【環(huán)球網(wǎng)科技報(bào)道 記者 林迪】“和其他以服務(wù)器為目標(biāo)的攻擊方式不同,第三方腳本攻擊主要針對(duì)瀏覽器端發(fā)起攻擊。這種攻擊方式較為隱蔽,企業(yè)較難使用傳統(tǒng)手段進(jìn)行防御和打擊。而一旦攻擊者得手,造成的影響往往又是難以估量的。”近日,Akamai大中華區(qū)高級(jí)售前技術(shù)顧問(wèn)孟焯對(duì)記者表示。
Akamai大中華區(qū)高級(jí)售前技術(shù)顧問(wèn) 孟焯
孟焯指出,隨著人們?cè)絹?lái)越依賴數(shù)字化工具,遠(yuǎn)程辦公、學(xué)習(xí)、購(gòu)物、娛樂(lè)等生活方式變?yōu)槌B(tài),網(wǎng)絡(luò)威脅發(fā)起者也在關(guān)注線上活動(dòng)的迅猛增長(zhǎng)伺機(jī)而動(dòng),最終竊取終端用戶個(gè)人信息并以此獲利。作為易操縱且適用范圍廣的攻擊方式,第三方腳本攻擊正在快速流行,對(duì)包括電子商務(wù)、媒體出版業(yè)網(wǎng)站在內(nèi)的眾多網(wǎng)站形成威脅。
據(jù)介紹,其中的代表Magecart攻擊就“攻陷”過(guò)許多備受矚目的網(wǎng)站,包括奧運(yùn)會(huì)售票網(wǎng)站、英國(guó)航空、Ticketmaster等。
網(wǎng)絡(luò)攻擊“重災(zāi)區(qū)”
數(shù)據(jù)顯示,2011年至2018年間,網(wǎng)頁(yè)頁(yè)面中的第三方腳本大小增長(zhǎng)了706%,請(qǐng)求數(shù)增加了140%。
“第三方腳本攻擊的興起源于第三方腳本的流行。為使用戶獲得更豐富、便捷的Web體驗(yàn),越來(lái)越多的網(wǎng)站通過(guò)第三方腳本為用戶提供支付、預(yù)訂等服務(wù)。” 孟焯解釋稱,一方面,這些腳本都是通過(guò)第三方進(jìn)行功能維護(hù)和更新,對(duì)于第一方而言通常未知,因此為第一方網(wǎng)站的自身安全性埋下了隱患。另一方面,隨著用戶對(duì)網(wǎng)站功能多樣化的需求增加,第三方腳本的大小與請(qǐng)求數(shù)正在飛速增長(zhǎng),這使得攻擊面進(jìn)一步擴(kuò)大。“以Akamai官網(wǎng)為例,如果使用可視化工具‘Request Map’來(lái)展現(xiàn)頁(yè)面上所有請(qǐng)求的來(lái)源,會(huì)發(fā)現(xiàn)網(wǎng)站中超過(guò)50%的腳本都是來(lái)自第三方的腳本。”
具體而言,第三方腳本攻擊往往從第三方、第四方網(wǎng)站開(kāi)始。攻擊者通過(guò)將惡意代碼添加到第三方腳本更新中,從而“穿透”平臺(tái)的必要安全檢查(例如WAF),進(jìn)入供應(yīng)鏈交付,最終在第一方網(wǎng)站頁(yè)面上竊取個(gè)人識(shí)別信息(PII),再通過(guò)執(zhí)行惡意代碼,把這些數(shù)據(jù)發(fā)回給攻擊者。
孟焯告訴記者:“當(dāng)前,第三方腳本攻擊中最‘臭名昭著’的莫過(guò)于Magecart攻擊。該攻擊以Magecart這一黑客組織命名,專門(mén)使用惡意代碼通過(guò)污染第三方和第四方的腳本,從終端用戶提交的支付表單中竊取支付信息,以獲取經(jīng)濟(jì)利益。”
據(jù)介紹,Magecart攻擊具備幾個(gè)特點(diǎn):第一,影響范圍廣。該攻擊不僅針對(duì)大型支付網(wǎng)站,任何有支付業(yè)務(wù)、需要在頁(yè)面中提交表單的網(wǎng)站,無(wú)論大小,均有可能遭受此類攻擊。第二,攻擊后果嚴(yán)重。該攻擊“威力”巨大,單一攻擊事件就可以造成數(shù)以千計(jì)的網(wǎng)站感染、百萬(wàn)個(gè)信息被盜取。在針對(duì)英國(guó)航空的Magecart攻擊中,攻擊者僅用22行腳本代碼,就盜取了38萬(wàn)張信用卡的信息,相當(dāng)于給犯罪分子送去1700多萬(wàn)美元的凈收益。第三,攻擊手段不斷升級(jí)。最近一次已知的Magecart攻擊發(fā)生在今年4月,Magecart黑客團(tuán)體采用名為“MakeFrame”的新型數(shù)據(jù)竊取器,將htmliframes注入網(wǎng)頁(yè)中以獲取用戶付款數(shù)據(jù),成功地破壞了至少19個(gè)不同的電子商務(wù)網(wǎng)站。
據(jù)2019年《互聯(lián)網(wǎng)安全威脅報(bào)告》顯示,全球平均每個(gè)月有超過(guò)4800個(gè)不同的網(wǎng)站遭到類似的表單劫持代碼入侵。
潛在的安全風(fēng)險(xiǎn)
孟焯進(jìn)一步指出,第三方腳本攻擊利用的是第一方網(wǎng)站對(duì)第三方腳本的控制力不足和難以實(shí)現(xiàn)的全面監(jiān)測(cè),造成較為嚴(yán)重的攻擊后果。此外,第三方腳本還會(huì)帶來(lái)一些其他的潛在隱患。
綜合來(lái)看,第三方腳本帶來(lái)的安全風(fēng)險(xiǎn)通常有以下幾種:
數(shù)據(jù)竊取。數(shù)據(jù)竊取是在用戶端通過(guò)腳本竊取用戶的個(gè)人數(shù)據(jù)和賬單數(shù)據(jù)的一種釣魚(yú)攻擊。2019年第四季度,某北美大型零售商的支付頁(yè)面被攻擊者盜取了姓名、電話、郵件和信用卡號(hào)碼、安全碼和過(guò)期日期等。
意外泄漏。意外泄漏指應(yīng)用意外收集用戶敏感數(shù)據(jù)導(dǎo)致的合規(guī)風(fēng)險(xiǎn)。2019年第四季度,某國(guó)際零售商網(wǎng)站上出現(xiàn)了不安全腳本,使得任何人都可以通過(guò)Web瀏覽器訪問(wèn)該網(wǎng)站近1.3 TB的數(shù)據(jù),包括用戶的IP、住址、郵箱地址和在網(wǎng)站的活動(dòng)軌跡。此外,這還可能會(huì)引發(fā)針對(duì)性的網(wǎng)絡(luò)釣魚(yú)攻擊。
已知漏洞(CVE)。這是指在真實(shí)使用場(chǎng)景中,腳本已經(jīng)暴露出漏洞,但未能得到及時(shí)修復(fù)。2019年第四季度,某旅游服務(wù)商在一次第三方腳本攻擊的15天內(nèi)暴露了30多萬(wàn)用戶的個(gè)人信息,導(dǎo)致百萬(wàn)美金的罰款。而造成此次攻擊的漏洞就來(lái)自于已知的腳本漏洞,并且該漏洞已在此前導(dǎo)致過(guò)數(shù)據(jù)泄漏。
如何防范這一隱患?
如上所述,第三方腳本帶來(lái)的種種安全風(fēng)險(xiǎn)為各種類型的網(wǎng)絡(luò)攻擊提供了“溫床”,但其自身又往往處于“隱秘的角落”,較難控制和監(jiān)測(cè)。不過(guò),對(duì)于這樣的風(fēng)險(xiǎn),企業(yè)并非完全束手無(wú)策。
在孟焯看來(lái),目前有四種常用的應(yīng)對(duì)方法,以將第三方腳本帶來(lái)的安全風(fēng)險(xiǎn)“扼殺在搖籃中”。
首先是內(nèi)容安全策略(CSP)白名單。據(jù)介紹,內(nèi)容安全策略是通過(guò)白名單的方式,檢測(cè)和監(jiān)控來(lái)自第三方的安全隱患,適用于能夠嚴(yán)格遵守該策略的企業(yè),且以防御為主。但該方法也存在一定弊端,一是如果可信的第三方被利用并成為攻擊媒介,這種策略就無(wú)法起到應(yīng)有效果;二是該策略在實(shí)際操作中較難實(shí)施和維護(hù),需要持續(xù)的手段分析和測(cè)試,如果策略設(shè)置得過(guò)于嚴(yán)格也將產(chǎn)生誤報(bào);三是如果對(duì)于通用云存儲(chǔ)和開(kāi)源項(xiàng)目中的資源設(shè)置白名單,會(huì)進(jìn)一步增加網(wǎng)站的“脆弱性”。
其次是仿真測(cè)試掃描。仿真測(cè)試掃描是一種離線的策略方法,適用于簡(jiǎn)單的網(wǎng)站及策略更新時(shí)。但實(shí)行該方法仍然需要持續(xù)的手動(dòng)分析和測(cè)試。
再次是訪問(wèn)控制/沙盒。訪問(wèn)控制/沙盒的方式適用于頁(yè)面簡(jiǎn)單或頁(yè)面數(shù)量較少、不包含個(gè)人驗(yàn)證信息的網(wǎng)站。該方法可以與內(nèi)容安全策略結(jié)合使用,同時(shí)也需要持續(xù)的手動(dòng)分析和測(cè)試。
第四是應(yīng)用程序內(nèi)檢測(cè)。其檢測(cè)腳本的行為、可疑的活動(dòng),著力于快速緩解攻擊、減少對(duì)業(yè)務(wù)的影響。這也是Akamai認(rèn)為有效的腳本保護(hù)方式之一。持續(xù)的手動(dòng)分析和測(cè)試在現(xiàn)實(shí)場(chǎng)景下較難實(shí)現(xiàn),應(yīng)用程序內(nèi)檢測(cè)則是一個(gè)獨(dú)立于平臺(tái)且自動(dòng)的、不斷演進(jìn)的安全威脅檢測(cè)方式,并且不依靠于訪問(wèn)控制方法,真正能夠做到保障網(wǎng)站安全。舉例而言,對(duì)于Magecart攻擊來(lái)說(shuō),這種方式能夠檢測(cè)可疑的行為,并且易于管理和設(shè)置,讓企業(yè)的網(wǎng)站始終處于監(jiān)測(cè)狀態(tài)、隨時(shí)在線。另外,它還能夠排除干擾信息,根據(jù)已知的安全威脅提供情報(bào),避免“重蹈覆轍”。最后,針對(duì)訪問(wèn)的控制策略,該方法也會(huì)根據(jù)反饋不斷進(jìn)行更新。
“隨著第三方腳本成為現(xiàn)代網(wǎng)站的‘必需品’,針對(duì)第三方腳本的攻擊發(fā)生得也越來(lái)越頻繁,且往往給企業(yè)帶來(lái)巨大損失。”最后,孟焯建議道:“企業(yè)應(yīng)當(dāng)保持警惕,使用諸如Request Map這樣的工具檢測(cè)網(wǎng)站頁(yè)面第三方腳本的數(shù)量,并對(duì)網(wǎng)站頁(yè)面的第三方腳本予以監(jiān)視,哪怕該腳本來(lái)自受信任的第三方也是如此。同時(shí),企業(yè)應(yīng)考慮適用自身網(wǎng)站的腳本管理方式,進(jìn)行第三方腳本行為檢測(cè),實(shí)施管理和風(fēng)險(xiǎn)控制,并將應(yīng)用程序內(nèi)的腳本保護(hù)與訪問(wèn)控制解決方案結(jié)合起來(lái),協(xié)同運(yùn)行。”
