando una carga organizativa adicional.

Los servicios de terceros cambian con frecuencia su propia arquitectura interna por una variedad de razones: mejoras de características, optimización, condiciones de mercado, etcetera. Cualquier cambio implementado por un tercero puede requerir la reconfiguración de las reglas CSP creadas para ese servicio.

Mientras se realizan esos cambios, la organización que united states ese servicio de terceros debe tomar una decisión entre deshabilitar CSP por completo y permitir que ese servicio se ejecute sin seguridad o suspender el uso del servicio hasta que se pueda desarrollar una nueva configuración de CSP. casa.

System de ACCION
Aquí hay tres pasos simples que las organizaciones pueden tomar para evaluar su vulnerabilidad y protegerse mejor:

  • Realice un análisis de amenazas del sitio website para ver qué tan vulnerable es usted realmente de los ataques maliciosos.
  • Comprenda qué scripts en su sitio web se están ejecutando y detecte los que no deberían estar allí o que no están haciendo lo que están destinados a hacer.
  • Presta atención a ataques similares de la industria. Si usted es una empresa de comercio electrónico y nota que hay muchos ataques en las noticias, haga su tarea al respecto. Asegúrese de no estar utilizando los mismos sistemas y, si lo está, de que los está monitoreando de manera eficiente.

Muchas organizaciones subestiman la importancia del código que entregan al navegador de un visitante. El aspecto, la sensación, la interactividad, el esquema de shade y la elección de la fuente pueden analizarse detenidamente para garantizar la satisfacción óptima del cliente y el retorno de la inversión. Pero a menudo, lo que se muestra en el navegador se considera una capa de presentación en lugar de una parte crucial de la aplicación website en sí.

Debido a que el código del lado del cliente es, en muchos casos, el núcleo del motor de comercio en el que se basa la organización, es esencial proteger ese código no solo con el enfoque de cerradura y llave o lista blanca proporcionado por CSP, sino también robusto. de alta generación que proporcionan handle granular sobre terceros y realmente extienden la seguridad del sitio net al lado del cliente.

Contenido relacionado:

Hadar aporta más de 15 años de experiencia ejecutiva variada, liderando equipos y desarrollando múltiples soluciones listas para usar. Anteriormente Arquitecto Jefe de Soluciones en el equipo global de ventas y alianzas de LivePerson, el enfoque de Hadar ayudó a cerrar contratos por valor de millones de … Ver biografía completa

Más tips





Enlace a la noticia first