Este artigo faz uma análise honesta das funcionalidades do Source Defense.
Como você está no site do cside, reconhecemos nosso viés. Dito isso, construímos nossa argumentação de forma honesta e baseamos nossa análise em informações publicamente disponíveis, informações do setor e nas nossas próprias experiências ou nas dos nossos clientes.
Se você quiser verificar as afirmações deles por conta própria, acesse as páginas de produto deles.
| Critério | cside | Source Defense | Por que isso importa | Quais são as consequências |
|---|---|---|---|---|
| Abordagens utilizadas | Monitoramento baseado em script + análise do lado do servidor, mas também oferece um crawler e um endpoint gratuito de relatórios CSP | Crawler + detecção baseada em JS | ||
| Proteção em tempo real | Full support |
Full support |
Ataques podem ocorrer entre as varreduras ou nos dados excluídos durante a amostragem | Detecção atrasada = vazamentos de dados ativos |
| Análise completa do payload | Full support |
No support |
Garante visibilidade profunda dos comportamentos maliciosos dentro do próprio código do script | As ameaças passam despercebidas a menos que a origem seja conhecida em um feed de ameaças |
| Detecção dinâmica de ameaças | Full support |
No support |
Identifica ataques que mudam conforme o usuário, o horário ou a localização | Detecção falha de ataques direcionados |
| Detecção de ameaças no nível do DOM | Full support |
Full support |
Rastreia mudanças no DOM e observa como os scripts se comportam durante a execução | Incapaz de identificar ataques sofisticados baseados em DOM |
| 100% de rastreamento histórico e forense | Full support |
No support |
Necessário para resposta a incidentes, auditoria e conformidade | Necessário para resposta a incidentes, auditoria e conformidade |
| Página de status pública & transparência de uptime | Full support |
No support |
Você pode verificar de forma independente o uptime ao vivo e o histórico de incidentes antes e depois de comprar, em vez de ficar sabendo das quedas pela primeira vez pelos seus próprios usuários | O Source Defense mantém um changelog de produto, mas nenhuma página de status nem SLA de uptime, então as quedas não ficam visíveis para os clientes |
| Proteção contra bypass | Full support |
No support |
Impede que atacantes contornem os controles por meio de ofuscação do DOM ou evasão | Ameaças furtivas continuam sem serem detectadas |
| Certeza de que o script visto pelo usuário está monitorado | Full support |
No support |
Alinha a análise com o que realmente é executado no navegador | Lacunas entre o que é revisado e o que é de fato executado |
| Análise de scripts impulsionada por IA | Full support |
No support |
Detecta ameaças novas ou em evolução por meio de modelagem comportamental | Dependência de atualizações manuais, feeds de ameaças ou regras = detecção lenta e propensa a erros |
| Dashboard PCI validado por QSA | Full support |
Full support |
A forma mais confiável de garantir que uma solução está em conformidade com o PCI é realizar uma auditoria minuciosa por um QSA independente | Sem validação de QSA, você depende inteiramente de afirmações de marketing, o que pode resultar em reprovação em uma auditoria |
| SOC 2 Type II | Full support |
No support |
Demonstra controles de segurança operacional consistentes ao longo do tempo | Carece de validação verificada de controles de segurança, tornando-o um fornecedor arriscado |
| UI específica para PCI | Full support |
No support |
Uma interface fácil para revisão e justificativa rápida de scripts com um clique ou automação por IA | Tarefas tediosas e pesquisa manual sobre o que cada script faz, o que leva horas ou dias |
| Integrações de tickets (Linear, Jira) | Full support (Tanto Linear quanto Jira) |
No support |
Integrações nativas com ferramentas de tickets para desenvolvedores permitem que os alertas de segurança fluam diretamente para os fluxos de trabalho existentes | Sem integrações nativas de tickets, as equipes precisam criar tickets manualmente para os achados de segurança, atrasando os tempos de resposta |
O que é o Source Defense
O Source Defense é especializado em segurança de sites do lado do cliente. Foi fundado em 2014 e, em suas próprias palavras, construiu o Source Defense com a simplicidade em mente.
Como o Source Defense Page Protect funciona
O Source Defense oferece 2 métodos:
"Source Defense Detect" - baseado em crawler
O Source Defense Detect é um crawler que imita um usuário visitando a mesma página, buscando os scripts de terceiros que carregam. Crawlers conseguem simular sessões de usuário, mas não são usuários reais. E essa diferença importa, porque eles não capturam o payload exato que um visitante real recebe durante sua sessão no navegador.
A maioria dos scripts de terceiros usa uma lógica que adapta a resposta com base no contexto. Localização, dispositivo, horário e mais. Os crawlers são apenas uma combinação específica disso, então não conseguem capturar tudo corretamente. Eles têm alguma capacidade de imitar diferentes tipos de usuários, mas não no nível mais profundo.
Além disso, os atacantes conseguem identificar esses crawlers com relativa facilidade e simplesmente servir o script sem alterações. A lógica é simples: "se a requisição vier de um provedor de nuvem, sirva um script limpo."
Fornecedores que dependem exclusivamente de crawlers normalmente precisam comprar inteligência adicional de terceiros. No cside, também oferecemos um crawler para situações em que nosso monitoramento baseado em script não é possível (casos de nicho), mas com uma grande vantagem: ele é alimentado por dados de ameaças que coletamos continuamente de todos os sites que usam nosso monitoramento no site.
Isso não garante a prevenção, mas aumenta drasticamente as chances de flagrar ameaças do mundo real em comparação a um crawler que depende de feeds externos.
Além disso, um crawler sozinho não pode deixar você em conformidade com o PCI DSS 4.0.1 (requisitos 6.4.3 e 11.6.1). Leia mais sobre isso aqui. Oferecemos uma combinação com nossas outras soluções com a qual podemos ajudar você a alcançar a conformidade com o PCI DSS.
"Source Defense Protect" - baseado em agente JS
O Source Defense também oferece um agente JavaScript. Abordagens baseadas em agente podem render um dashboard útil com informações interessantes sobre os scripts, mas elas não são invulneráveis e têm alguns problemas por design.
Os agentes JS são baseados em gatilhos. Qualquer coisa que não aciona um gatilho é considerada boa. Isso tem o efeito perigoso de "eles não sabem o que não detectaram".
Esses gatilhos são definidos no navegador, onde um agente malicioso pode facilmente descobrir qual comportamento está sendo rastreado. Um pouco como jogar campo minado, mas com as bombas à mostra.
O Source Defense usa o script deles para criar um sandbox do lado do cliente, mas o problema dessa abordagem é uma latência de até 100ms.
Outro problema é que os scripts de agente dependem do mesmo ambiente de navegador que o atacante. Se um script malicioso já estiver em execução, ele pode sobrescrever funções centrais como o fetch). Quando o agente JS tenta enviar um alerta, o atacante pode interceptar ou redirecionar essa requisição.
De fora, parece que tudo está funcionando. Mas o alerta nunca chega ao seu destino. A detecção foi acionada, mas o sinal foi cortado antes de sair do navegador.
Esse método de bypass pode ser prevenido e as conexões podem ser protegidas, mas não vimos nenhuma solução de segurança do lado do cliente baseada em agente adotar isso.
Detalhamos esse conceito aqui.
Os agentes podem mostrar informações interessantes, mas qualquer agente malicioso consegue contorná-los. Há também a percepção comum de que eles podem deixar os sites mais lentos. Isso pode ser verdade, mas depende de como o script funciona. Decidimos não depender exclusivamente do método de agente, pois tentar realizar detecções no mesmo nível do agente malicioso que executa as ameaças não funciona de forma confiável.
E o mais importante: o Source Defense não consegue mostrar o conteúdo do script, o que dificulta a análise forense e/ou a capacidade de aprimorar as detecções.
Como o cside vai além
O Source Defense adota uma abordagem de sandboxing, isolando scripts de terceiros para limitar o que eles podem acessar na página. A ideia é sólida, mas o sandboxing sozinho tem limites. Atacantes que encontram uma forma de contornar as restrições do sandbox ainda têm acesso à sessão do usuário. O cside analisa os scripts antes que cheguem ao navegador, então o código malicioso é bloqueado por completo.
O modelo de permissão por script do Source Defense exige configuração contínua à medida que seu site evolui. Novos scripts, dependências atualizadas e integrações de terceiros em constante mudança exigem atualizações de política. Com o cside, a proteção é automática. Nosso motor aprende o que os scripts devem fazer e sinaliza desvios. Sem escrita manual de regras.
Para a análise forense, o Source Defense fornece alertas comportamentais quando os limites do sandbox são ultrapassados. O cside captura o payload malicioso real: o código completo do script que acionou a detecção, preservado em um arquivo imutável. Quando sua equipe de resposta a incidentes precisa entender como um ataque funcionou, ou quando um auditor QSA pede evidências, você tem o código-fonte.
O cside também publica uma página de status pública em status.cside.com, um portal de confiança público em trust.cside.com e um SLA de uptime de 99.9%, então você pode verificar nossa confiabilidade e nosso histórico de incidentes por conta própria. O Source Defense mantém um changelog público, mas nenhuma página de status nem SLA de uptime.
O cside oferece duas opções de implementação:
- Método de Script: Adicione um script ao seu site. Monitoramos comportamentos do lado do cliente e analisamos os scripts do lado do servidor. Leva segundos para implementar.
- Método de Varredura: Se você não pode adicionar um script, o cside varre seu site usando inteligência de ameaças coletada de milhares de sites com bilhões de visitantes combinados.
O cside contribui ativamente para o W3C para aprimorar as especificações de segurança nativas do navegador, e se integra nativamente com Linear e Jira, para que os achados de segurança fluam diretamente para os seus fluxos de trabalho de desenvolvimento.
Cadastre-se ou agende uma demonstração para começar.
Founder and CEO of cside. Previously a product manager on Cloudflare Page Shield (now Cloudflare Client-Side Security). Co-chair of the W3C Anti-Fraud Community Group and a Forbes 30 Under 30 honoree. Building accessible security against client-side attacks — web security is not an enterprise-only problem.