Ngày 05 tháng 5 năm 2023Tin tức về hacker Bảo mật trang web / An toàn dữ liệu
Các ứng dụng của bên thứ ba như Google Analytics, Meta Pixel, HotJar và JQuery đã trở thành những công cụ quan trọng để doanh nghiệp tối ưu hóa hiệu suất trang web và dịch vụ của họ cho đối tượng toàn cầu. Tuy nhiên, khi tầm quan trọng của chúng tăng lên, thì mối đe dọa về các sự cố mạng liên quan đến các ứng dụng bên thứ ba không được quản lý và các công cụ nguồn mở cũng tăng theo. Các doanh nghiệp trực tuyến ngày càng phải vật lộn để duy trì khả năng hiển thị và kiểm soát hoàn toàn đối với bối cảnh mối đe dọa của bên thứ ba luôn thay đổi, với các mối đe dọa phức tạp như skimmer lẩn tránh, tấn công Magecart và các hoạt động theo dõi bất hợp pháp có khả năng gây ra thiệt hại nghiêm trọng.
Bài viết này khám phá những thách thức trong việc bảo vệ các trang web hiện đại khỏi tập lệnh của bên thứ ba và rủi ro bảo mật liên quan đến việc thiếu khả năng hiển thị đối với các tập lệnh này.
Vô hình đối với Kiểm soát bảo mật tiêu chuẩn
Các tập lệnh của bên thứ ba thường ẩn đối với các biện pháp kiểm soát bảo mật tiêu chuẩn như Tường lửa ứng dụng web (WAF) vì chúng được tải từ các nguồn bên ngoài không thuộc quyền kiểm soát của chủ sở hữu trang web. Khi một trang web tải tập lệnh của bên thứ ba, nó sẽ được thực thi trong trình duyệt của người dùng cùng với mã riêng của trang web. Điều này có nghĩa là WAF, thường được đặt phía trước trang web để kiểm tra và lọc lưu lượng truy cập đến, có thể không phát hiện và chặn hoạt động độc hại bắt nguồn từ tập lệnh của bên thứ ba.
Ngoài ra, các tập lệnh của bên thứ ba thường sử dụng các kỹ thuật che giấu để che giấu mục đích thực sự của chúng hoặc để tránh bị các biện pháp kiểm soát bảo mật phát hiện. Điều này có thể gây khó khăn hơn cho các biện pháp kiểm soát bảo mật trong việc xác định và giảm thiểu các mối đe dọa tiềm ẩn. Do đó, điều quan trọng là chủ sở hữu trang web phải thực hiện các bước bổ sung để theo dõi và kiểm soát hành vi của các tập lệnh bên thứ ba.
Rủi ro bảo mật do thiếu khả năng hiển thị
Việc thiếu khả năng hiển thị đối với các ứng dụng web bên thứ ba và các công cụ nguồn mở của bạn có thể gây ra một số rủi ro bảo mật cho một tổ chức, bao gồm:
Vi phạm dữ liệu: Ứng dụng của bên thứ ba thường có quyền truy cập vào dữ liệu nhạy cảm và việc thiếu khả năng hiển thị đối với các ứng dụng này có thể gây khó khăn cho việc phát hiện và ngăn chặn vi phạm dữ liệu hoặc truy cập trái phép vào thông tin nhạy cảm. Phần mềm độc hại và vi-rút: Các ứng dụng của bên thứ ba có thể đưa phần mềm độc hại hoặc vi-rút vào hệ thống của tổ chức bạn, những phần mềm này có thể lây nhiễm sang các hệ thống khác và dẫn đến mất dữ liệu hoặc thời gian ngừng hoạt động của hệ thống. Vi phạm tuân thủ: Các ứng dụng của bên thứ ba không được kiểm duyệt đúng cách hoặc không tuân thủ các yêu cầu quy định có thể khiến tổ chức gặp rủi ro pháp lý và tài chính, chẳng hạn như tiền phạt và kiện tụng. Lỗ hổng mạng: Các ứng dụng của bên thứ ba được tích hợp với hệ thống của tổ chức có thể tạo ra các lỗ hổng mạng mà tội phạm mạng có thể khai thác. Thực tiễn bảo mật kém: Một số ứng dụng của bên thứ ba có thể không có các biện pháp kiểm soát bảo mật chặt chẽ, điều này có thể làm tăng nguy cơ xảy ra sự cố bảo mật và vi phạm dữ liệu.
Để giảm thiểu những rủi ro này, điều cần thiết là phải hiểu thấu đáo về các ứng dụng của bên thứ ba được tổ chức sử dụng và triển khai các quy trình và kiểm soát bảo mật mạnh mẽ, chẳng hạn như đánh giá, giám sát và vá lỗi bảo mật liên tục. Ngoài ra, điều quan trọng là phải có các chính sách và quy trình rõ ràng để lựa chọn, kiểm tra và quản lý các ứng dụng của bên thứ ba nhằm đảm bảo rằng chúng đáp ứng các yêu cầu tuân thủ và bảo mật của tổ chức.
Giải pháp giám sát bên ngoài/cài đặt
Giám sát hiệu quả các tập lệnh của bên thứ ba yêu cầu các giải pháp giám sát bên ngoài hoặc được cài đặt. Nhiều doanh nghiệp cài đặt các tập lệnh bảo mật trên trang web của họ để bảo vệ khỏi các mối đe dọa và lỗ hổng đã biết. Tuy nhiên, các tập lệnh này không thể truy cập vào nhiều thành phần của bên thứ ba như iFrames và các tập lệnh chứa trong đó vì chúng bị giới hạn bởi các hạn chế duyệt web. Mặc dù phương pháp giám sát nhúng này được thiết kế để tăng cường bảo mật cho các thành phần web, nhưng nó tạo ra các hạn chế đối với JavaScript đã cài đặt để cung cấp bảo mật đầy đủ vì các iFrame này bao gồm trình theo dõi, pixel và nhiều tập lệnh bên thứ ba không được quản lý.
Việc thiếu khả năng hiển thị đối với các tập lệnh của bên thứ ba là một thách thức đáng kể đối với các doanh nghiệp vì nó hạn chế khả năng ánh xạ tất cả các trình theo dõi, phát hiện rò rỉ dữ liệu và tạo kho lưu trữ các ứng dụng và tập lệnh của bên thứ ba đang hoạt động. Các hoạt động quan trọng, chẳng hạn như phát hiện CVE cho khung JS, theo dõi các pixel như Meta và TikTok cũng như định cấu hình sai thẻ, bị hạn chế do các thành phần này không thể truy cập được. Hạn chế này khiến doanh nghiệp gặp rủi ro bị thu thập dữ liệu, điều này có thể dẫn đến mất doanh thu, tổn hại danh tiếng và bị phạt theo quy định.
Khả năng hiển thị nâng cao đạt được với giám sát bên ngoài
Các giải pháp giám sát trang web nhúng bị thiếu khả năng hiển thị. Do đó, một giải pháp giám sát bên ngoài có thể là câu trả lời để giải quyết thách thức này. Mới đây, Reflectiz, một giải pháp giám sát bên ngoài, đã giúp một công ty dịch vụ tài chính lớn phát hiện hoạt động đáng ngờ liên quan đến pixel TikTok. Công ty đã sử dụng Reflectiz trên trang web của mình để giám sát bảo mật và giải pháp đã phát hiện hoạt động trái phép liên quan đến pixel: tập lệnh pixel TikTok đang truy cập dữ liệu đầu vào nhạy cảm ở một trong các biểu mẫu đăng nhập của họ. TikTok đã cập nhật pixel của nó và phiên bản mới đã “vẽ” người dùng trên trang web, truy cập thông tin cá nhân và truyền thông tin đến máy chủ của họ. Nhóm điều tra của Reflectiz đã cung cấp các bước giảm thiểu rõ ràng để chấm dứt hoạt động không được phê duyệt của pixel ngay lập tức.
Trường hợp này là một ví dụ rõ ràng về cách giám sát trang web của bạn từ bên ngoài mang lại cho bạn khả năng hiển thị nâng cao trên bề mặt tấn công hiện đại, không giống như các giải pháp giám sát đã cài đặt không nhìn thấy bức tranh đầy đủ và không thể giám sát hiệu quả các thành phần trang web của bên thứ ba như iFrames , thẻ và pixel.
Ảnh chụp màn hình phát hiện pixel Tiktok lừa đảo
Duy trì bảo mật kín nước chống lại các tập lệnh của bên thứ ba
Vì vậy, bạn có thể làm gì để bảo vệ trang web của mình khỏi những rủi ro liên quan đến tập lệnh của bên thứ ba? Dưới đây là một số lời khuyên:
Tiến hành kiểm tra bảo mật thường xuyên: Thường xuyên kiểm tra trang web của bạn và các dịch vụ của bên thứ ba để xác định các lỗ hổng và giải quyết chúng kịp thời. Sử dụng các giải pháp giám sát trang web bên ngoài: Triển khai các giải pháp giám sát trang web có thể phát hiện hoạt động đáng ngờ và cung cấp các bước giảm thiểu rõ ràng để giải quyết hoạt động đó. Sử dụng lưu trữ an toàn: Chọn một nhà cung cấp dịch vụ lưu trữ an toàn cung cấp các bản sao lưu, giám sát và cập nhật bảo mật thường xuyên. Giáo dục nhân viên của bạn: Đào tạo nhân viên của bạn để nhận ra các mối đe dọa tiềm ẩn và giáo dục họ về các thực hành trực tuyến an toàn. Sử dụng xác thực hai yếu tố: Yêu cầu xác thực hai yếu tố cho tất cả các khu vực nhạy cảm trên trang web của bạn, chẳng hạn như bảng quản trị và trang thanh toán. Sử dụng các chính sách bảo mật nội dung: Triển khai các chính sách bảo mật nội dung hạn chế các loại nội dung có thể được tải trên trang web của bạn. Luôn cập nhật phần mềm: Thường xuyên cập nhật phần mềm trang web của bạn, bao gồm mọi dịch vụ của bên thứ ba, để đảm bảo rằng các lỗ hổng đã biết đều được vá.
Tóm lại, việc ngày càng phụ thuộc vào các tập lệnh của bên thứ ba đã mang lại những thách thức mới cho các doanh nghiệp trực tuyến đang tìm cách duy trì tính bảo mật và quyền riêng tư của người dùng của họ. Việc thiếu khả năng hiển thị đối với các tập lệnh này làm tăng khả năng vi phạm dữ liệu, tấn công mạng và vi phạm tuân thủ. Để giảm thiểu những rủi ro này, các doanh nghiệp cần hiểu các ứng dụng của bên thứ ba được tổ chức của họ sử dụng và triển khai các quy trình và kiểm soát bảo mật mạnh mẽ. Các giải pháp giám sát trang web bên ngoài, như Reflectiz, có thể nâng cao đáng kể khả năng hiển thị trực tuyến và cung cấp các bước giảm thiểu rõ ràng để giải quyết các hoạt động đáng ngờ liên quan đến tập lệnh của bên thứ ba.
