Skip to main content
Blog
Blog

Melhor segurança do lado do cliente para instituições financeiras?

Os alvos dos estados-nação, como as instituições financeiras, precisam fazer parceria com fornecedores que entendam as limitações e trabalhem para chegar o mais próximo possível da cobertura total. Leia por que muitos escolhem o modelo multicamadas do cside.

Dec 24, 2025 7 min read
A melhor segurança do lado do cliente para instituições financeiras - imagem do banner
Share this post on X (Twitter) Visit cside on Instagram Share this post on LinkedIn

DR:

  • Dada a sensibilidade à conformidade, os melhores fornecedores para instituições financeiras devem ter certificações SOC2 Tipo 2, PCI DSS SAQ-D e muito mais.
  • As instituições financeiras são alvos do Estado-nação para maus atores. Portanto, os melhores fornecedores de segurança para eles investem para estar na vanguarda da capacidade técnica. Bom o suficiente não é bom o suficiente. Um indicador da atitude correta em relação à vanguarda é a contribuição para organizações de padronização como o W3C, IETF e TC39.
  • A segurança está em camadas: um fornecedor que oferece um modelo de segurança multicamadas ajuda as empresas a permanecerem seguras quando agentes mal-intencionados tentam criar desvios para as camadas de segurança.
  • Conclusão: a melhor solução para as Instituições Financeiras é a abordagem multicamadas da cside.

O que é segurança do lado do cliente?

A segurança do lado do cliente é a prática de proteger as dependências do JavaScript, os dados do usuário e os comportamentos executados dentro do navegador do visitante.

Isso inclui:

  • Scripts próprios: arquivos JavaScript carregados de seu próprio domínio
  • Scripts de terceiros: desde ferramentas analíticas, anúncios, chatbots, gerenciadores de tags, ferramentas de teste A/B
  • Scripts embutidos, conteúdo incorporado como widgets e SDKs
  • Dados processados ou obtidos pelo navegador

Qualquer coisa que aconteça após a resposta HTML inicial do servidor web é uma ação do lado do cliente. Os invasores usam cada vez mais o navegador para executar ações maliciosas na tentativa de obter informações confidenciais valiosas. Quando os dados são obtidos de domínios de terceiros, os scripts geralmente são veiculados de forma diferente com base no IP, nos cabeçalhos da solicitação, na hora do dia, na localização, etc. 

Por exemplo: uma ferramenta de marketing irá coletar dados diferentes dos EUA na Europa para conformidade com a privacidade de dados.

Especialmente para alvos de alto valor, usar uma busca do lado do cliente para injetar uma carga maliciosa é uma ação comum porque é muito mais difícil de detectar e o malfeitor pode voar abaixo do radar por um longo tempo, a menos que uma solução de segurança de tempo de execução do lado do cliente esteja sendo usada.

Por que as instituições financeiras são classificadas como alvo do Estado-nação?

Alguns maus atores não procuram apenas ganhar dinheiro rápido. Eles podem ser patrocinados pelo Estado e incentivados a causar estragos. Desestabilizar serviços essenciais necessários ao funcionamento das economias.

As instituições financeiras são um alvo principal e com a sua dimensão e exposição surgem riscos adicionais e, portanto, oportunidades para os maus intervenientes. Quando os bancos quebram, o mesmo acontece com a economia.

As instituições financeiras estão no mesmo domínio que os ambientes de TI governamentais, os prestadores de cuidados de saúde em grande escala e as infraestruturas críticas, como os transportes públicos e os fornecedores de energia.

Para construir credibilidade no setor financeiro, as marcas passam por um processo plurianual significativo para obter a confiança de clientes de vários tipos. Com isso, surge uma dívida técnica significativa por meio de aplicativos legados.

Infraestrutura vasta e legada aumenta a superfície de ataque

Não é segredo do setor que muitas das grandes instituições financeiras ainda funcionam em COBOL. Um artigo de pesquisa escrito por um membro da equipe técnica do PayPal afirma o problema de forma muito clara: “A infraestrutura bancária tradicional está frequentemente desatualizada e luta para atender às crescentes demandas por serviços digitais contínuos e em tempo real”.

Isso significa que os aplicativos da Web legados geralmente são sobrepostos por tecnologias mais modernas, aumentando a superfície de ataque para oferecer novas experiências ao usuário. Ao aproveitar back-ends vulneráveis ​​para injetar scripts do lado do cliente ou direcionar dependências legadas para se infiltrarem na cadeia de abastecimento, os maus atores podem causar danos graves às economias globais.

Os ataques do lado do cliente têm como alvo ativos específicos

Os ataques do lado do cliente contra instituições financeiras geralmente têm como alvo:

  • Credenciais de usuário e tokens de sessão para obter acesso às contas
  • Informações do cartão de pagamento
  • Extratos bancários e informações confidenciais de identidade

Requisitos rigorosos de regulamentação e conformidade

As instituições financeiras estão sujeitas a uma lista substancial de estruturas de conformidade para operar, a sua licença bancária depende da conformidade. Isto varia desde o cumprimento do PCI DSS, DORA, leis de privacidade locais como CCPA ou GDPR e como um sinal de confiança, mas muitas vezes um requisito para clientes empresariais: SOC2 Tipo 2, ISO 27001…

Qual abordagem é melhor para instituições financeiras?

Dada a gravidade do alvo, há pouco espaço para erros. Portanto, uma boa solução deve caber como uma luva na aplicação.

Portanto, uma abordagem em camadas é ideal. Principalmente se a solução em questão for customizável e criar transparência e controle onde antes faltava controle.

É por isso que construímos o cside como uma plataforma que aproveita todas as diferentes camadas disponíveis até o momento.

O cside oferece dois métodos de implantação complementares, combinados com vários mecanismos de detecção, incluindo modelos de linguagem grandes de código aberto para análise.

  • Método Script (Mais Fácil): verificamos os comportamentos dos scripts no navegador e buscamos os scripts do nosso lado, depois confirmamos que recebemos o mesmo script. Não nos colocamos no caminho de um script a menos que você peça explicitamente. Fácil de implementar, sem impacto no desempenho, e você ainda pode interromper ações de scripts ou bloquear por URL, hash ou domínio.
  • Método Scan (Mais Rápido): se você não puder adicionar um script ao seu site, o cside o analisa usando inteligência de ameaças de milhares de outros sites com bilhões de visitantes combinados. Rápido de configurar e útil quando a instalação de um script não é possível.

Também oferecemos um endpoint de Content Security Policy para que os clientes possam combinar a aplicação nativa do navegador com a detecção do cside baseada em JavaScript.

A segurança requer um modelo multicamadas

A maioria das ferramentas de segurança depende de apenas uma das camadas mencionadas acima, seja em tempo de execução ou externa na verificação. Mas o problema é que nenhuma destas camadas por si só é totalmente à prova de balas e, portanto, não consegue fornecer uma cobertura abrangente. Ao combinar motores você fica cada vez mais perto da cobertura total.

Muitas soluções no mercado são recursos secundários de grandes empresas de segurança na web. Em vez de construir uma plataforma para segurança do lado do cliente, eles criaram um pequeno recurso secundário. Essas soluções são limitadas pelo foco do negócio. Freqüentemente, o lado do cliente é uma área na qual eles não estão dispostos a investir recursos substanciais e, portanto, dependem apenas da injeção de políticas de segurança de conteúdo no site por meio de seu WAF.

Algumas soluções são efetivamente apenas scanners. Os malfeitores veem os scanners e não enviam os scripts maliciosos para a verificação pontual. Dado o valor da meta, esta abordagem é ineficaz.

Para fins de conformidade é conveniente que a solução ofereça painéis específicos para abordar cada estrutura. As estruturas vêm com uma variedade de controles exclusivos e coletar manualmente esses dados é uma tarefa dolorosa e contínua.

Descobriu-se que algumas abordagens, como soluções baseadas em scanner, são comumente ignoradas por malfeitores. Eles detectam o scanner e fornecem conteúdo limpo para que o scanner voe abaixo do radar. Pesquisadores em ISACA, Universidade de Brighton, Google e Oráculo sinalizaram que os scripts dinâmicos do lado do cliente ignoram efetivamente a análise estática dos scanners.

A cside está sempre procurando ampliar seus recursos e promovendo ativamente uma série de novos padrões que permitiriam uma segurança mais forte do lado do cliente usando a funcionalidade nativa do navegador.

A equipe cside contribui ativamente para órgãos padrão como W3C, IETF e TC39.

Pronto para experimentar a cside? Comece grátis ou agende uma demonstração para conversar com nossa equipe.

Simon Wijckmans
Founder & CEO Simon Wijckmans

Founder and CEO of cside. Previously a product manager on Cloudflare Page Shield (now Cloudflare Client-Side Security). Co-chair of the W3C Anti-Fraud Community Group and a Forbes 30 Under 30 honoree. Building accessible security against client-side attacks — web security is not an enterprise-only problem.

Don't just take our word for it, ask AI

Ask ChatGPT
Ask Perplexity AI
Ask Gemini
Grok Ask Grok
Ask Claude
Ask Copilot

FAQ

Frequently Asked Questions

Aquele em que uma abordagem em camadas é adotada. 1. Monitoramento em tempo de execução usando um script 2. Verificações externas 3. CSP como alternativa extra Uma solução focada na qualidade da segurança, em vez da conformidade ou conveniência bruta das caixas de seleção. Usando um fornecedor como o cside que tem seus requisitos de conformidade em ordem. cside se encaixa nesta lista como nenhuma outra.

A economia é a espinha dorsal da sociedade funcional. Os atacantes patrocinados pelo Estado identificaram as instituições financeiras como alvos principais para maximizar o impacto, causar estragos e desestabilizar as economias e, como resultado, a democracia. Os sistemas que alimentam a economia são tão essenciais como as infraestruturas críticas.

A exposição somente em tempo de execução é fácil de ignorar devido à exposição das detecções.

Os scanners sem agente recebem o que o malfeitor deseja mostrar. Os invasores detectam scanners e escolhem o que servir, o que provavelmente não será o script malicioso.

As Políticas de Segurança de Conteúdo (CSP) são difíceis de manter e atuam como uma lista de permissões de origem, não como um mecanismo de segurança em nível de carga útil ou de ações.

As instituições financeiras atraem maus atores que analisam ativamente os mecanismos de proteção para contorná-las. Não se trata de ataques spray-and-pray, portanto, a estratificação é necessária para chegar o mais próximo possível tecnicamente da cobertura total, mesmo que os navegadores não forneçam nativamente uma solução ponta a ponta.

Roubo de credenciais.

Sequestro de sessão.

Exfiltração de dados de pagamento.

Injeção de script na cadeia de suprimentos.

Cada um visando a exposição volumétrica de grandes quantidades de dados de clientes para maximizar o caos e o ganho financeiro.

Os malfeitores detectam o scanner e veiculam um script benigno, enquanto outros, em circunstâncias específicas, recebem o script malicioso.

Ao preencher um painel de aparência interessante com métricas obtidas por scanner, é criada uma falsa sensação de segurança. As ações com as quais você precisa se preocupar não serão exibidas nessas ferramentas.

Monitore e Proteja Seus Scripts de Terceiros

Gain full visibility and control over every script delivered to your users to enhance site security and performance.
Agende uma demonstração
Comece gratuitamente

Comece grátis, ou experimente o Business com um teste de 14 dias.

Interface do painel cside mostrando monitoramento de scripts e análises de segurança
Related Articles
Agende uma demonstração