针对当今易受攻击的网站和 Web 应用的预防性方法

采取主动的客户端安全措施:为什么监控你的 JavaScript 编程语言对你的整体安全姿态如此重要。 Chris Kolling,Feroot Security 的市场营销副总裁

令人恐惧的是,有很多消费者没有意识到在网上填写表单或从不注意的在线商家购买产品有多么危险。而不幸的是,“不注意”的公司可能意味着一些世界上最大、最知名的品牌,而不仅仅是缺乏 IT 能力或技术敏锐度的小型家庭式商店。

但是,情况并非一定如此。为什么,作为一个世界,我们都知道监控你的信用很重要,但我们却不想监控我们自己的网站,看看是否有一些可以指向我们鼻子下发生的邪恶事件的行为?

为什么在网站和 Web 应用方面,我们的勤奋已经被抛在了一边?好吧,在 2021 年和 2022 年初,我们看到了我们将要经历一次大开眼界的经历的原因,以及向网站保护转变的趋势,这种转变已经需要多年了。基于 JavaScript 的网络攻击层出不穷。

威胁者充分利用跨站脚本、表单劫持、Web 窃取、侧加载、链加载等多种恶意策略来窃取有价值、机密和有利可图(如果在暗网上出售)的数据。这损害了公司的声誉,也惹恼了那些被盗取数据或身份受损的消费者。

安全专业人员在过去几十年里一直专注于保护他们防火墙后面的所有资产,也就是传统的安全边界。首席信息安全官及其团队已经熟练掌握了保护他们业务的服务器端的技能。虽然这显然是一个必要条件,但他们也需要同样关注他们与用户或客户交互的资产,就像今天的远程工作人员需要远远超出传统边界的保护一样。

答案是一种预防性的方法,它应该像杀毒软件一样普遍,像呼吸空气一样容易。它被称为客户端安全。公司需要把他们的网站当作他们的办公室前门,并给予它一个门户所需的保护。客户、员工和所有涉及的利益相关者最终都会感到印象深刻。威胁者是勤奋的,他们试图走最少阻力的路径。他们已经注意到,突破服务器端的安全防御越来越困难,所以他们正在转变他们的恶意行动,专注于客户端。网页和 Web 应用程序加载在用户的浏览器上,超出了安全团队的视野。这些应用程序是用 JavaScript 编写的,它没有内置的安全权限。如果威胁者只要通过污染一个公共网站就可以窃取机密数据,为什么他们还要继续与突破一个网络作斗争呢?

使用一种预防性的客户端安全方法(监控你的 JavaScript 编程语言),你可以创建一个旨在在为时已晚之前识别客户端风险和威胁的安全姿态。主动性也会带来对你所有现有 Web 资产的了解,这是一个至关重要的第一步,因为保护你不知道你拥有的东西是很有挑战性的。

而且这种保护是一个平等机会的好处,适用于包括网络安全人员、Web 开发人员和工程师以及隐私和合规专家在内的许多专业人士。由于所有这些职位在保护客户和用户方面都发挥着重要作用,客户端 JavaScript 安全必须放在首位。毕竟,能够清点客户端资产、持续扫描漏洞,并超越与通用数据保护条例(GDPR)和支付卡行业(PCI)相关的要求,都能带来安心——保护个人身份信息(PII)和财务数据,这些数据可以在暗网上卖出高价。

通过将可见性、预防和补救结合到一种基于预防性的方法中,针对任何网站或 Web 应用程序,组织可以为本来可能混乱的业务部门带来和谐,这个部门本应该给人满意感——而不是不确定感。客户端安全不必是一个很少被讨论的需求,只是偶尔在 IT 部门的走廊上徘徊。相反,它应该被用作一个强大的差异化因素,展示一个组织的前瞻性思维和对优秀客户体验的承诺,这种体验没有表面下脚本中的漏洞。

请查看这本全面的电子书。它是一本快速阅读的书,概述了许多客户端的挑战以及如何在你的组织内最好地消除它们。

关于作者

针对当今易受攻击的网站和 Web 应用的预防性方法

Chris Kolling 是 Feroot Security 的市场营销副总裁。Chris 是一位充满激情的技术营销领导者,他在他的营销生涯中的大部分时间都致力于为正确的受众,以正确的时间,传递正确的信息。他是一位全面的产品管理和营销专业人士,拥有在网络安全行业推出新产品和计划的丰富经验。作为多个网络安全创业公司的老兵,Chris 在从零开始建立营销功能、部门和团队方面有着深厚的优势。他具备开展竞争分析、市场进入计划和销售支持的丰富专业知识,从而制定和执行战略计划,实现显著的收入增长。

推荐阅读:

银河应用商店的两个漏洞让网络攻击者可以访问移动设备

Styx Marketplace 提供金融网络犯罪的中心

  • 点赞
  • 打赏
请选择打赏方式
  • ERC-20
  • TRC-20