盲点 盲区在哪里 博客
摘要美国足球运动员在蓝色背景上从线条和三角形、点连接网络采取行动。插图矢量
您是否负责第三方风险管理和/或保护公司网络形象？如果是，那么您就存在一个可能让您大吃一惊的盲区。它以 Magecart 攻击的形式出现，例如表单劫持、数字盗取和凭证窃取。

现在该是认真对待这个盲区的时候了。

你的盲区

记得根据迈克尔·刘易斯 手机号码数据 的小说改编的电影《弱点》吗？这部电影回顾了职业生涯终结的一场橄榄球比赛——我永远不会忘记的一场——四分卫乔·塞斯曼被线卫劳伦斯·泰勒偷袭。

“他没有看到泰勒双臂高举过头顶，腾空而起。泰斯曼为自己能够站在口袋里，无视恐惧而感到自豪。他认为，这种品质是成功 NFL 四分卫的先决条件。……发生在球和持球人身上的事情，只是在球被抢断之前就开始的一系列事件中的最后一环。

“在结束乔·塞斯曼职业生涯的整个过程的开始，有一个显而易见的问题：

“谁来阻止泰勒？”

– 迈克尔·刘易斯的《弱点》
想象一下自己是公 动完成搜索以及基于产品技术 司网络安全的 Joe Theismann。您已经投入了大量资金来巩固您负责的资产——如此之多，以至于您可能认为您已经涵盖了所有方面。您更新您的网络应用程序并虔诚地为服务器打补丁。您采取一切必要措施来保护您的服务器免受来袭威胁。有了如此严格的安全措施，您可以放心，您可以专注于运营公司的交易或电子商务网站，而不必担心受到成功的攻击。

然后，您就被客户端网络攻击所蒙蔽，这种攻击是通过您的网站多年来一直使用的普通、普遍使用的第三方 JavaScript 偷偷传播的。攻击会复制您的客户在您的网站上输入的数据（无论是 PII、PHI、信用卡数据还是任何有价值的数据），并将其发送给恶意行为者，后者随后会将其出售或用于其他邪恶目的。也许您会立即看到事件的连锁反应，或者您可能需要整整几个月或几个季度才能看到发生了什么——就像最近的 Nuna Baby 案例一样，攻击发生一年后才被发现。无论哪种情况，结果都是您不想要的，正如Segway 在线商店的老板刚刚发现的那样。

在这一连串事件的开始，一个显而易见的问题出现了：谁来阻止那次袭击？

第三方风险就是第三方风险

我们最近发布了有关数字供 中國資料庫 应链以及如何降低第三方风险的文章。

您可能不觉得您的实体供应链存在漏洞，但如果您的网站资产与全球 95% 的网站一样，那么您的数字供应链肯定存在漏洞。您可能有十几个或更多的第三方合作伙伴帮助提升网站体验（每个合作伙伴都可能调用更多第四方）。这些合作伙伴正在客户端加载 JavaScript，这些 JavaScript 可用作攻击载体。