安全专家警告与数据外泄和丢失相关的两个主要客户端风险

数据丢失和数据外泄的问题主要有两个客户端风险：网站和web应用程序上的跟踪器放置不当，以及从第三方存储库（如NPM）中提取的恶意客户端代码。

客户端安全研究人员发现，放置不当的跟踪器虽然不是故意恶意的，但这是一个日益严重的问题，在涉及合规性/监管问题（如HIPAA或PCI DSS 4.0）时，会对隐私产生明显而重大的影响。为了强调错误放置跟踪器的风险，Markup（一家非盈利新闻组织）最近的一项研究调查了《新闻周刊》美国100家顶尖医院。他们在三分之一的医院网站上发现了一个脸书跟踪器，每当用户点击“预约时间表”按钮时，该网站就会向脸书发送高度个性化的医疗数据。数据不一定是匿名的，因为数据连接到一个IP地址，并且IP地址和约会信息都被传递到Facebook。

关注数据隐私问题的不仅仅是记者和客户端安全研究人员。上周，联邦贸易委员会宣布了打击科技公司不当或非法使用和共享高度敏感数据的计划。联邦贸易委员会表示，他们还计划打击有关数据匿名的虚假指控。该政府机构指出，敏感的健康信息与技术公司使用的模糊数据安全做法相结合，是一个极为棘手的问题，大多数客户几乎不知道或根本不知道他们的数据是如何收集的、收集了什么数据、如何使用数据或如何保护数据。

安全行业反复证明，通过组合多个数据集来创建最终用户身份的清晰图像，重新识别匿名数据是多么容易。

除了放置不当的web跟踪器外，客户端安全研究人员还警告从第三方存储库（如NPM）中提取JavaScript代码的风险。最近的研究发现，包含模糊和恶意JavaScript的包管理器被用于从网站和web应用程序中获取敏感信息。恶意威胁行为人使用诸如NPM之类的源，通过JavaScript软件供应链攻击，利用恶意组件过滤用户在包含此恶意代码的网站上输入表单的数据，从而瞄准组织。

客户端安全研究人员提出了几种识别和缓解这两种主要风险的方法。客户端攻击面监控是最全面的，可以充分保护最终用户和企业免受Magecart、电子浏览、跨站点脚本和JavaScript注入攻击造成的数据盗窃风险。其他工具，如web应用程序防火墙（WAF），可以保护客户端攻击面的某些方面，但无法保护动态网页上发生的活动。内容安全策略（CSP）是另一种很好的客户端安全工具，但CSP很麻烦。手动检查代码以识别CSP的问题可能意味着需要花费数小时（或数天）的时间来浏览数千行web应用程序脚本。

安全专业人员还可以探索客户端攻击面映射解决方案，该解决方案包括威胁情报、访问见解（哪些资产正在访问哪些数据）和隐私（任何数据都不适当地共享给外部来源）。

客户端攻击表面监控解决方案中的一个关键技术组件是合成用户，在威胁检测爬行期间部署，以与动态网页上的真人交互。这些合成用户可以完成各种活动，包括单击活动链接、提交表单、求解验证码和输入财务信息。记录并监控合成用户交互，然后在每个页面中进行行为分析和逻辑注入，以收集难以手动收集的信息，包括表单数据、第三方脚本可以访问的数据、部署的跟踪器及其活动，以及跨国界传输数据的任何表单或第三方脚本。

解决方案还应该能够通过使用允许列表和阻止列表，以及通过扫描后信息分析来获得综合智能，以确保web应用程序免受伤害，从而操作在识别或客户端映射过程中发现的任何问题。

拥有客户端专业知识的安全专业人士正在为金融服务、媒体/娱乐、电子商务、医疗保健和技术/SaaS等行业的组织提供强有力的建议，这些行业具有多个前端web应用程序，以了解客户端安全性以及客户端风险可能对其业务产生的影响。