Hai rủi ro phía máy khách chi phối các vấn đề về mất dữ liệu và lọc dữ liệu: các trình theo dõi được đặt không đúng cách trên các trang web và ứng dụng web và mã độc hại phía máy khách được lấy từ các kho lưu trữ của bên thứ ba như NPM.
Các nhà nghiên cứu bảo mật phía máy khách đang phát hiện ra rằng các trình theo dõi được đặt không đúng cách, mặc dù không cố ý gây hại, đang là một vấn đề ngày càng gia tăng và có ý nghĩa bảo mật rõ ràng và đáng kể khi đề cập đến cả các mối quan tâm về tuân thủ / quy định, như HIPAA hoặc PCI DSS 4.0. Để làm nổi bật những rủi ro khi đặt máy theo dõi không đúng chỗ, một nghiên cứu gần đây của The Markup (một tổ chức tin tức phi lợi nhuận) đã kiểm tra 100 bệnh viện hàng đầu của Newsweek ở Mỹ. Họ đã tìm thấy một trình theo dõi Facebook trên một phần ba số trang web của bệnh viện gửi dữ liệu chăm sóc sức khỏe mang tính cá nhân cao của Facebook bất cứ khi nào người dùng nhấp vào nút “đặt lịch hẹn”. Dữ liệu không nhất thiết phải được ẩn danh vì dữ liệu được kết nối với một địa chỉ IP và cả địa chỉ IP và thông tin cuộc hẹn đều được chuyển đến Facebook.
Các nhà báo và nhà nghiên cứu bảo mật phía khách hàng không phải là những người duy nhất xem xét các vấn đề về quyền riêng tư của dữ liệu. Tuần trước, FTC đã công bố kế hoạch truy quét việc sử dụng và chia sẻ dữ liệu nhạy cảm cao không đúng cách hoặc bất hợp pháp của các công ty công nghệ. FTC cho biết họ cũng có kế hoạch nhắm vào các tuyên bố sai lệch về việc ẩn danh dữ liệu. Cơ quan chính phủ chỉ ra rằng thông tin sức khỏe nhạy cảm kết hợp với các biện pháp bảo mật dữ liệu bóng tối được các công ty công nghệ sử dụng là cực kỳ có vấn đề, với hầu hết khách hàng có rất ít hoặc không biết về cách dữ liệu của họ được thu thập, dữ liệu nào được thu thập, cách sử dụng hoặc nó được bảo vệ như thế nào.
Ngành công nghiệp bảo mật đã nhiều lần chứng minh việc xác định lại dữ liệu ẩn danh dễ dàng như thế nào bằng cách kết hợp một số bộ dữ liệu để tạo ra một bức tranh rõ ràng về danh tính của người dùng cuối.
Ngoài các trình theo dõi web được đặt không đúng cách, các nhà nghiên cứu bảo mật phía máy khách đang cảnh báo về những rủi ro liên quan đến mã JavaScript được lấy từ các kho lưu trữ của bên thứ ba, như NPM. Nghiên cứu gần đây cho thấy rằng các trình quản lý gói chứa JavaScript bị xáo trộn và độc hại đang được sử dụng để thu thập thông tin nhạy cảm từ các trang web và ứng dụng web. Sử dụng các nguồn như NPM, các tác nhân đe dọa độc hại nhắm mục tiêu các tổ chức thông qua một cuộc tấn công chuỗi cung ứng phần mềm JavaScript sử dụng các thành phần giả mạo để lấy dữ liệu được người dùng nhập vào các biểu mẫu trên các trang web có chứa mã độc hại này.
Các nhà nghiên cứu bảo mật phía máy khách tư vấn một số cách tiếp cận để xác định và giảm thiểu hai rủi ro chính này. Giám sát bề mặt tấn công từ phía máy khách là cách toàn diện nhất và bảo vệ đầy đủ nhất cho người dùng cuối và doanh nghiệp khỏi nguy cơ bị đánh cắp dữ liệu do các cuộc tấn công Magecart, e-skimming, cross-site scripting và JavaScript. Các công cụ khác, như tường lửa ứng dụng web (WAF), bảo vệ một số khía cạnh của bề mặt tấn công phía máy khách nhưng không bảo vệ được các hoạt động xảy ra trên các trang web động. Chính sách bảo mật nội dung (CSP) là một công cụ bảo mật phía máy khách tốt khác, nhưng CSP rất cồng kềnh. Đánh giá mã thủ công để xác định các vấn đề với CSP có thể có nghĩa là hàng giờ (hoặc nhiều ngày) tìm kiếm hàng nghìn dòng kịch bản ứng dụng web.
Các chuyên gia bảo mật cũng có thể khám phá các giải pháp lập bản đồ bề mặt tấn công phía máy khách kết hợp thông tin chi tiết về mối đe dọa, thông tin chi tiết về truy cập (nội dung nào đang truy cập dữ liệu nào) và quyền riêng tư (là bất kỳ dữ liệu nào được chia sẻ với các nguồn bên ngoài một cách không thích hợp).
Các giải pháp giám sát bề mặt tấn công từ phía máy khách là một công nghệ an ninh mạng tương đối mới, tự động phát hiện tất cả các tài sản web của công ty và báo cáo về quyền truy cập dữ liệu của họ. Các giải pháp này sử dụng các trình duyệt không có đầu để điều hướng qua tất cả JavaScript có trên trang web và các trang ứng dụng web. Họ thu thập thông tin thời gian thực về cách trang web được quét hoạt động từ quan điểm của người dùng cuối.
Thành phần công nghệ quan trọng trong các giải pháp giám sát bề mặt tấn công phía máy khách là người dùng tổng hợp, được triển khai trong quá trình thu thập thông tin phát hiện mối đe dọa để tương tác theo cách một con người thực trên các trang web động. Những người dùng tổng hợp này có thể hoàn thành nhiều hoạt động khác nhau, bao gồm nhấp vào liên kết đang hoạt động, gửi biểu mẫu, giải quyết Captchas và nhập thông tin tài chính. Tương tác tổng hợp của người dùng được ghi lại và giám sát, sau đó là phân tích hành vi và đưa logic vào mỗi trang để thu thập thông tin khó thu thập theo cách thủ công, bao gồm dữ liệu biểu mẫu, dữ liệu mà tập lệnh của bên thứ ba có quyền truy cập, trình theo dõi được triển khai và hoạt động của họ và bất kỳ biểu mẫu hoặc tập lệnh của bên thứ ba nào truyền dữ liệu qua các biên giới quốc gia.
Các giải pháp cũng phải có khả năng vận hành bất kỳ vấn đề nào được phát hiện trong quá trình nhận dạng hoặc lập bản đồ phía máy khách thông qua việc sử dụng danh sách cho phép và danh sách chặn và thông qua các phân tích thông tin sau quét để thu thập thông tin tổng hợp nhằm bảo vệ các ứng dụng web khỏi bị tổn hại.
Các chuyên gia bảo mật có chuyên môn về phía khách hàng đang tư vấn mạnh mẽ cho các tổ chức trong các ngành như dịch vụ tài chính, truyền thông / giải trí, thương mại điện tử, chăm sóc sức khỏe và công nghệ / SaaS có nhiều ứng dụng web front-end để hiểu bảo mật phía máy khách và cách khách hàng -Rủi ro bên cạnh có thể ảnh hưởng đến hoạt động kinh doanh của họ.
.
