A maioria das ferramentas de segurança não consegue ver dentro do navegador, onde atacantes escondem código malicioso em scripts de sites que passam sem monitoramento.
Um único script comprometido pode roubar dados por semanas, permanecendo oculto das ferramentas de segurança tradicionais
CSPs, Crawlers e agentes JS foram construídos para ameaças estáticas. Ataques modernos evadem essas abordagens com código dinâmico.
O PCI DSS 4.0.1 exige monitoramento client-side. O GDPR penaliza empresas por vazamentos de dados de scripts maliciosos ou mal configurados.
Selecione o método que melhor se adapta às suas necessidades de segurança e requisitos técnicos.
"Me preocupo com segurança client-side e preciso de algo fácil de explicar para o resto da equipe."
Verificamos comportamentos de scripts no navegador e buscamos os scripts do nosso lado. Não nos colocamos no caminho de um script a menos que você peça explicitamente.
Operating Model
Permita que o script sirva diretamente para scripts que confio, scripts que não confio recebem o tratamento completo de segurança.
"Não tenho a possibilidade de adicionar um script ao site."
Inteligência de ameaças da cside coletada por milhares de outros sites com bilhões combinados de visitantes.
Operating Model
Escaneamento estático alimentado por inteligência de ameaças da nossa rede.
Diferente dos sistemas operacionais modernos, navegadores não têm suporte nativo para fornecedores de segurança de terceiros. CSP e SRI cobrem apenas até certo ponto, então precisamos ser criativos. A maioria das detecções client-side usando JavaScript no navegador são fáceis de fazer engenharia reversa e contornar. Infelizmente, detecções client-side muito rigorosas podem quebrar algumas bibliotecas client-side. O que um script para segurança client-side essencialmente faz é envolver APIs que podem ser usadas por atores maliciosos e monitorar quais scripts as usam. O problema é que nem todo script funciona bem com isso. Por essa razão, adotamos uma abordagem muito mais elaborada para os usuários mais conscientes de segurança. Ao combinar as detecções no navegador com detecções no nosso próprio motor, criamos um cenário equilibrado de melhor de todos os mundos. Equilibrando capacidade de detecção com facilidade de uso com resiliência e, em última instância, dando ao cliente a capacidade de escolher a abordagem.
Nossa abordagem oferece vantagens que ferramentas tradicionais não conseguem igualar. Combinamos sessões reais de usuários com análise de scripts alimentada por IA para obter uma visão completa do comportamento dos scripts.
| Recurso | cside | Soluções Tradicionais |
|---|---|---|
| Monitoramento de Usuários Reais | Vê o comportamento real do usuário e execução de scripts em produção | Crawlers só veem versões sanitizadas dos scripts |
| Detecção de Ataques Direcionados | Detecta ataques direcionados a segmentos específicos de usuários ou períodos de tempo | Perde ataques entre scans periódicos |
| Segurança e Análise de Scripts | Monitora payloads e comportamento real dos scripts em tempo real, garantindo integridade | Apenas verifica fontes dos scripts, não o que fazem |
| Risco de Terceiros | Detecta quando provedores confiáveis são comprometidos | Assume que fontes confiáveis são sempre seguras |
| Scripts Dinâmicos | Lida com código gerado dinamicamente e ofuscado | Controle limitado sobre execução de scripts dinâmicos |
| Prevenção de Ataques | Analisa scripts no servidor onde atacantes não podem interferir | Análise client-side vulnerável a adulteração |
| Rastreamento Histórico | Trilha de auditoria completa do comportamento de scripts ao longo do tempo | Rastreamento histórico de scripts limitado ou inexistente |
| Preparado para o Futuro | Adapta-se a novas técnicas de ataque automaticamente | Requer atualizações para detectar novas ameaças |
FAQ
Perguntas Frequentes
Segurança client-side protege usuários contra ameaças que ocorrem diretamente no navegador enquanto visitam sites, particularmente de scripts de terceiros e dependências maliciosas. Esses scripts podem roubar detalhes de cartão de crédito, informações pessoais, tokens de sessão e causar grandes violações de conformidade sem seu conhecimento. Diferente dos ataques server-side que visam sua infraestrutura, ataques client-side acontecem em tempo real nos navegadores dos usuários, tornando-os invisíveis para ferramentas de segurança tradicionais como firewalls e sistemas de monitoramento de servidor.
Sites modernos usam arquivos JavaScript de fontes externas para funcionalidade, analytics, publicidade e melhorias na experiência do usuário. Esses arquivos também são chamados de scripts de terceiros. Esses scripts são importantes para melhorar o desempenho do site, mas apenas um script malicioso pode causar estragos na sua plataforma. Ele pode clonar detalhes de cartão de crédito (ataques Magecart), roubar credenciais de login e informações pessoais, injetar redirecionamentos maliciosos e sequestrar sessões de usuários. O problema com scripts é que eles têm privilégios totais no site, então por padrão, têm acesso a tudo que os usuários veem e digitam nas suas páginas.
Eles podem atacar cadeias de suprimento, tomar domínios de CDN ou injetar código malicioso em scripts legítimos. Qualquer desses pontos de entrada pode permitir que atacantes roubem dados de pagamento em tempo real, redirecionem usuários para sites maliciosos, capturem entradas de formulários e senhas, ou injetem formulários de pagamento falsos. Esses ataques são sofisticados e condicionais. Eles só visam usuários específicos ou ativam em certos momentos, evitando detecção por ferramentas de segurança que fazem apenas scans periódicos.
Dois exemplos notáveis que aconteceram recentemente são o ataque Magecart à British Airways em 2018 e o sequestro do Polyfill.js em 2024. No caso do ataque Magecart à British Airways, scripts de terceiros foram comprometidos, roubando detalhes de cartão de crédito de mais de 380.000 clientes. Isso resultou em multas superiores a US$ 200 milhões. Por outro lado, o mais recente sequestro do Polyfill.js viu atacantes tomarem um domínio CDN amplamente usado. Isso permitiu que redirecionassem usuários em mais de 100.000 sites para sites adultos e de apostas. Esses dois exemplos reais mostram como um script comprometido pode impactar milhões de usuários.
Firewalls, monitoramento de servidor e proteção de endpoint são ferramentas de segurança tradicionais eficazes, mas protegem o server-side. Ataques client-side acontecem nos navegadores dos usuários, onde ferramentas tradicionais são cegas. Além disso, ataques client-side são sofisticados e condicionais. Podem visar um usuário específico ou só ativar sob certas condições. Isso significa que podem operar por períodos prolongados, afetando usuários reais, enquanto permanecem indetectados.
Sites financeiros são uma mina de ouro para scripts maliciosos de terceiros. Eles podem roubar credenciais de login, informações pessoais como CPFs e endereços, números de conta, dados de transação e detalhes de pagamento. Isso pode ser feito interceptando submissões de formulários, capturando teclas digitadas, acessando armazenamento do navegador, manipulando páginas para criar formulários falsos e contornando medidas de segurança. O fato desses scripts terem privilégios totais no site os torna extremamente perigosos para qualquer site financeiro.
70% de todo roubo de cartão de crédito agora acontece no client-side. Esses dados são de acordo com a Visa. O roubo client-side é um dos ataques mais perigosos que organizações enfrentam hoje. Esses dados também destacam a insuficiência das medidas de segurança server-side e por que é importante que as empresas implementem soluções client-side. Isso também nos mostra que os atacantes já se adaptaram, focando mais de seus ataques diretamente no ambiente do navegador.
Suas ferramentas de segurança conseguem mostrar exatamente quais dados cada script de terceiros coleta, ou conseguem detectar um payload malicioso que dispara para apenas 1 em 1.000 visitantes ou atinge apenas 5% dos usuários após as 17h? Se você é uma das 99% das empresas que respondem NÃO a essa pergunta, então está vulnerável a ataques client-side sofisticados e condicionais.