اسکریپت های شخص ثالث مشاغل شما را به خطر می اندازند ، منبع دفاع برای کمک به شما اینجاست


هدف اصلی شما در Source Defense چیست؟?

امروزه وب سایت ها به طور معمول با بسیاری از اسکریپت های فروشندگان شخص ثالث در وب سایت کار می کنند. این اسکریپت ها به گونه ای طراحی شده اند که توانایی محتوای غنی را داشته باشند و معیارهایی برای عملکرد و کارایی وب سایت ارائه دهند. اینها شامل تجزیه و تحلیل ، تبلیغات ، خدمات گپ ، برنامه های رسانه های اجتماعی و غیره است. با این حال آنها مشکلی را به وجود می آورند ، زیرا آنها خارج از محیط امنیتی وب سایت کار می کنند ، که بر ارتباط بین کاربر و سرور وب سایت متمرکز است. این امنیت به طور کلی شامل فایروال ها و WAF ها است که بر محافظت از سرور جلسه وب سایت متمرکز شده اند.

این اسکریپت های شخص ثالث خارج از این محیط امنیتی فعالیت می کنند و آسیب پذیری بسیار واقعی طرف مشتری را معرفی می کنند که در حال حاضر مورد توجه قرار نمی گیرد. این اسکریپت ها برای برقراری ارتباط با سرورهای از راه دور طراحی شده اند که توسط ارائه دهندگان خدمات شخص ثالث ، کاملاً بیرونی برای زیرساخت های امنیتی سازمان ها مدیریت می شوند. برخی از نام های بزرگ شامل گوگل و فیس بوک هستند ، اما بسیاری از فروشندگان شخص ثالث کوچک قابلیت های قانع کننده ای را ارائه می دهند که بطور گسترده مستقر شده و باعث افزایش تجربه وب یا غنی سازی تجزیه و تحلیل ها می شوند.

متأسفانه ، وقتی این فروشندگان شخص ثالث به خطر بیفتند ، حملات ناشی از آن به نوبه خود می تواند همه سازمانهایی را که خدمات این فروشنده شخص ثالث را ادغام کرده اند به خطر بیاندازد. ما نمونه های بسیاری از اخیر از این نوع حمله را مشاهده کردیم ، از جمله نقض ماه آوریل ، 2018 دلتا ، بهترین خرید ، سیرز و كمارت كه ناشی از خدمات به خطر افتاده یك فروشنده معتبر JavaScript شخص ثالث است كه همه آنها در وب سایت های خود مستقر كرده اند. حجم قابل توجهی از داده های کارت اعتباری به سرقت رفته است که منجر به هزینه های قابل توجه اصلاح و خسارت به اعتبار این فروشندگان برجسته شده است.

اگر در نظر بگیریم که منشأ جاوا اسکریپت هیچ تاثیری بر میزان دسترسی آن به صفحه ندارد. اینکه هر اسکریپت می تواند داده ها را از صفحه اضافه یا حذف کند ، اقدامات ناخواسته را انجام دهد و حتی سکته های کلیدی را ضبط کند زیرا کاربر آنها را تایپ می کند. عدم کنترل چگونگی عملکرد جاوا اسکریپت برای عملکرد ، شخص ثالث JS را به یک وکتورهای حمله به طور فزاینده ای محبوب برای هکرها تبدیل می کند.

راه حل های امروز در مورد "کشف" این مشکل پس از نقض متمرکز شده است. Source Defense یک رویکرد کاملاً جدید را معرفی کرده و یک تغییر پارادایم را که روی آن تمرکز کرده است ، معرفی می کند جلوگیری از این نوع حمله در زمان واقعی و از طریق اولین نوع از فناوری جداسازی و تقسیم بندی آن. راه حل SaaS مبتنی بر Cloud Source Source Defense به مدیران اجازه می دهد خط مشی های پیش فرض یا بسیار قابل تنظیم را برای هر اسکریپت شخص ثالثی که در صفحه وب خود کار می کند اختصاص دهند..

به عنوان نمونه ، می توان یک ابزار افزونه Analytics را کنترل کرد تا اطمینان حاصل شود که دسترسی فقط به محتوای صفحه وب دارد. در صورت به خطر انداختن این ابزار ، مجوزهای سیاستگذاری شده مستقر شده از طریق Source Defense اطمینان حاصل می شود که از فعالیت های مخرب مانند اضافه کردن محتوای ناخواسته جلوگیری می شود. به طور مشابه ، یک سرویس تبلیغاتی ، هنگامی که توسط Source Defense محافظت می شود ، فقط قادر به نمایش تبلیغات در مناطق تعیین شده خود خواهد بود و قادر به ایجاد هیچگونه پوشش بد فیشی نیست..

راه حل Source Defense هدفمند برای استقرار و سادگی مدیریت ساخته شده است. برای ارزیابی اسکریپت های شخص ثالث مستقر ، هوش دستگاهی اعمال می شود و خط مشی پیش فرض را برای هر سرویس شخص ثالث اختصاص می دهد. علاوه بر این ، دولت در حال انجام بسیار ناچیز است و مستلزم نظارت کمی بر فراتر از پذیرش خط مشی های مربوط به اسکریپت های شخص ثالث تازه مستقر شده است. یادگیری ماشین تضمین می کند که این سیاست های پیش فرض به طور کلی موثر هستند. اما ، در صورت لزوم ممکن است این خط مشی ها سفارشی سازی شوند.

ما راه حل Source Defense را هم یک راه حل امنیتی قانع کننده و هم یک ابزار مهم برای فعال سازی تجارت در نظر می گیریم. این برنامه به سازمانها اجازه می دهد تا ابزارهای شخص ثالث را که امکان دسترسی به محتوای غنی و توانایی غنی را در وب سایتهای خود دارند ، سریع و ایمن مستقر کنند.

چگونه گذار از آنالوگ به دیجیتال بازی را برای موسسات مالی تغییر داده است?

اگر ده سال پیش به وب سایت های مالی نگاه کنید ، در صورت وجود تعداد کمی از اسکریپت های شخص ثالث که در وب سایت های شرکتی فعالیت دارند ، مشاهده نمی کنید. امروزه ادغام های شخص ثالث معمولاً مستقر می شوند. این بانک معمولی دارای بیست تا چهل اسکریپت شخص ثالث است که همزمان کار می کنند.

تیم های امنیتی دائما با تضمین امنیت وب سایت ، با چالش فعال کردن سریع توانایی این فروشندگان شخص ثالث مبارزه می کنند.

سازمانهای مالی غالباً تصمیم می گیرند که خدمات شخص ثالث را از طریق فروشندگان شناخته شده و مستقر در وب سایت های خود ادغام کنند ، زیرا آنها را امن تر می دانند. این امر باعث ایجاد تعارض بین تیم های بازاریابی و امنیت می شود زیرا ابزارهای جدید نوآورانه اغلب به اعتبار امنیتی گسترده نیاز دارند و زمان را برای بازار به خطر می اندازند.

سیستم عامل های مدیریت برچسب علاوه بر یکپارچه سازی اسکریپت ها به صفحات وب با یک رابط کاربری ساده امکان پذیر است. هنگامی که موسسات مالی این ابزارها را به اشتباه سوق می دهند ، هدف از افزایش کارآیی ممکن است به دلیل مواجهه با اسکریپت ها و ابزارهای معتبر در معرض قرار گرفتن در معرض هزینه های گزاف باشد..

موسسات مالی محافظت شده توسط Source Defense می توانند با اعتماد به نفس ابزارهای شخص ثالث را در وب سایتهای خود مستقر کنند بدون اینکه سازمان های خود را در معرض آسیب پذیری های معرفی شده توسط اسکریپت های خود قرار دهند. این ابزارها می توانند به سرعت و ایمن اجرا شوند.

از آنجا که فناوری زنجیره بلوک محبوبیت بیشتری پیدا می کند ، چگونه به کارآفرینان مالی توصیه می کنید از داده های کاربران خود محافظت کنند?

Source Defense توصیه می کند تا نسبت به آسیب پذیری های وارد شده در طرف مشتری (مرورگر) بیشتر مورد توجه و دقت قرار گیرد ، این سایت های در حال ظهور ممکن است معاملات عظیمی را در آنها داشته باشند و داشتن اسکریپت های شخص ثالث بدون کنترل در صفحات وب ممکن است ضررهای بزرگی به همراه داشته باشد. توصیه من این است که یا راه حلی اتخاذ کنید که بتواند این اشخاص ثالث را مدیریت کند یا از استفاده آنها تا حد امکان جلوگیری کند.

به نظر شما آیا اینترنت باید تنظیم شود؟ چگونه?

فکر نمی کنم اینترنت تنظیم شود. با این حال ، این پاسخ بستگی به بحث در مورد "تنظیم شده" دارد. این خطر بزرگ وجود دارد که تنظیم ساده خیلی سریع به سانسور تبدیل شود. به گفته این ، من اعتقاد دارم که وب سایت هایی وجود دارند که باید مورد استفاده قرار بگیرند و مورد استفاده قرار گیرند. من برنامه های ISP را مسدود نمی کنم ، زیرا این یک شیب بسیار لغزنده است. با این حال ، روشن است که به نوعی مرجع تحقیق باید توسط دولت تأمین مالی و پشتیبانی شود تا از برخی محتواهای ناگوار و معامله ای که توسط یک اینترنت نظارت نشده صورت می گیرد جلوگیری شود.

درباره برنامه های آینده Source Defense چه می توانید به ما بگویید?

ما یک راه اندازی سریع در حال رشد با اولین راه حل در نوع خود هستیم که به یک وکتور تهدید بسیار قانع کننده و واقعی که امروزه تقریباً هر سازمان با یک وب سایت با آن روبرو است پرداخته است. بسیاری از موارد نقض اخیر ، نیاز به این راه حل را برجسته کرده است. به همین ترتیب ، ما با خلبانان متعدد با سازمانهای بزرگ چند ملیتی و شرکت های Fortune-500 درگیر هستیم. در آینده ما شاهد خواهیم بود كه منشأ پدافند عمیق تر به حریم خصوصی و امنیت گسترش یابد ، ادغامها را گسترش داده و پشتیبانی از الزامات كلیدی تطبیق مانند مواردی را كه در GDPR مشهود است گسترش دهد. ما در هدف اصلی ما یاری رساندن به سازمانها برای داشتن مشاغل امن ایمن ، ثابت قدم خواهیم ماند.

ما قصد داریم دفتر مرکزی جدید خود را در ایالات متحده افتتاح کنیم و برنامه ریزی می کنیم تا در آینده نزدیک عملیات قابل توجهی را در آنجا رشد کنیم.

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me