F5分布式云客户端防御

--浏览器攻击的安全监控和缓解

 

客户端 JavaScript 威胁

 

当今企业专注于服务器端防御，虽然现有的安全控制（例如防火墙、WAF 和入侵检测）有助于保护服务器端数据，但大部分犯罪活动都发生在浏览器中。 客户端攻击（例如 Magecart）从客户端浏览器中获取表单数据并将其直接发送到攻击者域，从而绕过服务器端的防御。 如果没有在浏览器中提供安全的有效客户端防御，公司很容易受到攻击。

根据微软 RiskIQ 2020 年 12 月的报告，Magecart 攻击每 16 分钟发生一次（https://www.riskiq.com/resources/research/riskiq-2020-black-friday-e-commerce-blacklist/

而且，根据 Source Defense 的说法——客户端攻击每 39 秒发生一次。

 

那么究竟什么是客户端攻击呢？许多攻击都在客户端运行，并且在传统安全防护下进行。针对应用程序的软件供应链攻击在很大程度上是因为这些威胁的攻击面已经爆炸式增长。这是传统应用向现代化应用程序转型的结果。

传统的客户端-服务器 Web 应用程序是使用您自己构建的，并使用您自己的工具进行设计。 除了对您自己的服务器的数据调用和偶尔的更新之外，它们在客户端是独立开发的。为了加速开发、提高性能和创造更好的数字体验，很多开发者转向使用客户端上的第三方组件。 因此，我们看到客户端攻击显着增加。

许多企业在其软件供应链生态系统中存在很大的盲点，许多不同的脚本从第三方嵌入到他们的站点中。这些第三方本身通常依赖于另一组第三方库（jQuery 就是一个很好的例子），这使得跟踪和保护这个客户端 JavaScript 代码的供应链变得非常困难。

当今的现代 Web 应用程序非常复杂。作为标准用户体验的一部分，现代应用程序平均加载 20 多个第三方脚本是很常见的。嵌入在脚本中的脚本很难准确控制客户端上正在运行的内容。企业通常不知道他们的环境中究竟存在哪些脚本，谁将它们放置在那里，或者它们何时被更改。

虽然几乎 100% 的网站都是用 JavaScript 编写的，但编写 JavaScript 时并没有考虑到安全性。很容易理解为什么网站如此脆弱。

许多以前使用的检测技术，例如用于执行完整性检查以确保脚本未被篡改的子资源完整性 (SRI)，以及用于限制浏览器可以从中加载脚本和发送数据的位置的内容安全策略 (CSP)，仍然具有一定的价值，但已不足以保护当今不断变化的 Web 和移动应用程序。

事实是，今天的客户端攻击是有利可图的，公司实际上无法了解在其网站上运行的脚本数量或它们何时被暴露。犯罪分子正在利用这种缺乏可见性的优势，通过将恶意脚本注入网页所依赖的供应链来破坏电子商务平台帐户、代码存储库和 S3 存储桶。这会导致 PII 数据泄漏、支付卡盗刷、凭证劫持以及用户输入的其他敏感信息的数据泄露。

这些攻击通常被称为 Magecart 攻击。在最近的 F5 Labs 报告中，我们注意到恶意表单劫持脚本的多样性在 2021 年增长了 20 倍，其中使用的访问、伪装和渗透技术的种类也在增加。而且，F5 的 2019 年应用程序安全研究报告发现，表单劫持占网络泄露事件的 87%。

2021 年，诸如 Magecart 之类的 Formjacking 攻击再次构成了大部分网络攻击，其中大多数违规披露主要集中在零售行业。迄今为止，具有在线会员支付界面的零售业务最有可能遭受表单劫持攻击。

访问攻击，即针对面向用户的身份验证表面的攻击，是最常见的违规原因。在这里，我们可以看到这些攻击是如何策划的。攻击者在一个小部件上发现了一个漏洞，并将恶意代码注入到该小部件中。代码在小部件上运行。然后客户在网站上输入支付卡信息。该支付卡信息被发送回攻击者。个人和企业都不知道他们受到了损害。

影子代码，即在您不知情的情况下存在于您的环境中的代码，会给应用程序带来未知风险，并使企业难以确保数据安全、隐私和合规性。

几乎每个网站都使用供应链供应商或合作伙伴获取第三方代码，而这些第三方自己从合作伙伴那里获取代码。

虽然 Web 应用程序在企业的服务器上托管和维护，但它们实际上在最终用户的浏览器上运行。

由于供应链生态系统风险，在线表格容易受到攻击。 随着组织扩展其第三方生态系统和站点上的脚本数量，它们引入了新的潜在漏洞点。 大多数组织没有对脚本管理的集中控制和治理。 如果您网站上的第三方脚本存在漏洞而您不知道，则无法对其进行修补 – 这为攻击者或漏洞利用打开了大门。

 

客户端 JavaScript 攻击的代价

 

  供应链攻击可能会破坏企业。 除了攻击的直接影响（例如操作延迟、系统渗透以及敏感凭证或客户数据被盗）之外，长期后果可能很严重。 监管罚款、合规问题、声誉受损、对关联企业的攻击以及客户流失通常是供应链攻击的后果。

 

根据 IBM 的数据泄露安全成本报告，数据泄露的平均成本比 2020 年的 386 万美元增加了 10%，这是自报告发布以来的最大同比增幅。 该报告确实指出，虽然总体成本有所增加，但与在安全 AI 和自动化方面得分较低的组织相比，具有更成熟安全态势的组织的相关成本确实较低。

 

击败客户端攻击和消除客户端风险的最佳方法是主动监控客户端活动并建立机制来缓解浏览器攻击 - 在它们对您的业务或网站访问者造成损害之前。 各行各业的大公司投入巨资保护其客户数据，但他们仍然容易受到客户端攻击。如果您只关注服务器端防御，您可能已经被击败了。 是时候专注于防止客户端 Web 应用程序攻击了。

现代网络犯罪在安全和欺诈之间的灰色地带运作。成功的客户端攻击不仅仅是一个安全问题。它可能导致欺诈、昂贵的合规违规费用、心怀不满的客户和长期的负面声誉打击。

 

使用 F5 分布式云客户端防御缓解客户端 JavaScript 攻击

 

F5分布式云客户端防御可以通过主动控浏览器中“库”的活动，以抓住犯罪分子的行为。 当客户访问 Web 应用时，分布式云客户端防御会监视网页中的可疑代码，将遥测数据发送到分布式云客户端防御分析服务，该服务会生成可在仪表板中查看的可操作警报。启用一键式缓解后，客户端防御会阻止库从浏览器中发出的网络调用。

F5客户端防御非常简单。只需启用客户端防御，并使用负载均衡器、反向代理甚至直接将 Javascript 标签添加到您的网页中。完成此操作后，我们可以检测您网页上的恶意脚本，并在发现可疑内容时通知您。有多种警报通知选项可供选择：Slack，PagerDuty，SMS，电子邮件等。回到 CSD 仪表板，列出了威胁参与者的 C2 域以及其他威胁指标和风险评分以及违规的 JavaScript。从这里我们可以减轻威胁 - 确保攻击不再有效。就是这么简单。

F5分布式云客户端防御持续监控威胁，发送威胁警报并提供一键式缓解，使您能够阻止数据泄露和危害。我们保护您免受各种客户端攻击，保护客户凭据、财务详细信息和 PII 免受 Magecart、表单劫持和其他客户端供应链攻击。

为您的环境提供全面保护。填补传统服务器端防御留下的空白。使用F5分布式云客户端防御可以轻松避免浏览器攻击。我们提供免费增值产品，帮助您体验我们产品的力量。免费服务的上限为每月1M笔交易。提供全方位服务，以满足更大覆盖范围的需求。 不要成为客户端攻击的受害者。立即联系 F5 以了解更多信息。