Unternehmen wissen, dass sie ihre clientseitigen Skripte schützen müssen. Content Security Policies (CSPs) sind eine gute Möglichkeit, dies zu tun. Aber CSPs sind umständlich. Ein Fehler und du hast eine potenziell große Sicherheitslücke auf der Client-Seite. Diese Lücken zu finden, bedeutet lange und mühsame Stunden (oder Tage) mit manuellen Code-Reviews durch Tausende von Skriptzeilen in deinen Webanwendungen. Automatisierte Content Security Policies können dazu beitragen, den Code-Review-Prozess zu rationalisieren, indem sie zunächst alle Skripte von Erst- und Drittanbietern und die Assets, auf die sie zugreifen, identifizieren und dann eine geeignete Content Security Policy erstellen, um die clientseitige Angriffsfläche besser zu schützen.
Es gibt nur wenige Entwickler/innen oder AppSec-Expert/innen, die behaupten, dass es ihnen Spaß macht, CSPs einzusetzen. Zunächst muss die CSP für die jeweilige Webanwendung funktionieren. Dann muss das Team sicherstellen, dass er das richtige Maß an Schutz bietet. Die CSP darf auch nicht mit bestehenden Widgets oder Plugins kollidieren (oder es muss entschieden werden, die CSP nicht einzusetzen oder diese Plugins zu deaktivieren, was zu Problemen in anderen Bereichen wie Kundenbindung, Marketing und Vertrieb führen kann).
Und wenn ein CSP ausfällt, gibt es die gefürchtete Prüfung, um herauszufinden, warum und wo.
Das Problem der Vermeidung von CSP-Audits (auch bekannt als Vermeidung von manuellen Code-Reviews oder Tod durch tausend Skripte) ist ziemlich verbreitet. Heutzutage enthalten clientseitige Webanwendungen Tausende von Skripten, die aus verschiedenen Open-Source-Bibliotheken oder anderen Dritt- und Drittanbieter-Repositories zusammengestellt werden. Nur wenige Entwicklungs- oder Sicherheitsteams nehmen sich die Zeit, alle Skripte, die bei der Erstellung von Webanwendungen verwendet werden, detailliert zu erfassen, einschließlich ihrer Funktionen, ihrer Quellen und ob sie aktualisiert oder gepatcht wurden, um bekannte Sicherheitsprobleme zu beheben.
Selbst wenn die Teams alle Skriptquellen von Drittanbietern identifizieren, ist das keine Garantie dafür, dass die Skripte sicher sind. Immer wieder tauchen Probleme mit Paketmanagern auf, die verschleierte und bösartige JavaScript-Skripte enthalten, mit denen sensible Informationen von Websites und Webanwendungen abgefangen werden. In einem aktuellen Fall entdeckten Forscher, dass bösartige Pakete 27.000 Mal von ahnungslosen Entwicklern heruntergeladen worden waren.
Leider vergrößert das Problem der CSP-Auditvermeidung eine ohnehin schon große Angriffsfläche auf der Client-Seite.
Die Probleme mit CSPs haben nichts mit ihrem Wert zu tun. CSPs sind großartig, wenn es darum geht, Verstöße zu melden und Richtlinien zu optimieren, und helfen dabei, anfällige Skripte aufzudecken, die zu JavaScript-Injection-Angriffen, Cross-Site-Scripting (XSS) und Skimming-Angriffen wie Magecart führen. Manuelle Content-Sicherheitsrichtlinien sind nur mühsam zu verwalten, was bedeutet, dass Entwickler/innen kritische CSP-Prozesse vermeiden können, was zu einem erhöhten Sicherheitsrisiko führt.
Automatisierte Content Security Policies helfen bei der Verwaltung von CSPs, um die Angriffsfläche auf der Client-Seite besser zu schützen und das mit der manuellen CSP-Überwachung verbundene Risiko zu beseitigen. Durch die Identifizierung aller Skripte von Erst- und Drittanbietern, digitalen Assets und der Daten, auf die diese Assets zugreifen, können Unternehmen den Prozess der CSP-Erstellung und -Verwaltung rationalisieren und die Sicherheit auf der Client-Seite insgesamt verbessern. Automatisierte CSPs werden auf Domänenebene verwaltet, was eine bessere Berichterstattung und Versionskontrolle ermöglicht.
Automatisierte CSPs funktionieren, indem eine Website oder Webanwendung gecrawlt und synthetische Benutzer initiiert werden, um festzustellen, wie Skripte in der Webanwendung arbeiten und auf welche Art von Daten das Skript möglicherweise zugreift. Das System generiert dann die CSP, um sie mit den Sicherheitsanforderungen der Website oder Webanwendung abzustimmen. Automatisierte CSPs arbeiten auch innerhalb der tatsächlichen Produktionsumgebung, um Richtlinien für schnelle Tests zu emulieren (und den ständigen Einsatz von CSPs in einer Entwicklungsumgebung zu vermeiden) und sich darauf zu konzentrieren, Richtlinienverstöße so weit wie möglich zu vermeiden.
Weitere Funktionen einer automatisierten CSP sind die Erstellung neuer Richtlinien nach einem festgestellten Verstoß, um schnelle Aktualisierungen zu ermöglichen und aktuellen Sicherheitsbedrohungen zu begegnen, sowie die Aufnahme von Protokolldaten in das Security Incident and Event Management (SIEM) und andere protokollbasierte Datenerfassungssysteme zur Integration in aktuelle Sicherheitspraktiken und Arbeitsabläufe.
Eine automatisierte CSP-Lösung ergänzt die aktuellen Sicherheitsprozesse und -abläufe durch eine vollständig integrierte Berichterstattung über Verstöße. Sie bietet auch wichtige Unterstützung für gesetzliche und Compliance-Standards wie PCI DSS 4.0, HIPAA und andere.
Feroot Security bietet mit DomainGuard eine speziell entwickelte, automatisierte CSP an, die Unternehmen bei der Verwaltung ihrer clientseitigen Angriffsfläche unterstützt, indem sie den Prozess der Verwaltung von Sicherheitsrichtlinien für Inhalte vereinfacht. DomainGuard integriert Verletzungsberichte in bestehende Sicherheitstools, um aktuelle Sicherheitsprozesse und Arbeitsabläufe zu ergänzen und den Zeitaufwand für die Erstellung und Verwaltung von CSPs für Teams, Websites und Webanwendungen deutlich zu reduzieren.