De meeste beveiligingstools kunnen niet in de browser kijken, waar aanvallers kwaadaardige code verbergen in website scripts die ongemonitord blijven.
Een enkel gecompromitteerd script kan weken data skimmen, verborgen blijvend voor traditionele beveiligingstools
CSP's, Crawlers en JS agents zijn gebouwd voor statische dreigingen. Moderne aanvallen ontwijken deze benaderingen met dynamische code.
PCI DSS 4.0.1 vereist client-side monitoring. AVG bestraft bedrijven voor datalekken door kwaadaardige of verkeerd geconfigureerde scripts.
Selecteer de modus die het beste past bij je beveiligingsbehoeften en technische vereisten.
"Ik geef om client-side beveiliging en ik heb iets nodig dat makkelijk uit te leggen is aan de rest van het team."
We controleren script gedragingen in de browser en halen de scripts op aan onze kant. We plaatsen onszelf niet in het pad van een script tenzij je ons expliciet vraagt dat te doen.
Operating Model
Sta toe dat het script direct serveert voor scripts die ik vertrouw, scripts die ik niet vertrouw krijgen de volledige beveiligingsbehandeling.
"Ik ben een high value target en heb volledige beveiligingscontrole nodig."
We controleren script gedragingen en cside plaatst zichzelf in het midden tussen de ongecontroleerde third-party en de eindgebruiker - alleen scripts die je ons niet vertelde niet in het midden te plaatsen.
Operating Model
Alle scripts passeren via cside behalve sommige.
"Ik heb niet de mogelijkheid om een script aan de website toe te voegen."
cside threat intel verzameld door duizenden andere websites met gecombineerd miljarden bezoekers.
Operating Model
Statische scanning aangedreven door threat intelligence van ons netwerk.
Anders dan moderne besturingssystemen hebben browsers geen native ondersteuning voor 3rd party security vendors. CSP en SRI dekken maar zoveel, dus we moeten creatief zijn. De meeste client-side detecties met JavaScript in de browser zijn makkelijk te reverse engineeren en omzeilen. Helaas kunnen te strikte client-side detecties sommige client-side libraries breken. Wat een script voor client-side beveiliging in essentie doet is API's wrappen die kunnen worden gebruikt door kwaadwillenden en monitoren welke scripts ze gebruiken. Het probleem is dat niet elk script daar netjes mee speelt. Dus daarom hebben we een veel uitgebreidere aanpak genomen voor de meest beveiligingsbewuste gebruikers. Door de detecties in de browser te combineren met detecties op onze eigen engine met onze proprietary gate-keeping engine creëren we een gebalanceerd beste van alle werelden scenario. Detectie mogelijkheid balanceren met gebruiksgemak met veerkracht en uiteindelijk de klant de mogelijkheid geven de aanpak te kiezen.
Onze aanpak levert voordelen die traditionele tools niet kunnen evenaren. We combineren echte gebruikerssessies met AI-aangedreven script analyse om een compleet beeld te krijgen van script gedrag.
| Functie | cside | Traditionele Oplossingen |
|---|---|---|
| Real User Monitoring | Ziet daadwerkelijk gebruikersgedrag en script uitvoering in productie | Crawlers zien alleen opgeschoonde versies van scripts |
| Getargete Aanval Detectie | Vangt aanvallen gericht op specifieke gebruikerssegmenten of tijdsperioden | Mist aanvallen tussen periodieke scans |
| Script Beveiliging & Analyse | Monitort daadwerkelijke script payloads en gedrag in real-time, waarborgt script integriteit | Controleert alleen script bronnen, niet wat ze doen |
| Third-Party Risico | Detecteert wanneer vertrouwde providers zijn gecompromitteerd | Gaat ervan uit dat vertrouwde bronnen altijd veilig zijn |
| Dynamische Scripts | Handelt dynamisch gegenereerde en geobfusceerde code | Beperkte controle over dynamische script uitvoering |
| Aanval Preventie | Analyseert scripts server-side waar aanvallers niet kunnen ingrijpen | Client-side analyse kwetsbaar voor manipulatie |
| Historische Tracking | Complete audit trail van script gedrag over tijd | Beperkte of geen historische script tracking |
| Toekomstbestendig | Past automatisch aan op nieuwe aanvalstechnieken | Vereist updates om nieuwe dreigingen te detecteren |
FAQ
Veelgestelde vragen
Client-side beveiliging beschermt gebruikers tegen dreigingen die direct in hun browser plaatsvinden tijdens het bezoeken van websites, met name van kwaadaardige third-party scripts en dependencies. Deze scripts kunnen creditcardgegevens, persoonlijke informatie, sessie tokens stelen en grote compliance schendingen veroorzaken zonder je medeweten. Anders dan server-side aanvallen die je infrastructuur targeten, gebeuren client-side aanvallen in real-time in de browsers van gebruikers, waardoor ze onzichtbaar zijn voor traditionele beveiligingstools zoals firewalls en server monitoring systemen.
Moderne websites gebruiken JavaScript bestanden van externe bronnen voor functionaliteit, analytics, advertenties en gebruikerservaring verbeteringen. Deze bestanden worden ook wel third-party scripts genoemd. Deze scripts zijn belangrijk om website prestaties te verbeteren, maar slechts één kwaadaardig script kan chaos veroorzaken op je platform. Het kan creditcardgegevens skimmen (Magecart aanvallen), login credentials en persoonlijke informatie stelen, kwaadaardige redirects injecteren en gebruikerssessies kapen. Het probleem met scripts is dat ze volledige website privileges hebben, dus standaard hebben ze toegang tot alles wat gebruikers zien en invoeren op je pagina's.
Ze kunnen supply chains aanvallen, CDN domeinen overnemen, of kwaadaardige code injecteren in legitieme scripts. Elk van deze toegangspunten kan aanvallers toestaan betalingsdata in real-time te stelen, gebruikers om te leiden naar kwaadaardige sites, formulier invoer en wachtwoorden te onderscheppen, of neppe betalingsformulieren te injecteren. Deze aanvallen zijn gesofisticeerd en conditioneel. Ze targeten alleen specifieke gebruikers of activeren op bepaalde tijden, waardoor ze detectie door beveiligingstools die alleen periodieke scans uitvoeren vermijden.
Twee opmerkelijke voorbeelden die recent plaatsvonden zijn de British Airways Magecart aanval in 2018 en de 2024 Polyfill.js kaping. In het geval van de British Airways Magecart aanval werden third-party scripts gecompromitteerd, waarbij creditcardgegevens van meer dan 380.000 klanten werden gestolen. Dit resulteerde in boetes van meer dan $200 miljoen. Aan de andere kant zag de meer recente Polyfill.js kaping aanvallers een veelgebruikt CDN domein overnemen. Dit stelde hen in staat gebruikers op meer dan 100.000 websites om te leiden naar volwassen en gokkensites. Deze twee echte voorbeelden laten zien hoe één gecompromitteerd script miljoenen gebruikers kan beïnvloeden.
Firewalls, server monitoring en endpoint bescherming zijn effectieve traditionele beveiligingstools, maar ze beschermen de server-side. Client-side aanvallen gebeuren in de browsers van gebruikers, waar traditionele tools blind zijn. Daar komt bij dat client-side aanvallen gesofisticeerd en conditioneel zijn. Ze kunnen een specifieke gebruiker targeten of alleen activeren onder bepaalde condities. Dit betekent dat ze langdurig kunnen opereren, echte gebruikers beïnvloedend, terwijl ze onopgemerkt blijven.
Financiële websites zijn een goudmijn voor kwaadaardige third-party scripts. Ze kunnen login credentials, persoonlijke informatie zoals BSN's en adressen, rekeningnummers, transactiedata en betalingsgegevens stelen. Dit kan worden gedaan door formulier inzendingen te onderscheppen, toetsaanslagen vast te leggen, browser opslag te benaderen, pagina's te manipuleren om neppe formulieren te creëren en beveiligingsmaatregelen te omzeilen. Het feit dat deze scripts volledige website privileges hebben maakt ze extreem gevaarlijk voor elke financiële website.
70% van alle creditcard diefstal gebeurt nu client-side. Deze data is volgens Visa. Client-side diefstal is een van de gevaarlijkste aanvallen waarmee organisaties vandaag worden geconfronteerd. Deze data benadrukt ook de ontoereikendheid van server-side beveiligingsmaatregelen en waarom het ook belangrijk is voor bedrijven om client-side oplossingen te implementeren. Dit laat ons ook zien dat aanvallers zich al hebben aangepast, waarbij ze meer van hun aanvallen direct op de browser omgeving richten.
Kunnen je beveiligingstools precies laten zien welke data elk third-party script verzamelt, of kunnen ze een kwaadaardige payload detecteren die alleen voor 1 op 1.000 bezoekers vuurt of slechts 5% van gebruikers target na 17:00? Als je deel uitmaakt van de 99% van bedrijven die NEE antwoorden op deze vraag, dan ben je kwetsbaar voor gesofisticeerde, conditionele client-side aanvallen.