Els scripts de tercers estan posant en perill el vostre negoci, aquí trobareu la defensa de la font


Quin és el vostre objectiu principal a Source Defense?

Els llocs web actualment funcionen generalment amb molts scripts de venedors de tercers integrats al lloc web. Aquests scripts estan dissenyats per permetre una rica capacitat de contingut i proporcionar mesures de rendiment i eficiència del lloc web. S’inclouen analítiques, publicitat, serveis de xat, aplicacions de xarxes socials, etc. Tot i això, introdueixen un problema, ja que funcionen fora del perímetre de seguretat del lloc web, centrat en la comunicació entre l’usuari i el servidor del lloc web. Aquesta seguretat inclou generalment tallafocs i WAFs que es centren a protegir els servidors de la sessió del lloc web.

Aquests scripts de tercers funcionen fora d’aquest perímetre de seguretat i introdueixen una vulnerabilitat molt real del client i que actualment no s’aborda. Aquests scripts estan dissenyats per comunicar-se amb servidors remots gestionats per proveïdors de serveis de tercers, completament externs a la infraestructura de seguretat de les organitzacions. Alguns dels grans noms inclouen Google i Facebook, però molts venedors de tercers més petits ofereixen funcions atractives que es despleguen àmpliament i milloren l’experiència web o enriqueixen les analítiques.

Malauradament, quan aquests venedors de tercers estan compromesos, els atacs resultants poden, al seu torn, comprometre totes les organitzacions que han integrat els serveis d’aquest venedor de tercers. Hem vist molts i recents exemples d’aquest tipus d’atac, inclòs l’incompliment del mes d’abril del 2018 de Delta, Best Buy, Sears i Kmart originat pel servei compromès d’un reputat venedor de tercers JavaScript que havien desplegat als seus llocs web. Es va robar un volum important de dades de la targeta de crèdit, que va suposar costos importants de reparació i danys reputacionals per a aquests venedors destacats.

Si considerem que l’origen de JavaScript no té cap efecte sobre el nivell d’accés que té a la pàgina. Que cada script pot afegir / treure dades de la pàgina, realitzar accions no desitjades i fins i tot enregistrar cops de tecla a mesura que l’usuari els escrigui. La manca de controls sobre com està dissenyat JavaScript per fer que el tercer JS sigui un vector d’atac cada cop més popular per als pirates informàtics.

Les solucions actuals se centren a “detectar” aquest problema post-incompliment. Source Defense ha arxivat un enfocament totalment nou introduint un canvi de paradigma centrat en prevenir aquest tipus d’atacs en temps real mitjançant un primer dels seus tipus d’aïllament i tecnologia de segmentació. La solució SaaS basada en núvol de Source Defense permet als administradors assignar polítiques predeterminades o altament personalitzables a tots els scripts de tercers que funcionin a la seva pàgina web..

Com a exemple, es pot controlar una eina de complements d’analítica per assegurar-se que té accés de només lectura al contingut de la pàgina web. En cas que aquesta eina es vegi compromesa, els permisos de política assignats des de Source Defense garanteixin que es puguin impedir activitats malicioses com afegir contingut no desitjat. De la mateixa manera, un servei d’anuncis, un cop protegit per Source Defense, només serà capaç de mostrar anuncis a les seves àrees designades i no podrà crear cap superposició de phishing maliciosa..

La solució Source Defense es va crear de manera específica per a la implementació i la senzillesa de l’administració. La intel·ligència de la màquina s’aprofita per avaluar els scripts de tercers desplegats i assignar polítiques predeterminades per servei de tercers. A més, l’administració continuada és extremadament baixa i requereix poca supervisió més enllà d’acceptar polítiques per a scripts de tercers recentment desplegats. L’aprenentatge automàtic garanteix que aquestes polítiques predeterminades són generalment efectives. Tot i això, aquestes polítiques es poden personalitzar si cal.

Considerem la solució Source Defense tant com una solució de seguretat convincent com una eina crítica d’habilitats empresarials. Permet a les organitzacions desplegar de forma ràpida i segura eines de tercers que permetin un contingut i una capacitat rics en els seus llocs web.

Com ha canviat el joc de l’analogia al digital el joc per a les entitats financeres?

Si veieu els llocs web financers fa deu anys, veureu pocs guions de tercers que funcionen als llocs web corporatius. Avui en dia, es solen desplegar integracions de tercers. El banc típic tindrà scripts de vint o quaranta tercers que funcionin simultàniament.

Els equips de seguretat lluiten constantment amb el repte d’activar ràpidament les capacitats d’aquests venedors de tercers alhora que asseguren la seguretat del lloc web.

Les organitzacions financeres solen optar per integrar serveis de tercers als seus llocs web de venedors coneguts i establerts, perquè els consideren més segurs. Això crea conflictes entre els equips de màrqueting i seguretat perquè les noves eines innovadores sovint requereixen una validació de seguretat ampliada i posen en perill el temps per al mercat.

Les plataformes de gestió de etiquetes permeten afegir scripts directament a pàgines web amb una interfície d’usuari senzilla. Quan les entitats financeres posen aquestes eines en mans equivocades, l’objectiu de millorar l’eficiència pot suposar un gran cost a causa de l’exposició de guions i eines no validades introduïdes a les organitzacions..

Les institucions financeres protegides per Source Defense poden implementar amb seguretat les eines de tercers als seus llocs web sense exposar les seves organitzacions a les vulnerabilitats introduïdes pels seus scripts. Aquestes eines es poden implementar de forma ràpida i segura.

A mesura que la tecnologia en cadena de blocs va guanyant popularitat, com aconsellaria als empresaris financers protegir les seves dades d’usuari?

Source Defense recomana aplicar més consideració i diligència a les vulnerabilitats introduïdes al costat del client (navegador), aquests llocs emergents podrien tenir transaccions enormes en ells i tenir scripts de tercers no gestionats que funcionin en pàgines web podrien causar grans pèrdues. El meu consell seria adoptar una solució que pugui gestionar aquests tercers o evitar-ne l’ús al màxim possible.

Segons la vostra opinió, s’hauria de regular Internet? Com?

No crec que Internet no s’hagi de regular. Tanmateix, aquesta resposta depèn d’un debat sobre “regulat”. Hi ha un gran risc que la simple regulació evolucioni molt ràpidament cap a la censura. Dit això, crec que hi ha llocs web que haurien de ser eliminats i gestionats. Jo no tindria aplicacions de bloqueig d’ISP, perquè és una pendent molt relliscosa. Tanmateix, està clar que algun tipus d’autoritat investigadora hauria de finançar i recolzar els governs per evitar part del contingut i transacció desafortunats que permet un Internet no vigilat.

Què ens podeu dir sobre els futurs plans de Defensa de Source?

Som una startup de ràpid creixement amb una primera solució amable que aborda un vector d’amenaça molt convincent i real que gairebé totes les organitzacions amb un lloc web s’enfronten avui en dia. Molts incompliments recents han destacat la necessitat d’aquesta solució. Com a tal, ens dediquem a pilots múltiples amb grans organitzacions multinacionals i empreses Fortune-500. El nostre futur veurà que Source Defense s’amplia més profundament en privadesa i seguretat, ampliarà les integracions i ampliarà el suport per als requisits clau de compliment com els evidents de GDPR. Ens mantindrem ferm en el nostre objectiu principal d’assistir a les organitzacions amb capacitació empresarial segura.

Tenim previst obrir la nostra nova seu als EUA i preveiem fer créixer les operacions de manera significativa en un futur proper.

Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map