遵守 PCI DSS v4.0
对于安全团队来说,合规与审计任务是一项沉重的负担。Client-Side Protection & Compliance 可以帮助他们满足 PCI DSS v4.0(计划于 2025 年 3 月生效)中列明的新客户端安全要求。利用一个简单工具,您可以将受保护支付页面上观察到的所有脚本添加到清单中,证明它们的合理性以及对它们进行监控。同时,您还能够获得切实可行的告警,让安全团队实时了解意图实施篡改和可疑脚本行为的未授权解决方案。
根除难以发现的客户端威胁
Client-Side Protection & Compliance 工作原理
特点
- 利用行为检测和保护,实时监控脚本并防范客户端攻击
- 简化 PCI DSS v4.0 工作流
- 在边缘或者从源站进行灵活部署
- 以漏洞治理为核心的策略会持续分析常见漏洞与披露 (CVE) 的 URL
- 在不泄露敏感数据的情况下,创建并管理策略以应对零日漏洞和重复出现的威胁
- 用户友好的报告功能,通过其中的仪表板能够一目了然地查看脚本数据以及详细事件报告
- 优先级清晰的实时安全告警,包含风险评分以及有关如何抵御攻击的见解
Client-Side Protection & Compliance 应用场景
PCI DSS v4.0 合规性
Web 数据窃取和 Magecart 攻击
客户端监测
PCI DSS v4.0 合规性
Web 数据窃取和 Magecart 攻击
快速防御客户端攻击
利用浏览器内恶意的或已遭到入侵的 JavaScript 资源,攻击者可实施 Web 数据窃取、表单劫持及 Magecart 攻击,以窃取支付卡数据、用户凭据详细信息或个人身份信息。攻击者会将恶意代码或恶意软件注入网站的敏感支付页面中,以提取和收集个人信息。
这些类型的攻击所造成的数据外泄不仅有损客户信任和品牌忠诚度,还会让企业遭受巨额罚款。
Client-Side Protection & Compliance 的行为检测技术可持续分析真实用户会话中的脚本执行行为,以识别可疑或完全恶意的行为,并在通知安全团队时提供具备可操作性的即时抵御见解。
客户端监测
揭示 JavaScript 漏洞
要想确保 Web 应用程序的安全以避免发生数据泄露,需要企业具备全面的防御及监测能力。虽然很多企业专注于通过 Web 应用程序防火墙 (WAF) 来保护其服务器与最终用户之间的连接,从而防范数据外泄,但客户端活动中不可避免地存在盲点。
Client-Side Protection & Compliance 在客户端上的监测或防御能力远远超过 WAF。它可以对脚本漏洞和行为进行广泛监测,从而助力企业保护敏感信息。
Client-Side Protection & Compliance 的高级仪表板让安全团队能够精细地分析可疑行为,并迅速采取措施应对危及支付卡数据和个人身份信息安全的威胁。
常见问题 (FAQ)
Client-Side Protection & Compliance 解决方案符合 PCI 标准。此外,它还可以助力企业直接满足 2022 年 3 月发布的最新 PCI DSS v4.0 中的要求 6.4.3 和 11.6.1。自 2025 年 3 月起,企业必须遵守这些要求。
Client-Side Protection & Compliance 会在您页面代码的开头部分注入 JavaScript,然后监控所发生的情况,即标注将执行什么操作以及 Web 服务器和客户端之间存在什么风险。
Client-Side Protection & Compliance 适用于从最简单到最复杂的各类网站。
Akamai 在设计产品时已经考虑到客户的需求——客户不希望有任何的延迟,这对他们的业务至关重要。Client-Side Protection & Compliance 与 Akamai 的其他所有产品一样非常高效,对您的应用程序/网站性能的任何影响都不会降低用户体验。
Client-Side Protection & Compliance 不需要更改通知或进行手动更新
边缘负责将 Client-Side Protection & Compliance 代码作为第一资源注入。此操作是同步完成的,因此 Client-Side Protection & Compliance 代码始终是最先运行的,网页无法执行任何操作来规避此代码。这包括可能已损坏的第三方 JavaScript。但是,如果最终用户的浏览器中存在恶意软件(例如,已损坏的扩展程序),则在页面加载之前,该浏览器能够对此页面执行任何操作,包括终止此页面上的所有脚本。在这种情况下,Client-Side Protection & Compliance 便无法保护用户免受攻击,因为它不是最先运行的脚本。对于恶意软件和客户端浏览器,情况始终如此。
JavaScript 混淆是一系列代码转换,能够将易读的 JavaScript 纯代码变为极其难以理解且难以进行逆向工程的修改版本。这意味着,所有函数和变量名称都会转换为无意义的名称。只有有限的一些对象不会进行混淆处理,例如浏览器原生函数的字符串和对这些函数的调用。作为一种语言,JavaScript 并未内置对一些操作(例如,发出网络请求或与页面的交互)的访问权限。这些操作以原生函数的形式提供,而浏览器会在全局上下文中提供这些函数。由于原生函数名称是浏览器的一部分,因此无法对它们进行混淆处理。
资源
有疑问吗?
解决问题正是我们的初衷。欢迎随时与我们联络,甚至在您不确定接下来该怎么做时,我们也非常乐意帮忙。当日即可收到专家回复。
1GARTNER® is a registered trademark and service mark, and PEER INSIGHTS™ is a registered trademark of Gartner, Inc. and/or its affiliates in the U.S. and internationally and are used herein with permission. All rights reserved. Gartner Peer Insights content consists of the opinions of individual end users based on their own experiences, and should not be construed as statements of fact, nor do they represent the views of Gartner or its affiliates. Gartner does not endorse any vendor, product or service depicted in this content nor makes any warranties, expressed or implied, with respect to this content, about its accuracy or completeness, including any warranties of merchantability or fitness for a particular purpose.