Supply Chain aanvallen zijn tegenwoordig een topprioriteit. Het aantal van deze aanvallen in de VS steeg met 115% tussen 2022 en 2023, volgens Statista. Tools zoals Socket en Coana detecteren schadelijke code in registers zoals NPM. Maar het supply chain risico eindigt daar niet.
Sommige tools zijn third-party scripts die door de browser van de gebruiker worden opgehaald. Door alleen NPM (of een ander register) te controleren, ben je niet beschermd tegen aanvallen via deze scripts.
Deze scripts, gebruikt voor marketing tracking, advertenties, captchas en nog veel meer, worden vaak voor het gemak op hele sites geïmplementeerd. Deze scripts zijn krachtig en kunnen dingen zoals code herschrijven, gebruikers omleiden, gegevens exfiltreren en zelfs crypto minen in je browser.
De leveringsmethode van deze scripts maakt dynamisch gedrag mogelijk. Elke gebruiker kan elke keer een andere levering krijgen, vooral wanneer een script is gecompromitteerd.
Naarmate meer mensen betere dependency security benaderingen adopteren, worden dynamische scripts die browser-side worden opgehaald een steeds interessantere en substantiële aanvalsvector. Dit maakt het controleren van alleen bronnen een riskant spel. De betere benadering is het controleren van de volledige code elke keer dat deze wordt geleverd, wat cside doet.
Bovendien worden veel van deze scripts niet onderhouden door tech-gerichte bedrijven. Tools kunnen verwaarloosd raken wanneer bedrijven worden opgeheven of overgenomen, waardoor ze vatbaar worden voor kaping. Zelfs gerenommeerde, veelgebruikte diensten zijn niet zonder fouten, zoals blijkt uit cdnjs problemen in 2021 of deze persoon die een verlopen politie- en sociale dienstendomein in België kocht en op die manier toegang kreeg tot privé-informatie.
Tot slot missen 95% van deze scripts bescherming tegen DNS hijacks. Zelfs het netwerk waarop je bent kan invloed hebben op het script dat je krijgt.
Wat te doen aan dit alles
Dit is wat we aanbevelen:
Gebruik een tool zoals Socket (of alternatieven) voor supply chain risico op het register en gebruik cside om het gedrag van third-party scripts browser-side te monitoren. We controleren de volledige code van third-party bronnen, 100% van de tijd, voordat deze wordt geleverd aan de browser van je gebruiker. Hiermee beveiligen we deze kant van de supply chain volledig.
Ten slotte moet je je infrastructuur beschermen tegen inkomende aanvallen. Gebruik daarvoor iets zoals Cloudflare's Web Application Firewall.
Meer niche dingen zoals formulier uploads en bot detectie kunnen specialistische tooling vereisen.
Gebruik proactieve monitoring tools zoals Hadrian of Cycognito om het dreigingsoppervlak te monitoren.
