Dit artikel werpt een eerlijke blik op de functies van Source Defense.
Aangezien je op de cside-website bent, erkennen we onze vooringenomenheid. Desondanks hebben we onze case eerlijk opgebouwd en onze analyse gebaseerd op openbaar beschikbare informatie, branche-informatie en onze eigen of onze klanten hun ervaringen.
Als je hun claims zelf wilt verifiëren, navigeer dan naar hun productpagina's.
| Criteria | cside | Source Defense | Waarom het belangrijk is | Wat de gevolgen zijn |
|---|---|---|---|---|
| Gebruikte benaderingen | Proxy + agent-gebaseerde detecties maar biedt ook crawler en een gratis CSP-rapportage-eindpunt | Crawler + JS-gebaseerde detectie | ||
| Real-time bescherming | Aanvallen kunnen plaatsvinden tussen scans of in uitgesloten data bij sampling | Vertraagde detectie = actieve datalekken | ||
| Volledige payload-analyse | Zorgt voor diep inzicht in kwaadaardig gedrag binnen de scriptcode zelf | Bedreigingen blijven onopgemerkt tenzij de bron bekend is via een threat feed | ||
| Dynamische dreigingsdetectie | Identificeert aanvallen die veranderen op basis van gebruiker, tijd of locatie | Gemiste detectie van gerichte aanvallen | ||
| DOM-niveau dreigingsdetectie | Volgt wijzigingen in de DOM en observeert hoe scripts zich gedragen tijdens runtime | Niet in staat om geavanceerde DOM-gebaseerde aanvallen te identificeren | ||
| 100% historische tracking & forensics | Nodig voor incident response, auditing en compliance | Nodig voor incident response, auditing en compliance | ||
| Bypass-bescherming | Stopt aanvallers die controles proberen te omzeilen via DOM-obfuscatie of ontwijking | Heimelijke bedreigingen blijven ongedetecteerd | ||
| Zekerheid dat het script dat de gebruiker ziet wordt gemonitord | Stemt analyse af op wat daadwerkelijk wordt uitgevoerd in de browser | Gaten tussen wat wordt beoordeeld en wat daadwerkelijk wordt uitgevoerd | ||
| AI-gedreven scriptanalyse | Detecteert nieuwe of evoluerende bedreigingen door gedragsmodellering | Afhankelijkheid van handmatige updates, threat feeds of regels = trage en foutgevoelige detectie | ||
| QSA-gevalideerd PCI-dashboard | De meest betrouwbare manier om te garanderen dat een oplossing PCI-compliant is, is een grondige audit door een onafhankelijke QSA | Zonder QSA-validatie vertrouw je volledig op marketingclaims, wat kan resulteren in het zakken voor een audit | ||
| SOC 2 Type II | Toont consistente operationele beveiligingscontroles over tijd | Mist geverifieerde beveiligingscontrole-validatie, wat het een riskante leverancier maakt | ||
| PCI-specifieke UI | Een eenvoudige interface voor snelle scriptbeoordeling en rechtvaardiging via één klik of AI-automatisering | Eentonige taken en handmatig onderzoek naar wat alle scripts doen, wat uren of dagen kost |
Wat is Source Defense
Source Defense specialiseert zich in client-side websitebeveiliging. Ze werden opgericht in 2014 en bouwden, in hun eigen woorden, Source Defense met eenvoud in gedachten.
Hoe Source Defense Page Protect werkt
Source Defense biedt 2 methoden:
"Source Defense Detect" - Crawler-gebaseerd
Source Defense Detect is een crawler die een gebruiker nabootst die dezelfde pagina bezoekt en de scripts van derden ophaalt die laden. Crawlers kunnen gebruikerssessies simuleren, maar het zijn geen echte gebruikers. En dat verschil doet ertoe, omdat ze niet de precieze payload vastleggen die een echte bezoeker ontvangt tijdens hun browsersessie.
De meeste scripts van derden gebruiken logica die de response aanpast op basis van context. Locatie, apparaat, tijd en meer. Crawlers zijn slechts één specifieke combinatie hiervan, dus kunnen dit niet correct vastleggen. Ze hebben enige mogelijkheden om verschillende soorten gebruikers na te bootsen, maar niet tot in het uiterste.
Bovendien kunnen aanvallers deze crawlers redelijk gemakkelijk detecteren en simpelweg het niet-gewijzigde script serveren. De eenvoudige logica is: "als het verzoek van een cloudprovider komt, serveer een schoon script."
Leveranciers die uitsluitend op crawlers vertrouwen, moeten doorgaans extra intelligence kopen van derden. Bij cside bieden we ook een crawler aan voor situaties waar onze proxy niet mogelijk is (nichegevallen), maar met een groot voordeel: het wordt aangedreven door dreigingsdata die we continu verzamelen van elke site die onze eigen proxy gebruikt.
Dit garandeert geen preventie, maar het vergroot de kansen op het vangen van real-world bedreigingen dramatisch vergeleken met een crawler die afhankelijk is van externe feeds.
Bovendien kan een crawler op zichzelf je niet PCI DSS 4.0.1 (vereisten 6.4.3 en 11.6.1) compliant maken. Lees hier meer daarover. We bieden een combinatie met onze andere oplossingen waar we je kunnen helpen PCI DSS-compliance te bereiken.
"Source Defense Protect" - JS Agent-gebaseerd
Source Defense biedt ook een JavaScript-agent. Agent-gebaseerde benaderingen kunnen zorgen voor een nuttig dashboard met interessante informatie over scripts, maar ze zijn niet onbreekbaar en hebben per definitie enkele problemen.
JS-agents zijn trigger-gebaseerd. Alles wat niet triggert, wordt als goed beschouwd. Dit heeft het gevaarlijke effect van "ze weten niet wat ze niet hebben gevangen".
Deze triggers zijn gedefinieerd in de browser, waar een kwaadwillende gemakkelijk kan achterhalen welk gedrag ze volgen. Een beetje als mijnenveger spelen maar de bommen zijn blootgelegd.
Source Defense gebruikt hun script om een client-side sandbox te creëren, maar het probleem met die benadering is tot 100ms latentie.
Een ander probleem is dat agent-scripts afhankelijk zijn van dezelfde browseromgeving als de aanvaller. Als een kwaadaardig script al draait, kan het kernfuncties zoals fetch overschrijven. Wanneer de JS-agent een waarschuwing probeert te sturen, kan de aanvaller dat verzoek onderscheppen of omleiden.
Van buitenaf ziet het eruit alsof alles werkt. Maar de waarschuwing bereikt nooit zijn bestemming. De detectie werd getriggerd, maar het signaal werd afgesneden voordat het de browser verliet.
Deze bypass-methode kan worden voorkomen en verbindingen kunnen worden beschermd, maar we hebben nog geen client-side beveiligingsoplossing gezien die agent-gebaseerd is en dit heeft geadopteerd.
We hebben dat concept hier gedetailleerd.
Agents kunnen interessante informatie tonen maar elke kwaadwillende kan eromheen werken. Er is ook de gangbare perceptie dat ze sites trager kunnen maken. Dit kan waar zijn maar hangt af van hoe het script functioneert. We hebben besloten niet puur op de agent-methode te vertrouwen omdat proberen detecties uit te voeren op dezelfde rang als de kwaadwillende die bedreigingen uitvoert niet betrouwbaar werkt.
Het belangrijkste: Source Defense kan je de scriptinhoud niet laten zien, wat het moeilijk maakt voor forensics en/of de mogelijkheid om detecties te verbeteren.
Hoe cside verder gaat
Het cside-team heeft substantiële ervaring in client-side beveiliging. Door onze ervaringen identificeerden we dat kwaadwillenden opereren op een niveau van geavanceerdheid dat de overhand heeft over sommige beveiligingsbenaderingen. Als de beloning hoog is, is elke kloof in een beveiligingsdetectiemodel een kans voor een kwaadwillende.
Gezien de beperkingen in browserspecificaties voor client-side beveiliging, moesten we creatief worden, daarom benaderden we client-side beveiliging met de mogelijkheid om scripts te onderscheppen via een hybride proxy.
- Direct Mode - Makkelijkst: We controleren scriptgedrag in de browser en fetchen de scripts aan onze kant. We verifiëren vervolgens dat we hetzelfde script hebben gekregen. We plaatsen onszelf niet in het pad van een script tenzij je ons daar expliciet om vraagt. Slechts één script om aan de site toe te voegen, het duurt seconden.
- Gatekeeper Mode - Veiligst: We controleren scriptgedrag en cside plaatst zichzelf in het midden tussen de ongecontroleerde derde partij en de eindgebruiker - alleen scripts die je nog niet vertrouwde. Slechts één script om aan de site toe te voegen, het duurt seconden.
- Scan mode - Snelst: Als je geen script aan de site kunt toevoegen, zal cside deze scannen. We zullen de cside threat intel verzameld door duizenden andere websites met gecombineerd miljarden bezoekers gebruiken om je site zo goed mogelijk te beveiligen.
De mix van het bovenstaande brengt ons het dichtst bij volledige dekking die technisch vandaag mogelijk is.
Als leuk bijkomend voordeel, met sommige benaderingen die we hebben genomen, waren we in staat om websites sneller te maken afhankelijk van de scripts op de webpagina. Een oplossing in het midden plaatsen maakt dingen alleen langzamer als ze al volledig zijn geoptimaliseerd, wat vaak niet het geval is.
Hiermee helpt cside bedrijven compliance te bereiken, of deze nu beveiligings- of privacy-gefocust is.
cside draagt actief bij aan de W3C in de hoop aandacht te creëren voor client-side beveiliging. Met als doel aanpassingen aan de browserspecificatie te maken om volledig kogelvrije client-side beveiliging mogelijk te maken.
Bij cside leggen we aanvallen vast. Als je deze blogpost leest, ben je waarschijnlijk een voldoende high-value target voor een kwaadwillende om enig niveau van mentale capaciteit te investeren in het inspecteren hoe je webbeveiliging werkt. Het is beter om veilig te zijn en aan te nemen dat een kwaadwillende zal proberen beveiligingsoplossingen die je gebruikt te omzeilen. Gebruik dus oplossingen die een stap vooruit denken.
Aanmelden of boek een demo om te beginnen.
