Este artigo faz uma análise honesta dos recursos do Imperva Client-side Protection.
Como você está no site da cside, reconhecemos nosso viés. Dito isso, construímos nosso argumento de forma honesta e baseamos nossa análise em informações publicamente disponíveis, informações do setor e nas nossas próprias experiências ou as dos nossos clientes.
Se você quiser verificar as afirmações deles por conta própria, acesse as páginas de produto deles.
| Critério | cside | Imperva | Por que isso importa | Quais são as consequências |
|---|---|---|---|---|
| Abordagens utilizadas | Monitoramento baseado em script + análise do lado do servidor | CSP | ||
| Proteção em tempo real | Full support |
Full support |
Ataques podem ocorrer entre varreduras ou nos dados excluídos durante a amostragem | Detecção atrasada = vazamentos de dados ativos |
| Análise completa de payload | Full support |
No support |
Garante visibilidade profunda sobre comportamentos maliciosos dentro do próprio código do script | Ameaças passam despercebidas a menos que a fonte seja conhecida em um feed de ameaças |
| Detecção dinâmica de ameaças | Full support |
No support |
Identifica ataques que mudam com base no usuário, horário ou localização | Falha na detecção de ataques direcionados |
| Detecção de ameaças em nível de DOM | Full support |
No support |
Rastreia mudanças no DOM e observa como os scripts se comportam durante a execução | Incapaz de identificar ataques sofisticados baseados em DOM |
| 100% de rastreamento histórico e forense | Full support |
No support |
Necessário para resposta a incidentes, auditoria e conformidade | Necessário para resposta a incidentes, auditoria e conformidade |
| Proteção contra evasão | Full support |
No support |
Impede que atacantes contornem controles via ofuscação de DOM ou evasão | Ameaças furtivas continuam sem detecção |
| Certeza de que o script visto pelo usuário é monitorado | Full support |
No support |
Alinha a análise com o que realmente é executado no navegador | Lacunas entre o que é revisado e o que de fato é executado |
| Análise de scripts impulsionada por IA | Full support |
No support |
Detecta ameaças novas ou em evolução por meio da modelagem de comportamento | Dependência de atualizações manuais, feeds de ameaças ou regras = detecção lenta e propensa a erros |
| Dashboard PCI validado por QSA | Full support |
No support |
A forma mais confiável de garantir que uma solução está em conformidade com PCI é realizar uma auditoria minuciosa por um QSA independente | Sem validação de QSA, você depende inteiramente de alegações de marketing, o que pode resultar em reprovação em uma auditoria |
| SOC 2 Tipo II | Full support |
Full support |
Demonstra controles de segurança operacional consistentes ao longo do tempo | Carece de validação verificada de controles de segurança, tornando-se um fornecedor arriscado |
| Interface específica para PCI | Full support |
No support |
Uma interface fácil para revisão rápida de scripts e justificativa com um clique ou automação por IA | Tarefas tediosas e pesquisa manual sobre o que todos os scripts fazem, o que leva horas ou dias |
| Integrações de tickets (Linear, Jira) | Full support (Linear e Jira) |
No support |
Integrações nativas com ferramentas de tickets para desenvolvedores permitem que os alertas de segurança fluam diretamente para os fluxos de trabalho existentes | Sem integrações nativas de tickets, as equipes precisam criar tickets manualmente para os achados de segurança, atrasando os tempos de resposta |
O que é o Imperva Client-side Protection?
O Imperva Client-Side Protection compete unicamente com a solução de segurança do lado do cliente e o PCI Shield da cside. Outros serviços como detecção de VPN, detecção de agentes de IA e o Privacy Watch não estão no escopo deles.
O Imperva Client-Side Protection ajuda as organizações a monitorar e controlar JavaScript de terceiros em seus sites para prevenir vazamento de dados e ataques de cadeia de suprimentos. Ele oferece visibilidade sobre o comportamento dos scripts e suporta a geração automatizada de Content Security Policy (CSP) para aplicar políticas de segurança no navegador.
É uma boa ideia comprar uma solução de segurança do lado do cliente de um fornecedor de firewall?
Grandes fornecedores de segurança às vezes tentam lançar rapidamente um produto secundário. Eles fazem isso porque sabem que seus compradores estão comprometidos com sua plataforma. A escolha fácil é simplesmente comprar a solução deles. No entanto, muitos usuários percebem rapidamente que esses produtos não receberam a atenção de que precisavam e, com frequência, simplesmente não funcionam ou não atendem aos requisitos. Os navegadores como superfície de ataque são totalmente diferentes de olhar para um pacote de rede como um firewall.
Como o Imperva Client-side Protection funciona
O Imperva Client-Side Protection se apoia fortemente em Content Security Policies (CSP) para aplicar segurança em nível de script no navegador. As CSPs definem quais domínios têm permissão para carregar scripts, criando uma espécie de perímetro em torno de fontes "confiáveis".
No entanto, as CSPs validam apenas a origem de um script, não o seu conteúdo. O maior ataque do lado do cliente de 2024, o ataque Polyfill, não teria sido interceptado por uma CSP. Ela também não consegue impedir comportamento malicioso embutido em scripts permitidos, nem detectar se o conteúdo muda dentro da mesma URL.
As CSPs também exigem manutenção contínua. À medida que os sites integram novos serviços de terceiros, a CSP precisa ser atualizada, ou corre o risco de quebrar funcionalidades.
Além das CSPs, a Imperva usa um "worker" baseado no navegador para observar os scripts carregados depois que a página termina de renderizar. Esse worker atua de forma semelhante a um crawler leve, coletando informações sobre scripts de primeira e de terceira parte que rodam em sessões reais de usuários. Ele identifica scripts novos ou alterados, registra seu comportamento e usa um sistema de pontuação de risco de domínio para sinalizar código potencialmente inseguro.
No entanto, como o worker roda após o carregamento da página, ele não intercepta os scripts antes de sua execução. Ele também não analisa o payload de código real em cada sessão de usuário única. Se um script entrega conteúdo diferente com base em cookies, endereços IP, fingerprinting de navegador ou variantes de teste A/B, o worker pode nunca ver a versão maliciosa.
Por fim, o Imperva Client-side Protection exige que você seja um cliente existente da Imperva para acessar o Client-side Protection, e os preços não parecem ser públicos.
Como a cside vai além
O Client-Side Protection da Imperva é construído em torno de cabeçalhos de Content Security Policy. Ele gerencia quais domínios podem servir scripts às suas páginas. A cside vai mais fundo: analisamos o que esses scripts realmente fazem.
A limitação de qualquer abordagem baseada em CSP é que ela confia em domínios, não em código. Quando uma CDN legítima é comprometida, como aconteceu com o ataque Polyfill.io, as regras de CSP deixam o payload malicioso passar porque o domínio está na lista de permissões. A Imperva não tem nenhum mecanismo para interceptar essa classe de ataque.
A cside baixa cada script e executa a análise de payload em nossa própria infraestrutura. Detectamos coleta de credenciais, exfiltração de dados, manipulação de DOM e cryptojacking em nível de código. Se um domínio confiável começa a servir um skimmer, nós o interceptamos antes que o script chegue ao navegador.
A Imperva é, principalmente, um fornecedor de WAF. A proteção do lado do cliente é um recurso dentro de uma grande suíte empresarial, o que muitas vezes significa que você precisa de uma implementação existente da Imperva para justificá-la. A cside é desenvolvida especificamente para segurança do lado do cliente. É todo o nosso foco. Preços transparentes a partir de $99/mês, sem necessidade de pacote empresarial.
Para conformidade com PCI DSS 4.0.1, a cside cobre tanto o requisito 6.4.3 quanto o 11.6.1, com arquivos de payload imutáveis e trilhas de auditoria completas. A abordagem CSP da Imperva atende a controles básicos em nível de domínio para o 6.4.3, mas carece da análise de conteúdo de scripts que o 11.6.1 exige.
A cside também inclui um endpoint gratuito de relatórios de CSP. O monitoramento de CSP é um recurso integrado, não um item de cobrança separado.
Cadastre-se ou agende uma demonstração para começar.
Founder and CEO of cside. Previously a product manager on Cloudflare Page Shield (now Cloudflare Client-Side Security). Co-chair of the W3C Anti-Fraud Community Group and a Forbes 30 Under 30 honoree. Building accessible security against client-side attacks — web security is not an enterprise-only problem.