Dreigingsdetectie
Ontdek hoe de detectie-engine van cside kwaadaardige scripts identificeert en je team automatisch waarschuwt.
cside monitort scripts van derden op je site op kwaadaardige activiteit. Elk script doorloopt asynchroon meerdere detectielagen. Wanneer een dreiging wordt gevonden, waarschuwt cside iedereen in je team.
Dreigingsdetectiewaarschuwingen zijn volledig configureerbaar via notificatieconfiguraties. Kies welke teamleden of externe adressen worden genotificeerd, of stuur waarschuwingen naar Slack, Discord, Jira, Linear, S3 of aangepaste webhooks in plaats van e-mail.
Hoe het werkt
Elk script van derden dat op je site wordt geladen, doorloopt een meerfasige pipeline. Eerst deobfusceert en normaliseert cside het script, controleert het vervolgens tegen statische detectieregels en scoort het op basis van meerdere dreigingssignalen. Als een script de risicodrempel overschrijdt, voert cside een diepere AI-analyse uit. Kwaadaardige scripts activeren een waarschuwing naar alle geconfigureerde notificatiebestemmingen.
Detectiemethoden
cside gebruikt een gelaagde aanpak om kwaadaardige scripts te identificeren:
Bekende kwaadaardige bronnen
Scripts worden gecontroleerd tegen databases van bekende kwaadaardige bronnen, waaronder:
- Hostnamen: domeinen die bekendstaan om het verspreiden van kwaadaardige content
- URLs: specifieke URLs die als kwaadaardig zijn gemarkeerd
- IP-adressen: IP-adressen die geassocieerd zijn met kwaadaardige activiteit
Bekende kwaadaardige payloads
Scriptinhoud wordt vergeleken met bekende kwaadaardige payloads met behulp van:
- Bestandshashes: SHA-256 en andere hashvergelijkingen tegen databases van bekende kwaadaardige scriptpayloads
Scriptnormalisatie
Voor de analyse deobfusceert en normaliseert cside scripts om te laten zien wat ze werkelijk doen. Dit keert veelgebruikte obfuscatietechnieken om, zodat aanvallers detectie niet kunnen omzeilen door hun code te vermommen.
Dreigingsscoring
cside berekent een risicoscore voor elk script op basis van signalen zoals inhoudswijzigingen, domeinleeftijd, gedragsindicatoren en hoeveel sites getroffen zijn. Scripts boven de risicodrempel worden geescaleerd voor diepere analyse.
Diepgaande AI-analyse
Scripts met een hoog risico doorlopen een AI-analyse die dreigingen detecteert die statische regels missen:
- Geobfusceerde kwaadaardige code - scripts die proberen te verbergen wat ze doen
- Zero-day dreigingen - aanvalspatronen die nog in geen enkele database staan
- Gedragsanomalieeen - scripts die dingen doen die ze niet zouden moeten doen
Waarschuwingen en notificaties
Wanneer een kwaadaardig script wordt gedetecteerd, kan c/side je team informeren via elke bestemming die is geconfigureerd in je notificatieconfiguraties - inclusief e-mail, Slack, Discord, Jira, Linear, S3 of aangepaste webhooks.
Om dreigingsdetectiewaarschuwingen in te stellen, maak een notificatieconfiguratie aan met de trigger Script Threat Detected. Zie Notificaties voor configuratie-instructies.
Dreigingsdetectie vs. kwetsbaarheidsdetectie
cside biedt twee complementaire beveiligingsfuncties:
| Functie | Dreigingsdetectie | Kwetsbaarheidsdetectie |
|---|---|---|
| Wat het detecteert | Actief kwaadaardige scripts | Scripts met bekende CVEs of adviezen |
| Detectiemethode | Bekende kwaadaardige bronnen, payloadhashes, dynamische analyse, AI | Versiematching tegen kwetsbaarheidsdatabases |
| Levering van waarschuwingen | Geconfigureerde notificatiebestemmingen | Dashboardwaarschuwingen en geconfigureerde notificatiebestemmingen |
| Voorbeeld | Een script dat een cryptominer serveert vanaf een gecompromitteerd CDN | lodash 4.17.21 met een prototype pollution CVE |
Deze twee functies dekken verschillende hoeken - gebruik beide voor de beste dekking van je scripts van derden.
Thanks for your feedback!
