השותפים השקטים: התמודדות עם תוספי צד ג' באתר
"אנחנו סורקים את התוספים המשמשים כיום בעלי אתרים, וקובעים לגבי תוסף מדיניות אבטחה שלא תפגע בפעילות שלו מחד, אבל שלא תהווה איום מאידך", מסביר דן דינר, מנכ"ל סורס דיפנס בראיון לישראל דיפנס
עמי רוחקס דומבה
| 17/02/2020
דן דינר, מנכ"ל סורס דיפנס - קרדיט: סיון פרג'
חברת סורס דיפנס (Source Defense) פיתחה שיטה ייחודית לבקר פעילות של תוספות קוד צד ג' המותקנות באתרים. לעומת שתי השיטות הנפוצות כיום להשתמש במנגנונ פרוקסי או CSP בדפדפן (Content Security Policy), החברה מציעה "דף וירטואלי" המוקם בתת דומיין של האתר ומשמש כחוצץ בין התוסף לבין האתר. בצורה כזו, החברה יכולה להחיל מדיניות אבטחה לכל קטגוריה של תוספים לאתר.
"אנחנו סורקים את התוספים המשמשים כיום בעלי אתרים, וקובעים לגבי תוסף מדיניות אבטחה שלא תפגע בפעילות שלו מחד, אבל שלא תהווה איום מאידך", מסביר דן דינר, מנכ"ל סורס דיפנס בראיון לישראל דיפנס. "לאחר ההתקנה של המערכת באתר הלקוח (שתי שורות קוד), המערכת סורקת את האתר ומוצאת את התוספים המותקנים בו. בשלב הבא אנו מציעים סיווג של התוספים הקיימים לקטגוריות ומביאים זאת לאישור הלקוח. לאחר אישורו, נקבעת מדיניות הטיפול בכל תוסף, והמערכת נכנסת לפעולה."
איך המערכת מגינה על האתר?
ובכן, כאשר תוסף (נניח טרקר) שמותקן ונועד לאסוף מידע רוצה גם לכתוב קוד חזרה, מופעלת המדיניות ובודקת האם הוא צריך לכתוב לאתר. במקרה אחר, אם תוסף שנועד לאסוף מידע אודות מספר שדות מנסה לשדר החוצה שדות נוספים, הוא נחסם. עוד וקטור תקיפה הוא השתלטות על תוסף לגיטימי. האקר יכול להשתלט על תוסף כזה, ובאמצעות ניצול ההרשאות שיש לו לאתר, להתקין דרכו תוספים נוספים באתר. בפתרונות מבוססי רשומות לבנות או שחורות, תקיפה כזו קשה לעצור כי התוקפים מחליפים כל הזמן שמות מתחם וצריך כל הזמן לעדכן את הרשימות. אם יש פער זמנים, המידע דולף.
לעומת זאת, בפתרון של סורס דיפנס, התוסף המקורי נכנס תחת מדיניות מסוימת. אם למשל הוא לא יכול לקרוא מידע מהאתר, אז כל התוספים שהותקנו דרכו בתורשה, נכנסים אוטומטית תחת אותה מדיניות. בצורה כזו, אין צורך ברשימות, מכיוון שכל התוספים מאותה 'משפחה' נכנסו תחת המדיניות המגבילה. "כאשר מופעל הדף הוירטואלי, התוקף חושב שהוא הזריק קוד לאתר, כאשר בפועל הוא הזריק את הקוד לדף הוירטואלי, לא לאתר האמיתי. באותה דרך, אם תוסף צריך לראות רק שני שדות בטופס, הוא יראה רק שני שדות כי זה מה שהדף הוירטואלי יראה לו לפי המדיניות. ללא הדף הוירטואלי הוא היה יכול לראות את כל השדות בדף", מסביר דינר. "התוקף חושב שזה האתר המקורי והוא מקבל קריאה ומחזיר תגובה."
על מנת להכיר את התוספים הנפוצים בשוק וההתנהגות של כל אחד, בסורס דיפנס יש מחלקת מחקר שזה בדיוק תפקידה. סורקים את התוספים הנפוצים באתרים, את המרכיבים שלהם, ומסווגים לקטגוריות. לפי הקטגוריה ממליצים לארגון על הרשאות מתאימות. עם זאת, אחד האתגרים של החברה היא לא להפריע לתוספים המשמשים את השיווק והמכירות באתר. לצורך כך, צוות המחקר מנהל מעבדה שבמסגרתה הוא בודק את התנהגות התוסף במצבים שונים במטרה למנוע מצב שבו נעצרת קריאה או כתיבה שלא לצורך.
"יש לנו שני כלים עיקריים. סורק אתרים מבחוץ לצורך העלאת מודעות של הארגון. המוצר השני הוא פנימי ומותקן בשרת הארגון. תפקידו לזהות את כל תוספי הצד ג' באתר במטרה לסווג אותם להמליץ על מדיניות. הנהלת הארגון מאשרת את המדיניות ואז מטמיעים אותה בפועל", אומרים בסורס דיפנס.
כמה תוספים יש באתר ממוצע?
הכמות תלויה ביחס הכוחות בין צוות אבטחת המידע לשיווק והמכירות בארגון. בארגונים בהם האבטחה חשובה יותר, מוצאים פחות תוספים. בארגונים שהמכירות מובילים, יש יותר תוספים. "המוצר שלנו מאפשר למכירות לאפשר יותר תוספים באתר בגלל היכולת להכניס את כל התוספים תחת מדיניות אבטחת מידע שמקטינה את משטח התקיפה", מסביר דינר.
"את המכירות התחלנו ב2019 ויש לנו קצת יותר מעשרה לקוחות. אנחנו מכוונים ללקוחות גדולים כמו אתרי מסחר , פיננסיים וביטוח. הפתרון מיועד לאתרים שמרכזים הרבה פעילות זדונית. אתרים כאלו כוללים דפי רישום רבים וחשופים לפגיעה במידע פרטי של גולשים (PII). ארגונים שרוצים להגדיל את ההכנסות מהאתר באמצעות תוספים וכאלו שצריכים לעמוד ברגולציות פרטיות כמו GDPR הם מנועי צמיחה עבורנו."
"אנחנו סורקים את התוספים המשמשים כיום בעלי אתרים, וקובעים לגבי תוסף מדיניות אבטחה שלא תפגע בפעילות שלו מחד, אבל שלא תהווה איום מאידך", מסביר דן דינר, מנכ"ל סורס דיפנס בראיון לישראל דיפנס
דן דינר, מנכ"ל סורס דיפנס - קרדיט: סיון פרג'
חברת סורס דיפנס (Source Defense) פיתחה שיטה ייחודית לבקר פעילות של תוספות קוד צד ג' המותקנות באתרים. לעומת שתי השיטות הנפוצות כיום להשתמש במנגנונ פרוקסי או CSP בדפדפן (Content Security Policy), החברה מציעה "דף וירטואלי" המוקם בתת דומיין של האתר ומשמש כחוצץ בין התוסף לבין האתר. בצורה כזו, החברה יכולה להחיל מדיניות אבטחה לכל קטגוריה של תוספים לאתר.
"אנחנו סורקים את התוספים המשמשים כיום בעלי אתרים, וקובעים לגבי תוסף מדיניות אבטחה שלא תפגע בפעילות שלו מחד, אבל שלא תהווה איום מאידך", מסביר דן דינר, מנכ"ל סורס דיפנס בראיון לישראל דיפנס. "לאחר ההתקנה של המערכת באתר הלקוח (שתי שורות קוד), המערכת סורקת את האתר ומוצאת את התוספים המותקנים בו. בשלב הבא אנו מציעים סיווג של התוספים הקיימים לקטגוריות ומביאים זאת לאישור הלקוח. לאחר אישורו, נקבעת מדיניות הטיפול בכל תוסף, והמערכת נכנסת לפעולה."
איך המערכת מגינה על האתר?
ובכן, כאשר תוסף (נניח טרקר) שמותקן ונועד לאסוף מידע רוצה גם לכתוב קוד חזרה, מופעלת המדיניות ובודקת האם הוא צריך לכתוב לאתר. במקרה אחר, אם תוסף שנועד לאסוף מידע אודות מספר שדות מנסה לשדר החוצה שדות נוספים, הוא נחסם. עוד וקטור תקיפה הוא השתלטות על תוסף לגיטימי. האקר יכול להשתלט על תוסף כזה, ובאמצעות ניצול ההרשאות שיש לו לאתר, להתקין דרכו תוספים נוספים באתר. בפתרונות מבוססי רשומות לבנות או שחורות, תקיפה כזו קשה לעצור כי התוקפים מחליפים כל הזמן שמות מתחם וצריך כל הזמן לעדכן את הרשימות. אם יש פער זמנים, המידע דולף.
לעומת זאת, בפתרון של סורס דיפנס, התוסף המקורי נכנס תחת מדיניות מסוימת. אם למשל הוא לא יכול לקרוא מידע מהאתר, אז כל התוספים שהותקנו דרכו בתורשה, נכנסים אוטומטית תחת אותה מדיניות. בצורה כזו, אין צורך ברשימות, מכיוון שכל התוספים מאותה 'משפחה' נכנסו תחת המדיניות המגבילה. "כאשר מופעל הדף הוירטואלי, התוקף חושב שהוא הזריק קוד לאתר, כאשר בפועל הוא הזריק את הקוד לדף הוירטואלי, לא לאתר האמיתי. באותה דרך, אם תוסף צריך לראות רק שני שדות בטופס, הוא יראה רק שני שדות כי זה מה שהדף הוירטואלי יראה לו לפי המדיניות. ללא הדף הוירטואלי הוא היה יכול לראות את כל השדות בדף", מסביר דינר. "התוקף חושב שזה האתר המקורי והוא מקבל קריאה ומחזיר תגובה."
על מנת להכיר את התוספים הנפוצים בשוק וההתנהגות של כל אחד, בסורס דיפנס יש מחלקת מחקר שזה בדיוק תפקידה. סורקים את התוספים הנפוצים באתרים, את המרכיבים שלהם, ומסווגים לקטגוריות. לפי הקטגוריה ממליצים לארגון על הרשאות מתאימות. עם זאת, אחד האתגרים של החברה היא לא להפריע לתוספים המשמשים את השיווק והמכירות באתר. לצורך כך, צוות המחקר מנהל מעבדה שבמסגרתה הוא בודק את התנהגות התוסף במצבים שונים במטרה למנוע מצב שבו נעצרת קריאה או כתיבה שלא לצורך.
"יש לנו שני כלים עיקריים. סורק אתרים מבחוץ לצורך העלאת מודעות של הארגון. המוצר השני הוא פנימי ומותקן בשרת הארגון. תפקידו לזהות את כל תוספי הצד ג' באתר במטרה לסווג אותם להמליץ על מדיניות. הנהלת הארגון מאשרת את המדיניות ואז מטמיעים אותה בפועל", אומרים בסורס דיפנס.
כמה תוספים יש באתר ממוצע?
הכמות תלויה ביחס הכוחות בין צוות אבטחת המידע לשיווק והמכירות בארגון. בארגונים בהם האבטחה חשובה יותר, מוצאים פחות תוספים. בארגונים שהמכירות מובילים, יש יותר תוספים. "המוצר שלנו מאפשר למכירות לאפשר יותר תוספים באתר בגלל היכולת להכניס את כל התוספים תחת מדיניות אבטחת מידע שמקטינה את משטח התקיפה", מסביר דינר.
"את המכירות התחלנו ב2019 ויש לנו קצת יותר מעשרה לקוחות. אנחנו מכוונים ללקוחות גדולים כמו אתרי מסחר , פיננסיים וביטוח. הפתרון מיועד לאתרים שמרכזים הרבה פעילות זדונית. אתרים כאלו כוללים דפי רישום רבים וחשופים לפגיעה במידע פרטי של גולשים (PII). ארגונים שרוצים להגדיל את ההכנסות מהאתר באמצעות תוספים וכאלו שצריכים לעמוד ברגולציות פרטיות כמו GDPR הם מנועי צמיחה עבורנו."
