Современные реалии таковы, что не каждый бизнес может себе позволить сайт, особенно стартующий бизнес. Поэтому выгодно воспользоваться конструктором сайтов, например filandor. Запуск сайта через несколько минут.
Page Shield теперь может отслеживать вредоносные исходящие соединения, созданные сторонним кодом JavaScript.
Многие веб-сайты используют сторонние библиотеки JavaScript, чтобы сократить время разработки за счет использования готовых функций. Общие примеры включают в себя услуги по оформлению заказа, инструменты аналитики или интеграцию с живым чатом. Любая из этих библиотек JavaScript может отправлять данные о посетителях сайта в неизвестные места.
Если вы управляете веб-сайтом и когда-либо задавались вопросом, куда могут направляться данные конечных пользователей и кто имеет к ним доступ, начиная с сегодняшнего дня, вы можете выяснить это с помощью монитора подключений Page Shield.
Page Shield — это наше решение для обеспечения безопасности на стороне клиента, которое направлено на обнаружение злонамеренного поведения и компрометации, которые напрямую влияют на среду браузера, например, те, которые используют уязвимости в сторонних библиотеках JavaScript.
Монитор подключений, доступный с сегодняшнего дня, является последним дополнением к Page Shield и позволяет вам видеть исходящие подключения, установленные браузерами ваших пользователей, инициированные сторонним JavaScript, добавленным на ваш сайт. Затем вы можете просмотреть эту информацию, чтобы убедиться, что только соответствующие третьи лица получают конфиденциальные данные.
Клиенты с нашими бизнес- и корпоративными планами получают видимость исходящих подключений, предоставляемых Connection Monitor. Если вы используете корпоративную надстройку Page Shield, вы также будете получать уведомления всякий раз, когда соединение будет признано потенциально вредоносным.
Покрытие большей поверхности атаки с помощью Connection Monitor
Connection Monitor расширяет возможности обнаружения вредоносного поведения, которое может происходить в браузерах ваших пользователей, дополняя видимость, обеспечиваемую Script Monitor, основной функцией Page Shield до сегодняшнего дня.
В то время как Script Monitor фокусируется на анализе кода JavaScript для обнаружения вредоносных сигналов, Connection Monitor смотрит, куда отправляются данные. Эти две функции прекрасно работают вместе.
На самом деле очень часто компрометация на стороне клиента в контексте веб-приложений приводит к краже данных. Наиболее известным примером этого являются атаки в стиле Magecart, когда злоумышленник пытается извлечь данные кредитной карты непосредственно из процесса проверки приложения (обычно на сайтах электронной коммерции) без изменения поведения приложения.
Эти атаки часто трудно обнаружить, поскольку они используют JavaScript вне вашего прямого контроля, например, встроенный виджет, и работают без какого-либо заметного влияния на взаимодействие с пользователем.
Дополнение политик безопасности контента
Page Shield использует политики безопасности контента (CSP) для получения данных из браузера, но дополняет их, фокусируясь на основной проблеме: обнаружении вредоносного поведения, чего CSP не делают по умолчанию.
Политики безопасности контента широко распространены и позволяют вам, как администратору веб-сайта, сообщать браузерам, что браузеру разрешено загружать и откуда. В принципе, это полезно, но на практике CSP трудно поддерживать для больших приложений, и часто они оказываются очень широкими, что делает их неэффективными. Что еще более важно, CSP не предоставляют встроенного механизма для обнаружения вредоносного поведения. Вот где Page Shield помогает.
До сегодняшнего дня, с помощью Script Monitor, Page Shield обнаруживал вредоносное поведение, фокусируясь только на файлах JavaScript, запуская, среди прочего, наш классификатор кода JavaScript. Начиная с сегодняшнего дня, с помощью монитора подключений мы также выполняем поиск каналов аналитики угроз по конечным точкам URL-адресов подключения, что позволяет нам быстро обнаруживать потенциально подозрительные утечки данных.
Connection Monitor: под капотом
Монитор подключений использует connect-src директива Content Security Policies (CSP) для получения информации об исходящих подключениях от браузеров.
Затем эта информация сохраняется для быстрого доступа и дополняется дополнительными сведениями, включая состояние подключения, источник страницы подключения, информацию о домене и, если у вас есть доступ к нашему корпоративному дополнению, информацию об угрозах.
Чтобы использовать Connection Monitor, вам необходимо проксировать ваше приложение через Cloudflare. Когда он включен, он будет вставлять только выбранный процент загрузки HTML-страницы в следующий заголовок ответа HTTP, который реализует политику безопасности содержимого, используемую для получения данных:
content-security-policy-report-only: script-src 'none'; connect-src 'none'; report-uri <HOSTNAME>/cdn-cgi/script_monitor/report?<QUERY_STRING>
Этот заголовок HTTP-ответа запрашивает у браузера информацию о сценариях (script-src) и связи (connect-src) до заданной конечной точки. По умолчанию имя хоста конечной точки csp-reporting.cloudflare.comно вы можете изменить его так, чтобы оно совпадало с именем хоста вашего веб-сайта, если вы используете нашу корпоративную надстройку.
Используя приведенный выше CSP, браузеры будут сообщать о любых соединениях, инициированных:
<a>пинг,fetch(),XMLHttpRequest,WebSocket,EventSourceа такжеNavigator.sendBeacon()
Пример отчета о подключении показан ниже:
"csp-report": {
"document-uri": "https://cloudflare.com/",
"referrer": "",
"violated-directive": "connect-src",
"effective-directive": "connect-src",
"original-policy": "",
"disposition": "report",
"blocked-uri": "wss://example.com/",
"line-number": 5,
"column-number": 16,
"source-file": "",
"status-code": 200,
"script-sample": ""
}
Используя отчеты, подобные приведенному выше, мы можем затем создать список URL-адресов исходящих подключений вместе с тем, с каких страниц они были инициированы. Затем эти данные становятся доступными через информационную панель, дополненную:
- Статус подключения: Активен, если соединение было замечено недавно
- Временные метки: Впервые увиденный и последний увиденный
- Метаданные: информация WHOIS, информация о сертификате SSL, если таковая имеется, информация о регистрации домена.
- Вредоносные сигналы: Домен фида угроз и поиск по URL*
* Поиск по URL-адресам доступен только в том случае, если сохраняется полный путь подключения.
Примечание о конфиденциальности
В Cloudflare мы хотим обеспечить конфиденциальность как прямых, так и конечных клиентов. По этой причине монитор подключения по умолчанию будет хранить и собирать только схему и хост-часть URL-адреса подключения, например, если конечная точка, на которую браузер отправляет данные:
https://connection.example.com/session/abc
Монитор подключений будет хранить только https://connection.example.com и сбрось путь /session/abc. Это гарантирует, что мы минимизируем риск сохранения идентификаторов сеансов или других конфиденциальных данных, которые могут быть найдены в полных URL-адресах.
Отсутствие сохранения пути означает, что в некоторых конкретных обстоятельствах мы не можем выполнять полный поиск URL-адресов из нашей аналитики угроз. По этой причине, если вы знаете, что не вставляете конфиденциальные данные в пути подключения, вы можете легко включить хранилище путей с панели управления. Поиск доменов будет продолжать работать, как и ожидалось. Поддержка сохранения строки запроса будет добавлена в будущем.
Идти дальше
Script Monitor и Connection Monitor — это только две из множества директив CSP, которые мы планируем поддерживать в Page Shield. Идя дальше, мы уже работаем над рядом дополнительных функций, включая возможность предлагать и реализовывать как положительные, так и отрицательные политики непосредственно с панели инструментов.
Мы рады видеть, что Connection Monitor предоставляет дополнительную информацию о поведении приложений, и с нетерпением ждем следующих изменений.
