Client-Side Protection & Compliance: contrasta le minacce e aiuta a soddisfare la conformità allo standard PCI DSS v4

Un panorama delle minacce più ampio

Benché sia diventato uno strumento essenziale, anche JavaScript presenta nuovi rischi per la sicurezza. A causa della sua esecuzione lato client decentralizzata e della supply chain di dipendenze di terze parti, JavaScript risulta estremamente difficile da monitorare e da gestire. I criminali sfruttano questo punto cieco per sfruttare le vulnerabilità presenti negli script e per iniettare codice dannoso nei siti web dal browser. Inoltre, i criminali possono raccogliere ed esfiltrare informazioni sensibili, inclusi i dati delle carte di pagamento, dagli utenti finali.

Questi attacchi, inclusi web skimming, Magecarte formjacking, sono diventati sempre più sofisticati nel corso degli anni e possono creare conseguenze devastanti per le aziende. Le vittime subiscono danni in termini di fiducia dei clienti, downtime delle attività aziendali e perdita di profitti, oltre a incorrere in sanzioni normative.

I nuovi requisiti di sicurezza JavaScript lato client

La prevenzione degli attacchi lato client, nonostante il loro impatto, non è una priorità per la maggior parte delle organizzazioni, pertanto molti siti web rimangono privi di un'adeguata protezione. Per proteggere i dati dei pagamenti nel browser, il Payment Card Industry Data Security Standard ha introdotto nuovi requisiti di sicurezza JavaScript lato client nell'ultima versione del PCI DSS (4.0) pubblicata a marzo 2022.

Per soddisfare i requisiti di conformità, le organizzazioni che elaborano dati delle carte di pagamento online devono sapere quali script vengono eseguiti sui loro siti, quando cambiano e quali azioni effettuano questi script. Il PCI DSS v4.0 entrerà in vigore a marzo 2025, pertanto le aziende hanno poco tempo a disposizione per ottemperare a questi requisiti.

Presentazione di Akamai Client-Side Protection & Compliance

Akamai Client-Side Protection & Compliance è una soluzione per la sicurezza delle applicazioni web progettata per difendere i siti web dalle minacce JavaScript e per facilitare il processo di conformità ai nuovi requisiti di sicurezza JavaScript (6.4.3 e 11.6.1) delineati nel PCI DSS v4.0.

Client-Side Protection & Compliance viene eseguito nel browser degli utenti finali per monitorare l'esecuzione dei codici JavaScript lato client su una pagina web protetta. Se si rilevano cambiamenti nel comportamento degli script, vengono impiegate tecniche di apprendimento automatico per valutare il rischio che venga eseguita un'azione non autorizzata o inappropriata, attivando avvisi in tempo reale per consentire ai team addetti alla sicurezza di indagare.

Gli utenti possono mitigare le potenziali minacce con un semplice clic, impedendo ai codici JavaScript dannosi di accedere ed esfiltrare le informazioni sensibili degli utenti finali, come i dati delle carte di pagamento.

Supporto dedicato per la conformità PCI DSS v4.0

Client-Side Protection & Compliance fornisce un ampio supporto per aiutare le aziende a soddisfare i requisiti 6.4.3 e 11.6.1 del PCI DSS v4.0. La soluzione monitora e cataloga automaticamente gli script presenti sulle pagine di pagamento, garantendone l'integrità e autorizzandone l'uso. I team addetti alla sicurezza possono giustificare facilmente lo scopo degli script eseguiti sulle pagine di pagamento con giustificazioni predefinite e regole automatizzate.

Inoltre, la soluzione monitora le modifiche apportate alle intestazioni HTTP e ai sistemi di protezione delle pagine di pagamento per evitarne la manomissione. Un dashboard completo e avvisi PCI dedicati consentono di rispondere in modo rapido e semplice agli eventi correlati alla conformità e forniscono prove a scopo di controllo.

Ampia visibilità delle minacce JavaScript

Si crede erroneamente che le soluzioni WAF (Web Application Firewall) forniscano una protezione dagli attacchi lato client. Poiché le soluzioni WAF analizzano il traffico del server, non rilevano né prevengono gli attacchi che si verificano nel browser dell'utente finale. Akamai Client-Side Protection & Compliance funge da complemento alle soluzioni WAF per fornire un'impareggiabile visibilità sulla superficie di attacco lato client dei siti web. La soluzione monitora il comportamento degli script eseguiti, rileva le CVE (Common Vulnerabilities and Exposure) e valuta la portata e l'impatto di ogni script.

Inoltre, la soluzione Client-Side Protection & Compliance fornisce l'intelligence necessaria sui dati a cui è possibile accedere mediante gli script e sulle potenziali minacce, eliminando i punti ciechi e garantendo una protezione completa. La soluzione si integra perfettamente con l'innovativa Akamai App & API Protectorper fornire una difesa olistica dalle minacce lato server e lato client.

Diamo uno sguardo al lato client

Client-Side Protection & Compliance è una soluzione indipendente dalla CDN che può essere implementata sull'Akamai Connected Cloud senza richiedere altre soluzioni per la sicurezza di Akamai. È compatibile con siti web complessi e applicazioni a pagina singola senza influire minimamente sulle performance delle pagine. Con una rapida configurazione, le aziende possono ottenere un'immediata protezione dalle minacce JavaScript e ottimizzare i workflow necessari per la conformità al PCI DSS v4.0.