მე –3 მხარის სკრიპტები საფრთხეს უქმნის თქვენს საქმიანობას, წყარო თავდაცვის აქ არის დასახმარებლად


რა არის თქვენი მთავარი მიზანი Source Defense- ში?

ვებსაიტები დღეს ჩვეულებრივ მოქმედებენ მრავალი მესამე მხარის მოვაჭრე სკრიპტთან, რომლებიც ინტეგრირებულია ვებსაიტზე. ეს სკრიპტები შექმნილია მდიდარი შინაარსის შესაძლებლობების შესაქმნელად და ვებსაიტების შესრულებისა და ეფექტურობის ზომების უზრუნველსაყოფად. ეს მოიცავს ანალიტიკას, რეკლამას, ჩატის სერვისებს, სოციალური მედიის პროგრამებს და ა.შ., თუმცა ისინი წარმოადგენენ პრობლემას, რადგან ისინი ფუნქციონირებენ ვებგვერდის უსაფრთხოების პერიმეტრის გარეთ, რაც ორიენტირებულია მომხმარებელსა და ვებ – სერვერს შორის კომუნიკაციაზე. ეს დაცვა ზოგადად მოიცავს firewalls და WAF- ს, რომლებიც ფოკუსირებულია ვებ – სესიის სერვერის მხარის დაცვაზე.

მესამე მხარის ეს სკრიპტები მოქმედებს უსაფრთხოების ამ პერიმეტრის გარეთ და წარმოგიდგენთ კლიენტის მხრიდან ძალზე რეალურ დაუცველობას, რომელსაც ამჟამად არ ეხება. ეს სკრიპტები შექმნილია დისტანციურ სერვერებთან კომუნიკაციისთვის, რომლებსაც მართავს მესამე მხარის სერვისის პროვაიდერები, ორგანიზაციების უსაფრთხოების ინფრასტრუქტურისთვის სრულიად გარეგანი. ზოგიერთი დიდი სახელი მოიცავს გუგლს და ფეისბუქს, მაგრამ მრავალი მცირე ზომის მესამე მეწარმე გთავაზობთ ფართო შესაძლებლობებს, რომლებიც ფართოდ არის განლაგებული და აძლიერებს ვებ – გამოცდილებას ან ანდიდებს ანალიტიკას.

სამწუხაროდ, როდესაც მესამე მხარის მეწარმეები კომპრომეტირდებიან, შედეგად განხორციელებულმა შეტევებმა შეიძლება, თავის მხრივ, კომპრომეტირება მოახდინოს ყველა იმ ორგანიზაციაზე, რომელიც ინტეგრირებულია ამ მესამე მხარის გამყიდველის მომსახურებით. ჩვენ ვნახეთ ამ შეტევის ტიპის მრავალი და უახლესი მაგალითი, მათ შორის, 2018 წლის აპრილი, დელტას, Best Buy, Sears და Kmart- ის დარღვევა, რომელიც წარმოიშვა რეპუტაციის მესამე პირის JavaScript- ის კომპრომეტირებული მომსახურებით, რომელიც მათ ჰქონდათ განლაგებული თავიანთ ვებსაიტებზე. მოიპარეს საკრედიტო ბარათების მნიშვნელოვანი მოცულობის მონაცემები, რამაც გამოიწვია მნიშვნელოვანი გამოსწორების ხარჯები და ამ გამოჩენილი მოვაჭრეების რეპუტაციის დაზიანება.

თუ გავითვალისწინებთ, რომ JavaScript– ის წარმოშობას არანაირი გავლენა არ აქვს მის გვერდზე შესვლის დონეზე. რომ ყველა სკრიპტს შეუძლია დაამატოთ / წაშალოს მონაცემები გვერდიდან, შეასრულოს არასასურველი მოქმედებები და თუნდაც ჩაიწეროს საკვანძო დარტყმები, რადგან მომხმარებელი მათ ასახელებს. კონტროლის ნაკლებობა იმაზე, თუ როგორ მოქმედებს JavaScript ფუნქციონირება, რომ მესამე მხარის JS გახდეს უფრო პოპულარული პოპულარობის ვექტორები ჰაკერებისათვის.

დღევანდელი გადაწყვეტილებები ორიენტირებულია ამ პრობლემის შემდგომი დარღვევის „გამოვლენის“ გარშემო. წყარო თავდაცვის მხარემ დაადგინა სრულიად ახალი მიდგომა, რომელშიც მოცემულია პარადიგმების ცვლა პრევენცია ამ ტიპის შეტევა რეალურ დროში პირველი სახის იზოლაციისა და სეგმენტაციის ტექნოლოგიის მეშვეობით. Source Defence- ის ღრუბელზე დაფუძნებული SaaS გადაწყვეტა ადმინისტრატორებს უფლებას მიანიჭონ ნაგულისხმევი ან ძალიან დააკონფიგურიროთ წესები ყველა მესამე მხარის სკრიპტისთვის, რომელიც მოქმედებს მათ ვებ – გვერდზე.

როგორც მაგალითად, ანალიტიკური მოდულების ინსტრუმენტი შეიძლება კონტროლირდეს იმის უზრუნველსაყოფად, რომ იგი მხოლოდ წაკითხვის წვდომას მიიღებს ვებ – გვერდის შინაარსზე. ამ ინსტრუმენტის კომპრომისის შემთხვევაში, თავდაცვის თავდაცვის საშუალებით განლაგებული პოლიტიკის ნებართვა უზრუნველყოფს, რომ თავიდან აიცილონ მავნე მოქმედებები, როგორიცაა არასასურველი შინაარსის დამატება. ანალოგიურად, სარეკლამო სერვისს, რომელიც დაცული იქნება Source Defense- ს მიერ, მხოლოდ მაშინ შეძლებენ თავიანთ დანიშნულ ადგილებში რეკლამების ჩვენებას და ვერ შეძლებენ რაიმე მავნე ფიშინგის გადახურვას..

წყაროს თავდაცვის გამოსავალი მიზანმიმართულად შეიქმნა განლაგების და ადმინისტრირების სიმარტივისთვის. მანქანების დაზვერვა ტარდება მესამე მხარის სკრიპტების შესაფასებლად და ანიჭებს ნაგულისხმევ პოლიტიკას მესამე მხარის მომსახურებაზე. გარდა ამისა, მიმდინარე ადმინისტრაცია უკიდურესად დაბალია და მოითხოვს მცირე ზომის ზედამხედველობას, ახლად განლაგებული მესამე მხარის სკრიპტების პოლიტიკის მიღებასთან დაკავშირებით. მანქანათმცოდნე უზრუნველყოფს, რომ ეს ნაგულისხმევი პოლიტიკა ზოგადად ეფექტურია. ამასთან, საჭიროების შემთხვევაში, ეს პოლიტიკა შეიძლება მორგებულია.

ჩვენ განვიხილავთ წყაროს თავდაცვის გადაწყვეტას, როგორც უსაფრთხოების დამაჯერებელ გადაწყვეტას, ასევე მნიშვნელოვან ბიზნეს შესაძლებლობებს. ის ორგანიზაციებს საშუალებას აძლევს სწრაფად და უსაფრთხოდ განათავსონ მესამე მხარის ინსტრუმენტები, რომლებიც მდიდარ შინაარსს და შესაძლებლობებს აძლევენ თავიანთ ვებსაიტებს.

როგორ შეიცვალა ანალოგურიდან ციფრულზე გადასვლა საფინანსო ინსტიტუტებმა?

თუ ათი წლის წინ ვუყურებთ ფინანსურ ვებსაიტებს, მესამე მხარის სკრიპტები, რომლებიც არსებობენ, კორპორატიულ ვებსაიტებზეც ნახავთ. დღეს, მესამე მხარის ინტეგრაცია ჩვეულებრივ განლაგებულია. ტიპურ ბანკს ექნება ოცდა ორმოცი მესამე მხარის სკრიპტი, რომელიც ერთდროულად მოქმედებს.

უსაფრთხოების ჯგუფები მუდმივად ებრძვიან ამ მესამე მხარის მოვაჭრეების შესაძლებლობების სწრაფად გააქტიურებას, ხოლო ვებ – გვერდის უსაფრთხოების უზრუნველყოფას.

ფინანსური ორგანიზაციები ხშირად ირჩევენ მესამე მხარის სერვისების ინტეგრირებას მათ ვებ – გვერდებზე ცნობილი და დამკვიდრებული მოვაჭრეებისგან, რადგან ისინი მათ უფრო უსაფრთხოდ თვლიან. ეს ქმნის კონფლიქტს მარკეტინგის და უსაფრთხოების გუნდებს შორის, რადგან ინოვაციური ახალი ხელსაწყოები ხშირად მოითხოვს უსაფრთხოების გაფართოებულ დადასტურებას და საფრთხეს უქმნის დრო ბაზარზე.

საკვანძო მენეჯმენტის პლატფორმები საშუალებას მისცემს სკრიპტების მარტივად დამატება ვებგვერდებზე მარტივი ინტერფეისით. როდესაც ფინანსურმა ინსტიტუტებმა ეს ინსტრუმენტები არასწორად მოათავსეს, ეფექტურობის გაზრდის მიზანი შეიძლება აღმოჩნდეს დიდი ფასის გამო, დაუცველობითი სკრიპტირებისა და ორგანიზაციებისთვის შემოღებული ინსტრუმენტების გამო..

წყაროს თავდაცვის მიერ დაცულ ფინანსურ ინსტიტუტებს შეუძლიათ დამაჯერებლად განათავსონ მესამე მხარის ინსტრუმენტები თავიანთ ვებსაიტებზე, მათი ორგანიზაციების მიერ სკრიპტების მიერ წარმოქმნილ დაუცველობებზე ზემოქმედების გარეშე. ამ ინსტრუმენტების დანერგვა შეიძლება სწრაფად და უსაფრთხოდ.

რადგან ბლოკ-ჯაჭვის ტექნოლოგია პოპულარობას იძენს, როგორ ურჩევთ ფინანსურ მეწარმეებს, დაიცვან თავიანთი მომხმარებლის მონაცემები?

წყარო თავდაცვის რეკომენდაციით მიმართავს უფრო მეტ ყურადღებას და ყურადღებით მიმართვას კლიენტის (ბრაუზერის) მხარესთან დანერგულ დაუცველობებს, ამ გაჩენილ საიტებს შეიძლება ჰქონდეთ უზარმაზარი გარიგებები მათში, ხოლო ვებ – გვერდებზე მოქმედი არაკონტროლირებადი სკრიპტების გამოყენებით, შეიძლება დიდი ზარალი გამოიწვიოს. ჩემი რჩევა იქნება გადაწყვეტილების მიღება, რომელიც შეძლებს ამ მესამე პირების მართვას, ან მაქსიმალურად მოერიდოს მათ გამოყენებას.

თქვენი აზრით, რეგულირდება ინტერნეტი? Როგორ?

არა მგონია ინტერნეტი მოწესრიგდეს. ამასთან, ეს პასუხი დამოკიდებულია “მოწესრიგებულის” განხილვაზე. დიდი რისკია, რომ მარტივი რეგულირება ცენზურისკენ სწრაფად განვითარდება. ამის თქმით, მე მჯერა, რომ არსებობს ვებსაიტები, რომლებიც უნდა ჩამოიშალოს და მართონ. მე არ ვიქნები ISP- ს ბლოკირება, რადგან ეს ძალიან ფერდობზეა. ამასთან, ცხადია, რომ მთავრობების მხრიდან გარკვეული საგამოძიებო ორგანო უნდა დაფინანსდეს და მხარი დაუჭიროს, რომ თავიდან აიცილოს ზოგიერთი იმ სამწუხარო შინაარსი და გარიგება, რომელიც ჩართულია დაუვიწყარი ინტერნეტით.

რა შეგიძლიათ გვითხრათ წყარო თავდაცვის სამომავლო გეგმებზე?

ჩვენ სწრაფად მზარდი სტარტაპია, რომლის პირველი გადაწყვეტაა, რომელიც ეხება ძალზე დამაჯერებელ და რეალურ საფრთხის ვექტორს, რომელსაც დღეს ვებ – გვერდის თითქმის ყველა ორგანიზაცია აწყდება. ბოლოდროინდელმა ბევრმა დარღვევამ ხაზი გაუსვა ამ გადაწყვეტილების საჭიროებას. როგორც ასეთი, ჩვენ მრავალი მფრინავით ვართ დაკავებული დიდი მრავალეროვნული ორგანიზაციებით და Fortune-500 კომპანიებით. ჩვენი მომავალი იხილავს, რომ თავდაცვის სამინისტრო უფრო ღრმად გააფართოვებს კონფიდენციალურობას და უსაფრთხოებას, გააფართოებს ინტეგრაციას და გააფართოვებს მხარდაჭერას საკვანძო მოთხოვნების დაცვით, როგორიცაა აშკარაა GDPR- ში. ჩვენ მუდმივად დავრჩებით ჩვენს მთავარ მიზანს, დავეხმაროთ ორგანიზაციებს ბიზნესთან უსაფრთხო შესაძლებლობებით.

ჩვენ ვგეგმავთ ჩვენი ახალი შტაბის გახსნას აშშ-ში და ვგეგმავთ უახლოეს მომავალში იქ მნიშვნელოვნად გაზრდის ოპერაციებს.

Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map