Redes de entrega de contenido que agregan cheques para …


Las aplicaciones world wide web modernas hacen un uso significativo del código de terceros para impulsar la innovación, pero la cadena de suministro de software program también se ha convertido en una fuente importante de amenazas. Las CDN buscan cambiar eso.

En 2019, miles de sitios world-wide-web sufrieron ataques de robo de información causados ​​por el compromiso de los scripts de terceros utilizados para crear sus sitios. La revista Forbes, el fabricante de productos de consumo OXO, el proveedor de ropa deportiva Puma Australia y el canal de aprendizaje Sesame Avenue fueron objetivos de estos llamados ataques Magecart.

Si bien una variedad de empresas de ciberseguridad han propuesto defensas para proteger los sitios del contenido malicioso de terceros, las empresas que ofrecen contenido del sitio net, conocidas como redes de entrega de contenido (CDN), son un punto de management organic desde el cual se pueden detectar estos ataques.

De hecho, los CDN han comenzado a implementar funciones para combatir ataques que abusan de la cadena de suministro de computer software y comprometen a los visitantes del sitio world wide web a través de los scripts de terceros utilizados por los sitios para generar contenido. En marzo, por ejemplo, Cloudflare lanzó una integración con el servicio de seguridad del lado del cliente Tala que permite a la compañía escanear páginas website en busca de contenido malicioso para atrapar código de terceros que puede ser malicioso. Tales esfuerzos son necesarios porque los ataques de la cadena de suministro de terceros son difíciles de atrapar, dijo la firma.

La firma de infraestructura de World-wide-web Akamai también ha integrado controles de seguridad contra componentes de terceros deshonestos en un intento de mitigar tales ataques en el futuro.

Apodado el Website page Integrity Supervisor, la nueva característica, anunciada hoy, se ha integrado en la infraestructura CDN de Akamai y protegerá en tiempo real contra el código JavaScript que intenta escanear información, secuestrar sitios internet o redirigir a un visitante, dice Patrick Sullivan, jefe de oferta de tecnología. por seguridad y estrategia en Akamai.

«Monitoreamos el comportamiento de todos los scripts en el sitio, ya sean de origen o de terceros», dice. «Puedes pensar en ello como monitorear el JavaScript desde la cuna hasta la tumba».

Punto ciego de terceros
A medida que las personas confían más en las compras en línea para satisfacer sus necesidades, los ataques a sitios internet a través de sus proveedores de código de terceros, que las empresas de ciberseguridad han agrupado bajo el nombre de Magecart, representan una amenaza mayor. En 2019, más de 4,800 intentos de secuestrar información de formularios usando código de terceros ocurrieron cada mes, según la firma de seguridad RapidSpike.

El alcance del uso de componentes de terceros es enorme.

«Hoy, hasta el 70% del código que se ejecuta y se procesa en el navegador de su cliente proviene de estas (fuentes de terceros)», Cloudflare declarado en su weblog. «Todas estas integraciones de software program proporcionan vías para posibles vulnerabilidades».

Los sitios world-wide-web modernos son una colección de código y componentes, la mayoría de los cuales provienen de proveedores externos, como sistemas de gestión de contenido y proyectos de código abierto. A menudo, esos terceros también incluyen otros componentes, como las bibliotecas de código abierto, que dan como resultado un código de terceros que también se ejecuta en sitios net.

Para un sitio promedio, el tamaño total del código JavaScript de terceros es tres veces el tamaño del código creado por los propietarios del sitio, de acuerdo con el Archivo HTTP. En 2020, el sitio world wide web promedio ejecutó 35 componentes de terceros diferentes y 31 componentes de terceros, en comparación con 18 y 10 componentes, respectivamente, en 2016, según el servicio de protección de sitios Reflectiz.

«Sorprendentemente y a pesar de su creciente papel, los terceros en los sitios web siguen siendo un punto ciego desde la perspectiva de la seguridad cibernética», dijo la compañía. declarado en su weblog.

Debido a que a menudo almacenan y sirven código de terceros, los CDN, como Akamai, son un objetivo común de los grupos de Magecart y un punto común que se puede utilizar para proteger a los clientes. Hace un año, por ejemplo, los ciberdelincuentes inyectaron skimmers web en sitios web utilizando código de terceros alojado en la CDN de CloudFront de Amazon, que afecta, entre otros sitios, al sitio world-wide-web oficial de la NBA.

Debido a que pueden comprometer un servicio de terceros en el que el objetivo ultimate tiene poca visibilidad, los ataques Magecart pueden ser muy efectivos, dice Sullivan de Akamai.

«Y todo tipo de estafadores están causando sufrimiento porque algún proveedor externo está comprometido, y ahora eso es una entrada a la información confidencial de esa sesión website», dice, señalando el compromiso de un proveedor de chatbox como un ejemplo. «(Los estafadores) pueden aprovechar ese JavaScript que se está ejecutando para monitorear básicamente todos los detalles de la tarjeta de crédito que se ingresan, las credenciales, todos esos datos confidenciales, y luego filtrarlos a un sitio controlado por el atacante».

Akamai Administrador de integridad de página tiene como objetivo encontrar recursos vulnerables en el código de un sitio world wide web y bloquear la actividad maliciosa mediante análisis de comportamiento. Cuando un JavaScript determinado como benigno se inicia y realiza una serie de acciones, el servicio lo dejará correr. Por el contrario, si un JavaScript se inicia e intenta leer desde un campo wise o abrir una conexión de crimson a un dominio clasificado como sospechoso, el servicio bloqueará el código.

«Creemos que esta es una extensión natural de nuestro servicio», dice Sullivan. «Si estamos acelerando un sitio web, tiene sentido en un conjunto de herramientas también buscar comportamientos sospechosos».

Contenido relacionado:

Aprenda de los expertos de la industria en un entorno propicio para la interacción y la conversación sobre cómo prepararse para eso «realmente mal día «en ciberseguridad. Haga clic para más información y para registrarse.

Periodista de tecnología veterano de más de 20 años. Ex ingeniero de investigación. Escrito para más de dos docenas de publicaciones, incluidas CNET News.com, Darkish Studying, MIT&#39s Technological know-how Review, Common Science y Wired Information. Cinco premios para el periodismo, incluyendo Mejor fecha límite … Ver biografía completa

Lectura recomendada:

Más thoughts





Enlace a la noticia initial