F5 分布式云客户端防御助力客户迎接 PCI DSS v4.0.1

近年来，表单劫持和 Magecart 攻击已成为电子商务和数字支付领域的主要威胁。 这些客户端攻击会悄悄地从用户的浏览器中窃取敏感数据，包括信用卡号、登录凭据和个人身份信息 (PII)，而无需接触组织的服务器。 这些攻击通过将恶意 JavaScript 注入第三方脚本或直接注入前端代码来绕过传统的外围和服务器端防御。

Formjacking 依靠将恶意 JavaScript 注入在线表单来捕获浏览器级别的用户输入。 它通常是通过利用第三方脚本或内容交付网络 (CDN) 中的漏洞来实现的，因此很难使用服务器端安全工具进行检测。

Magecart 是一组专门从事网络盗窃的网络犯罪集团的总称。 这些网络犯罪团伙通常通过注入 JavaScript 代码来窃取结账时的支付数据，从而入侵电子商务网站。 这些被盗数据随后被泄露到攻击者控制的域中，通常会被混淆或隐藏在看似合法的请求之下。

两种攻击类型都有一个共同的载体：浏览器。 他们的成功取决于组织对客户端实际执行情况的了解程度。

随着支付卡行业数据安全标准 (PCI DSS) v4.0.1的发布，PCI 安全标准委员会直接应对日益增长的客户端攻击威胁。 PCI SSC 首次纳入了两项客户端要求，自 2025 年 3 月 31 日起生效，以直接应对这一新的攻击媒介：

要求 6.4.3： 所有在消费者浏览器中加载和执行的支付页面脚本均按以下方式管理：

• 实施一种方法来确认每个脚本是否被授权。
• 实施一种方法来确保每个脚本的完整性。
•  所有脚本的清单均已保存，并提供书面的业务或技术依据来说明每个脚本的必要性。

要求 11.6.1 – 部署变更和篡改检测机制如下：

• 提醒人员注意对影响安全性的 HTTP 标头和消费者浏览器收到的支付页面脚本内容的未经授权的修改（包括妥协指标、更改、添加和删除）。
• 该机制配置为评估接收到的 HTTP 标头和支付页面。

这些新规定承认了一个基本事实：客户端脚本现在是 PCI 攻击面的关键部分。 然而，对于许多组织来说，满足这些要求会带来运营和技术障碍，尤其是考虑到 JavaScript 生态系统的动态特性和对第三方服务的依赖。

传统的 Webapplication防火墙 (WAF)、安全信息和事件管理解决方案 (SIEM) 以及端点工具在服务器或网络边界上运行。 他们缺乏对最终执行环境的可见性：用户的浏览器。 一旦注入恶意代码（无论是通过受损的标签管理器、CDN 还是第三方供应链攻击），服务器端工具通常都会完全错过漏洞。 这就是F5 分布式云客户端防御 介入。

与服务器端工具不同，分布式云客户端防御在浏览器本身中运行，提供实时监控、完整性验证以及对恶意行为的警报。 我们最近更新了该服务，使其专门用于解决 PCI DSS v4.0.1 要求 6.4.3 和 11.6.1 中概述的威胁。

它的作用如下：

• 脚本清单和授权：  分布式云客户端防御持续跟踪并维护在支付页面上执行的所有脚本（第一方和第三方）的清单。 组织可以建立带有书面理由的脚本允许列表，并在出现新的或未经授权的脚本时收到警报，以帮助证明符合 6.4.3。
• 脚本完整性验证：  分布式云客户端防御通过检测 Webapplication的运行时来监视表明意外和潜在恶意行为（特别是新的网络请求和新的数据访问）的有意义的行为变化，从而验证脚本的完整性。
• ·脚本和安全影响 HTTP 标头监控：  分布式云客户端防御定期检查脚本和影响安全的 HTTP 标头是否存在未经授权的修改，并在检测到更改时发出警报，以帮助组织证明符合 11.6.1 标准。
• 渗漏检测： 高级威胁模型监控出站请求以查找数据泄露的迹象。 如果脚本尝试将捕获的表单数据发送到可疑端点，则会触发警报，组织可以采取直接缓解措施来阻止网络调用和表单字段读取。
• 企业级警报和报告： 安全和合规团队可以获得有关脚本行为、域关系和浏览器端数据流的丰富遥测数据 - 非常适合 PCI 审计跟踪和取证调查。