Sai che quando ti svegli da un incubo hai la sensazione che la tua carta di credito sia stata rubata insieme al saldo del tuo account e alla tua identità? Per la maggior parte di noi, è solo un incubo che scompare dalla nostra banca di memoria a colazione, ma per molti altri è una realtà che porta a una chiamata immediata al fornitore della tua carta di credito.
Ora immagina di essere quel fornitore di carte di credito o il sito di commercio che sta accettando i tuoi dati e stai perdendo entrate significative, fidelizzazione dei clienti e un senso di sicurezza perso. L’integrità degli script della pagina di pagamento eseguiti nel browser del cliente è importante. Fa parte della tua identità, quindi quando è compromessa, l’impatto è percepito in modo esponenziale.
Oggi, gli attacchi ai browser colpiscono la supply chain del software in modo molto ampio e molti diventano nervosi per una buona ragione.
Nel corso di cinque mesi a Ticketmaster nel 2018, 40.000 carte di credito sono state compromesse, grazie al lavoro di Magecart. Inserendo malware in una delle pagine del servizio clienti, le informazioni personali e le informazioni della carta di pagamento sono state rubate.
Ma questo non è il primo e certamente non l’ultimo. Insieme all’evoluzione della tecnologia, che naturalmente include l’emergere in faccia dell’intelligenza artificiale, è arrivata un forte aumento delle minacce informatiche da tutte le parti. Secondo Veracode State of software Security, il 55% delle app JavaScript aveva almeno una vulnerabilità OWASP Top 10 e quasi il 10% aveva difetti di gravità elevata. Con l’ubiquità delle librerie JavaScript lato client utilizzate nelle applicazioni moderne, la necessità di una protezione lato client non è mai stata così grande.
Poiché le applicazioni web si affidano sempre più alla logica lato client e integrano più risorse di terze parti, gli attacchi lato client sono in aumento. Fino a qualche anno fa, gli attacchi che colpivano le applicazioni sul lato server, più spesso per esfiltrare i dati dai database di back-end, compromettere i server Web e altri sistemi infra, o fungere da punto di ingresso da cui gli autori degli attacchi potevano spostarsi lateralmente all’interno di un’organizzazione, hanno raccolto molta più attenzione.
Gli attacchi dal lato client, che includono gli attacchi Magecart, prendono di mira direttamente i dati sensibili dei clienti, causando violazioni e violazioni delle normative sulla privacy dei dati. Per affrontare questa minaccia in continua evoluzione, PCI DSS 4,0 ha introdotto nuove misure di sicurezza incentrate sul lato client.
Le organizzazioni che gestiscono le informazioni relative alle carte di pagamento devono attenersi al nuovo standard, versione (4,0), del PCI (Payment Card Industry) Data Security Standard (DSS) entro la fine di marzo 2025. La mancata conformità a PCI DSS può comportare multe e restrizioni significative sull’utilizzo della piattaforma di pagamento in futuro.
Quindi, cosa deve fare un fornitore di carte di credito o un sito di e-commerce?
La protezione lato client (CSP) contribuisce a proteggere dall’esfiltrazione dei dati degli utenti finali, protegge i siti Web dalle minacce JavaScript, blocca gli script dannosi e supporta più policy di sicurezza dei contenuti. Fornisce inoltre informazioni utili in un’unica vista dashboard e fornisce avvisi per ridurre l’attività dannosa degli script.
Utilizzando un approccio a più livelli all’edge, il nuovo CSP di Edgio monitora continuamente gli script e le API lato client in modo che i dati sensibili dei clienti non siano compromessi in eventi come attacchi XSS, clickjacking, form jacking e attacchi Magecart come quello che ha colpito Ticketmaster. I team possono gestire facilmente gli script autorizzati per l’esecuzione, per pagina, rispettando la nuova versione (4,0) di PCI DSS entro il prossimo anno.
Secondo il Data Breach Investigations Report 2023 di Verizon, si stima che il 18% delle violazioni al dettaglio siano attribuite agli attacchi Magecart.
Edgio CSP diventa ancora più formidabile grazie al supporto di una piattaforma WAAP (Web Application and API Protection), che protegge le risorse web da un’ampia gamma di minacce critiche, dagli attacchi DDoS e di codice dannoso agli attacchi API e bot, il tutto all’edge della rete. Con WAAP, è possibile ottenere una difesa approfondita contro gli attacchi multi-vettore da un’unica console intuitiva, per una maggiore osservabilità su tutte le app e un minor sovraccarico.
La protezione lato client vi offre tutto ciò di cui avete bisogno per applicazioni sicure e ad alte prestazioni.
I pacchetti di applicazioni Edgio Protect and Perform forniscono tutto ciò di cui avete bisogno per creare, proteggere e distribuire applicazioni ad alte prestazioni con prezzi prevedibili e forfettari senza costi aggiuntivi. Inoltre, i servizi di sicurezza gestiti leader del settore sono inclusi in pacchetti di applicazioni, per aiutare i team offrendo un servizio 24/7 con guanto bianco che ti prepara ad attacchi in continua evoluzione e migliora costantemente la tua strategia di sicurezza.
Edgio si impegna a continuare a evolversi con il panorama tecnologico in continua evoluzione, essendo al di sopra di ciò di cui i nostri clienti hanno bisogno, indipendentemente da dove ci portano… e questo include essere sul lato giusto della protezione!
