立即行动: 新的 PCI DSS v4.0 要求解决基于浏览器的攻击
在线零售商和电子商务供应商请注意: 在保护客户端数据和在线支付免受数字盗取和 Magecart 攻击时,可使用新的解决方案。
2022 年 3 月,支付卡行业 (PCI) 安全标准委员会发布了其数据安全标准的修订版本 PCI DSS v4.0,该标准规定了商家在存储、处理和传输持卡人数据时必须满足的最低安全要求。 修订后的要求包括多项增强功能,以确保网上交易的安全,从而保护消费者、企业和信用卡发行商在网上商业交易期间的安全。
新的要求主要集中在监控和管理基于浏览器的第三方 JavaScript 库,这些库被整合到电子商务网站中,以提供开箱即用的功能,例如支付处理 iFrames、聊天机器人、广告、社交分享按钮和跟踪脚本。 虽然这些 JavaScript 库可以帮助企业加快网站开发速度,但它们也为网络犯罪分子打开了广泛的威胁途径,因为这些脚本很容易通过数字窃取和 Magecart 攻击受到攻击,从而窃取凭证、信用卡信息和其他 PII。
虽然这些违规行为显然会对受到欺骗的消费者造成损害,但它们对您的业务也同样不利,因为它们可能导致违反合规性、收入损失、股价下跌、社交媒体上的恶意评论以及品牌资产受损。
尽管直到 2025 年才强制要求遵守新的 PCI DSS 4.0 要求,但不要等待! 这些要求所针对的攻击类型正在发生。 现在是尽快实施加强保护措施以保护您的商业声誉和客户免受攻击和欺诈的时候了。
客户端攻击有哪些危害?
不久前,商业 Web应用被构建为由内部 Web 服务器提供的单一代码。 然而,当今的现代网络应用非常不同,它们通常是通过串联第三方的 JavaScript 库来设计的,大部分处理都在客户端,即消费者的浏览器中进行。 据估计,典型网页的 70%-80% 由第三方库组成,其中一些脚本包含来自另一组第三方脚本的代码。 这种长链代码依赖关系意味着企业对其网站上实际运行的代码没有太多的可见性或控制力。
威胁行为者意识到,由于这些第 n 方依赖项的范围和规模,组织很难正确管理、跟踪和保护在其环境中运行的代码,甚至无法检测代码何时发生变化或被利用。 这种缺乏可见性的情况为网络犯罪分子提供了机会,他们可以将恶意脚本注入合法网页或网络应用代码,并发起攻击来拦截、操纵和劫持用户会话。 然后,他们能够窃取个人数据和支付信息、控制和破坏网站、呈现虚假内容、创建新表格或更改合法表格——所有这些都可能为欺诈和账户接管奠定基础。
PCI DSS v4.0 的要求
修订后的标准特别指出,加强客户端Web 安全对于任何接受在线支付的企业来说都至关重要。 该标准要求在消费者浏览器中加载和执行的所有支付页面脚本都需要全面管理。 具体来说,新标准6.4.3要求电子商务供应商实施:
- 确认每个脚本是否被授权的方法
- 确保每个脚本完整性的方法
- 所有脚本的清单,并附上每个脚本必要性的书面说明
新标准要求商家检查其政策和程序,以验证是否定义了用于管理在消费者浏览器中加载和执行的所有支付页面脚本的流程。 他们还必须采访负责人员并检查库存记录和系统配置,以验证在消费者浏览器中加载和执行的所有支付页面脚本是否按照本要求中指定的所有要素进行管理。
此外,修订后的标准的第11.6节要求检测并响应支付页面上的未经授权的更改。 这需要一种变化和篡改检测机制,当消费者浏览器收到 HTTP 标头和支付页面内容被未经授权修改时,该机制会提醒人员。 必须至少每七天检查一次配置设置,或按照组织风险分析评估中定义的频率检查。
通过手动或传统解决方案来满足这些要求成本高昂且耗费资源。 由于支付表单脚本在客户端运行,商家几乎无法了解其行为,这使得恶意代码很容易逃避检测。 此外,商家几乎无法控制第三方代码,例如操作网页功能(如支付处理器、Cookie 同意表单、聊天机器人或广告跟踪器)的动态 JavaScript 库,因为它们经常更新和更改,而且通常是在商家不知情的情况下进行的。
现有的检测技术,如子资源完整性 (SRI)(进行完整性检查以确保脚本未被篡改)和内容安全策略 (CSP)(限制浏览器可以加载脚本和发送数据的位置),已不足以保护当今不断变化的 Web应用。
帮助您的企业尽早遵守 PCI DSS v4.0
没有理由等到 2025 年才遵守 PCI DSS v4.0 所要求的安全规定。 立即采取行动保护您的企业免受攻击并保护您的客户免遭欺诈和帐户盗用。
F5 分布式云客户端防御可以立即帮助您满足新的 PCI DSS v4.0 要求,并通过自动监控网页中的可疑代码、生成可操作的警报以及通过一键缓解立即阻止数据泄露,从而防范 Magecart、表单劫持、数字盗取、PII 收集攻击。
有关如何在维护消费者信任和品牌声誉的同时保护客户隐私和业务免遭合规性违规的更多信息,请阅读此解决方案概述或观看此产品演示。