El objetivo sería determinar en tiempo real si el sitio es vulnerable a ataques
Para abordar ataques como XSS, Magecart y otras vulnerabilidades de robo de tarjetas que se encuentran en los modernos entornos de comercio electrónico, el uso de métodos de seguridad web del lado del cliente está comenzando a surgir como una práctica particularmente útil.
Obviamente, los equipos empresariales deben integrar las protecciones del lado del cliente con las contramedidas deseadas del lado del servidor para garantizar un perfil completo de gestión de riesgos (por ejemplo, el lado del cliente es un mal punto de selección para detener la denegación de servicio).
Han comenzado a madurar varios enfoques de seguridad del lado del cliente basados en estándares que vale la pena examinar desde la perspectiva de la seguridad del sitio web y la protección de las sesiones del navegador contra ataques maliciosos. Las mejores plataformas de seguridad del lado del cliente automatizan la implementación de estos controles basados en estándares con énfasis en la simplicidad de la administración. Se utiliza una plataforma típica y representativa para demostrar los necesarios controles de seguridad del lado del cliente.
Política de seguridad de contenido
Para comprender las plataformas de seguridad del lado del cliente, es útil explorar primero los detalles de un enfoque estándar conocido como política de seguridad de contenido (CSP). Este es un estándar que está diseñado para abordar varios tipos de infracciones web, como secuencias de comandos entre sitios, clics y formularios. CSP también está diseñado para reducir el riesgo de malware del lado del cliente inyectado desde un ecosistema publicitario infectado.
Los CSP se implementan como directivas estándar que involucran encabezados HTTP o etiquetas de página que especifican qué dominios, subdominios y recursos puede cargar un navegador desde un sitio web. El uso de CSP es consistente con los navegadores que probablemente usaría cualquier usuario, incluidos Chrome, Firefox, Safari y Edge. El objetivo es que si el código malicioso reside en un sitio, el CSP evitará que los visitantes de ese sitio sean dirigidos al dominio del hacker.
El ejemplo que se muestra en la figura de arriba se toma directamente de la recomendación original del W3. El código CSP se puede interpretar de la siguiente manera: cada expresión de origen representa la ubicación donde se permite extraer el contenido del tipo especificado. Para ilustrar esta operación de seguridad de la lista blanca, considera que la designación de fuente de palabra clave propia, en el ejemplo anterior, representa el conjunto de URI en el origen como el sitio web protegido.
Empresas como Google han implementado CSP con éxito y lo están utilizando a diario para detener los ataques contra sus aplicaciones web. Sin embargo, CSP se implementa solo a la ligera en la mayoría de los entornos de aplicaciones web. El desafío con la implementación de CSP ha sido su compleja administración. Los investigadores de Tala Security han descubierto, por ejemplo, que aproximadamente el dos por ciento de los operadores de sitios web en los principales sitios web de Alexa 1000 implementan el estándar para evitar ataques del lado del cliente. Ayudar con este desafío administrativo es una motivación principal para las plataformas del lado del cliente.
Los resultados de la protección de seguridad del lado del cliente al usar sitios web de CSP pueden ser bastante impresionantes. Aquí hay algunas estadísticas observadas del equipo de investigación de Tala Security basadas en sus experiencias con el soporte de seguridad del lado del cliente:
• Imágenes: el sitio web promedio en Alexa 1000 carga imágenes de aproximadamente dieciséis dominios externos diferentes. La directiva img-src en CSP bloquea imágenes de sitios no deseados o potencialmente maliciosos.
• Hojas de estilo: el sitio web promedio en Alexa 1000 carga hojas de estilo de aproximadamente dos dominios externos diferentes. La directiva style-src en CSP bloquea la carga de hojas de estilo de sitios no deseados o potencialmente maliciosos.
• Fuentes: el sitio web promedio en Alexa 1000 carga imágenes de aproximadamente un dominio y medio de diferentes dominios externos. La directiva font-src en CSP bloquea las descargas de fuentes de cualquier sitio no deseado o potencialmente malicioso.
• Media: el sitio web promedio en Alexa 1000 carga imágenes de diferentes dominios externos. La directiva media-src en CSP bloquea las descargas de fuentes de sitios no deseados o potencialmente maliciosos.
Integridad de los recursos
Un estándar adicional de seguridad cibernética aplicable del World Wide Web Consortium (W3C) se conoce como integridad de subrecursos (SRI). Este estándar está diseñado para validar los recursos que son servidos por un tercero en un sitio web visitado. Dichos terceros incluyen redes de distribución de contenido (CDN), donde no ha sido raro encontrar códigos maliciosos que se ofrecen a sitios web desprevenidos.
El SRI se implementa a través de funciones criptográficas de hash que imprimen JavaScript a través de terceros. Los navegadores pueden buscar un recurso, verificar el valor hash criptográfico, que incluye la ubicación del recurso, y luego tomar una decisión de política sobre si aceptar el recurso. Esta capacidad es compatible con todos los navegadores importantes y reduce significativamente el riesgo de malware de terceros.
Plataforma de seguridad del lado del cliente
Las plataformas de seguridad del lado del cliente harán uso de CSP y SRI para proporcionar protecciones efectivas del lado del cliente. El objetivo de estas plataformas es proporcionar una mitigación basada en políticas del comportamiento detallado para las fuentes de terceros donde se sirve el contenido. Las plataformas del lado del cliente pueden observar cualquier recopilación de datos que sugiera los ataques utilizados por Magecart (y grupos similares).
La mitigación del navegador del cliente debe implementarse según la clasificación y el aprendizaje basados en inteligencia artificial. El software debe instalarse rápida y fácilmente. Las plataformas comerciales deben admitir la implementación para muchos entornos de destino, incluidos Apache Nginx, IIS, NodeJS y otros. Los impactos en el rendimiento y la latencia también deberían ser esencialmente inexistentes y no afectar la experiencia del usuario. Las capacidades específicas incluidas en una plataforma comercial deben incluir:
• Evaluación de indicadores: la plataforma seleccionada debe diseñarse para evaluar muchos indicadores diferentes de la arquitectura de una página web para analizar el código, el contenido, las conexiones y el intercambio de datos.
• Modelado de comportamiento y riesgo: la plataforma debe incluir soporte para análisis para informar una tarea de modelado de comportamiento y riesgo diseñada para resaltar el comportamiento normal y exponer vulnerabilidades.
• Mejora operativa: los conocimientos obtenidos de la evaluación y el modelado de la plataforma deben estar disponibles para ayudar a prevenir ataques del lado del cliente como XSS, Magecart y similares.
La operación de plataformas de seguridad del lado del cliente de clase mundial debe incluir una interacción continua entre cuatro actividades diferentes: Construir, Monitorear, Bloquear y Responder. El flujo de conexión entre estas diferentes fases del ciclo de vida se muestra a continuación.
Modelo de información
Las plataformas de seguridad del lado del cliente deben implementar algún tipo de modelo de información que pueda usarse para analizar los diferentes comportamientos en las páginas del sitio web del cliente que se va a proteger. El objetivo de seguridad para dicha extracción debe ser identificar explícitamente cualquier fuente de código y contenido en estas páginas web, así como encontrar cualquier opción de soporte de intercambio de datos que pueda involucrar datos confidenciales.
El modelo de información de comportamiento resultante proporcionará, por lo tanto, una línea de base funcional para realizar la necesaria gestión de riesgos del lado del cliente. El objetivo obviamente debería ser determinar en tiempo real si el sitio es vulnerable a ataques, inserción de terceros u otras infracciones avanzadas. Como era de esperar, el rendimiento de tal modelado de comportamiento y protección en tiempo real complementa cualquier herramienta existente de seguridad del lado del servidor.
