了解个人身份信息收集
个人身份信息(PII)收集是一种攻击,犯罪分子操纵您网页中的表单来收集用户提交的个人身份信息,通常是在登录或结帐页面上。PII可能包括社会安全号码、用户名、密码、pin码和地址。收集后,这些数据被犯罪分子使用或在暗网上转售。遭受个人信息收集攻击(有时被称为表单劫持)的公司包括一些知名品牌,如英国航空公司。数字略读和Magecart攻击也会收集和窃取个人身份信息,但它们主要针对的是信用卡数据。
PII收集是如何工作的?
为了访问PII,攻击者利用JavaScript和其他用于构建网站和web应用程序的第三方代码组件中的安全漏洞。绝大多数开发人员使用代码组件来提高性能或更快地添加新功能。事实上,研究表明,第三方脚本占网站代码的50-70%。客户端代码中的安全漏洞为攻击者提供了新的途径,因为将恶意代码注入第三方组件相对容易,特别是在广泛使用的组件中的漏洞广为人知的情况下。
为什么PII收集难以检测?
对前端代码的客户端攻击可能很困难,因为页面上的行为更改通常很小且有选择性。恶意脚本经常被设计成动态加载并逃避外部扫描器的检测。它们可能有目的地瞄准一小部分用户,只在真正的客户端环境中加载,或者在检测到代码分析发生时从内存中删除它们。这使得恶意代码不太可能在任何特定时刻扫描期间运行。由于客户端脚本是在用户的浏览器中加载的,因此它们通常不在web应用程序防火墙(waf)等传统安全控制的范围之内。超过90%的网站决策者对他们网站上的第三方脚本没有完全的了解。攻击者可以破坏网站的客户端代码并劫持用户的PII数据,但可能要过几个月才会有人意识到这一点。第三方脚本是不断变化的,可能在扫描之间的任何时间点或下行加载时被破坏。在许多情况下,您的第三方代码引用了其他第三方代码,从而创建了一个由第4方、第5方和第n方供应商(即您的供应商的供应商)组成的长供应链。安全漏洞可能出现在链中的第n个点,但如果它导致对您的站点进行PII收集攻击,则您要对由此造成的损害负责。
组织如何防止个人身份信息收集?
为了保护web和移动应用程序免受客户端数据盗窃,网站所有者必须能够看到在客户端运行的脚本。这意味着在每个用户会话期间持续监控浏览器脚本行为。通过能够检测和跟踪可疑脚本,以及新脚本和现有脚本的行为变化,您可以阻止攻击者访问您的用户数据。以下是一些建议:
- 审查你的第三方代码供应商,特别是那些支持你的网页表单和底层软件的供应商。只使用来自可信供应商的代码,以确保所有web表单和JavaScript都来自已知来源。
- 列出表单和支持表单的任何独特软件组件的清单,并尝试识别任何第三方开发人员。
- 要求你的供应商定期更新你的网页表单的软件,特别是任何可用的JavaScript更新。使用沙箱测试来确保任何更新在信任并安装到您的站点之前不会出现新的漏洞。
- 使用外部代码扫描工具和服务提供商测试您的站点和表单是否存在漏洞。根据你的决定,渗透测试人员每年扫描你的软件一到两次,漏洞赏金服务可以全天候测试你的网页表单。
这些方法可以帮助您检测恶意代码,因此您可以使用补丁快速缓解漏洞,或者在站点上实现临时解决方案。然而,防止PII收集的最佳方法是启用对网站上所有客户端JavaScript行为的自动监控,这样您就可以捕获恶意代码活动。盘点你的网站和网络表单的异常行为可以让你看到客户端JavaScript在工作。
人类如何防止PII的采集?
人类客户端防御保护数字企业免受收集用户敏感数据的客户端攻击。该解决方案在每个用户会话期间实时监控第三方脚本活动,以检测脚本行为中的可疑活动和更改。不需要的脚本被阻止访问特定的表单字段或完全被阻止。通过利用实时、基于行为的分析和机器学习模型,客户端防御提供了对在客户端运行的第一方、第三方和第三方脚本的全面可见性和控制。该解决方案检测和减轻未经授权的PII访问、数据泄露事件和已知的脚本漏洞,以防止数字略读。
相关文章