跨境电商系列 | 高效监控脚本行为,保障数据隐私与安全
假设一家企业建立了一个面向最终消费者的在线商务网站。在自行开发了网站所必须的浏览、购买、下单付款等基础功能后,为了进一步改善用户体验,这个网站可能还需要一些辅助功能。
就这样,一个功能完备的在线商务网站,除了商家自行开发和控制的内容外,不可避免需要嵌入大量无法由商家直接控制的第三方脚本。此时,您是否会好奇这样一个问题:用户实际访问的网站和所获得的体验,与您最初的预期是否完全一致?
时至今日,大部分网站都依赖第三方JavaScript脚本来提供用户期望的动态体验。无论是将客户数据转化为个性定制的浏览体验,跟踪和重定向访客以增加网站流量,还是向外链接到社交媒体平台,第三方脚本已经深度嵌入在目前的大多数网站和应用程序中。
根据Akamai的一项统计,Akamai客户网站页面中,所有页面资源中约有67%的内容属于第三方脚本;而超过80%的网页至少包含一个已知的第三方库安全漏洞(CVE)。
由于企业无法直接控制第三方脚本的具体内容和行为,因此无论脚本自身存在安全漏洞,或通过后续更新产生了商家不希望的行为或操作,对商家而言这都会造成难以轻易发现并杜绝的风险,例如用户数据被窃取或泄露,或因为漏洞遭遇更复杂的攻击。
这样的威胁其实已经发生了。英国一家航空公司的网站,就因为第三方脚本的漏洞被黑客部署了跨站点攻击脚本,通过注入黑客的恶意代码改变网站行为,黑客成功地将该航空公司客户地数据劫持并发送到自己控制的服务器上,最终造成38万笔订单的详细信息被泄露。经媒体披露,该航空公司不仅名誉受损,最终还被罚款1.83亿英镑。
这种攻击的风险和后果有多严重?我们可以通过两个真实案例获得更直观的感受。
在Akamai帮助某家电商客户应对的一次Megacart攻击中,该电商的网站支付页面被插入了恶意代码。据分析,当用户访问支付页并输入信息时,恶意代码会记录用户输入的全部信息并外传到黑客指定的位置。因为WAF类型的安全产品无法实时监控在浏览器端的脚本行为,因此这样的攻击往往显得非常隐蔽,不易于察觉,但后果则通常都是“毁灭性”的。
第三方脚本导致的用户信息外泄问题同样严重。Akamai的某家客户曾经遭遇过第三方脚本发起的Telegram bot数据外泄事件。这个第三方脚本会记录用户输入的PII数据(如信用卡信息等),并借助Telegram API外传。
作为一种专门窃取信息的脚本,只有在用户真正输入信息,也就是在网页上键入信息内容,并按下回车键的那一刻才会开始运作,因此常规测试工作可能很难察觉。
要阻止上述这种基于第三方脚本的数据窃取攻击,企业必须首先知道发生了此类攻击。但由于此类攻击的秘密性,这一点非常具有挑战性。
发生攻击时,企业需要确切知道如何缓解这种情况,并能够迅速采取措施以防止威胁演变成大规模的用户敏感信息泄露。同时需要注意,能够在检测到攻击时立即阻止攻击的自动化解决方案才是最安全的方法。
而为了获得持续保护,企业需要能够轻松识别网页供应链中包含已知漏洞的脚本。只有尽早发现潜在问题,才能在安全漏洞被网络犯罪分子入侵前发现漏洞并加以修复。
好在,对于上述两个案例,以及其他遭遇类似困扰的Akamai客户,已经在Page Integrity Manager的帮助下妥善解决了问题。
Akamai Page Integrity Manager(下文简称为PIM)是一种实时的真实用户行为检测技术,可自动识别并帮助阻止基于脚本的数据盗窃,防止发生此类问题。
PIM在用户浏览器中运行,监视受保护页面中的所有脚本执行过程。当脚本出现行为变化时,将使用机器学习技术来评估未经授权或不当的操作所带来的风险。出现高风险事件时,解决方案会向安全团队发送警报以及足够的信息,帮助他们制定有效的缓解决策。
借此即可识别有漏洞的资源,检测可疑行为并阻止恶意活动,帮助网站抵御JavaScript威胁。通过检测被入侵的JavaScript行为,该产品可最大限度地降低用户数据被盗的风险以及对用户体验的负面影响。借助切实可行的即时见解,安全团队能够快速地了解基于脚本的威胁并采取相应的措施。
总的来说,PIM可通过检测、报告和主动防御三个环节帮助用户有效杜绝第三方网页脚本所带来的风险。
检测:当用户将PIM部署到自己的网站后,PIM会立即开始跟踪页面上的第三方脚本(甚至可跟踪第一方脚本的某些行为),并检查是否存在“信息外传”的事件。同时PIM会将所有的脚本信息进行穷举,并监控浏览器插件,此外还会列出与网站交互的某些“信誉差”的域名。
报告:如果发现泄露事件,PIM会进行实时告警,通过警报告诉用户这个事件发生在哪个页面上,有哪些信息被外泄,以及会产生怎样的影响。借此用户可以清晰了解到什么样的数据被读取了,以及什么样的数据以何种方式被外传了。同时警报中还会提供一些实用的链接,方便用户快速查看相关详情并立即采取措施。作为一款PCIDSS合规的工具,PIM本身并不会存储用户的敏感信息,而只会检测是否发生了某些事件(如脚本读取了哪一类型的敏感数据)。
主动防御:PIM还具备了一些主动防御功能,可通过设置让用户直接拒绝某些第三方域名,或拒绝某些域名访问敏感的Cookie或读取网页表单中的敏感数据。
免费试用,给您的网站做个全面体检
Akamai Page Integrity Manager是一款实时的脚本行为检测工具,可自动识别并帮助阻止基于脚本的数据盗窃,防止发生此类问题。
PIM易于实施和操作,可持续的分析网站上所有JavaScript行为。当检测到可疑脚本行为时,网站运营者会立即收到通知,并获得有关如何消除威胁的建议。您可以一键轻松缓解威胁,实时防御信息泄漏。
经过特别的设计,PIM可以立即部署并运行,无需对应用程序做出造成中断的变更。从安装之时起,它始终处于运行状态,始终位于正确的位置,始终帮助用户抵御来自第三方网页脚本的风险和攻击。