Visualizzo molti report di Content Security Policy (CSP) generati da malware sul lato client. Molti hanno voci " blocked-uri " come randomstring.cloudfront.net , something.akamaihd.net e così via.
Vorrei rilevare i rapporti CSP causati da malware, quindi posso ignorarli. Ignorare *.cloudfront.net non sembra giusto, c'è un modo?
Dubito strongmente che questi rapporti CSP siano generati con malware sul lato client. Sospetto questo il comportamento di un bilanciatore del carico che sta portando a dei positivi. Gli autori di malware preferiscono ospitare le proprie applicazioni utilizzando l'infrastruttura con meno supervisione, dove Akamai e Cloudflare forniscono servizi di sicurezza e hanno i propri team di sicurezza altamente specializzati.
Senza vedere effettivamente questi log, nessuno può aiutarti. La prima cosa che farei è scaricare il JavaScript nel report CSP ed eseguire un'analisi del malware su di esso.
La domanda riguarda principalmente cosa intendi per "ignorare". Ti consiglio di raccogliere ogni violazione di CSP, ma agire solo su quelli che sono ovviamente non correlati al tuo sito web. La tua analisi e amp; le fasi di visualizzazione dovrebbero occuparsene.
Gli host del cloudfront probabilmente non sono malware ma script eseguiti da estensioni del browser.
Akamai e Cloudfront sono entrambi nomi associati a CDN. In molti casi i CDN ospitano siti di raccolta per i metadati associati agli indirizzi IP a scopo di monitoraggio e l'uso inizialmente previsto di memorizzare nella cache file di grandi dimensioni per vari siti Web. Anche se questi nomi particolari possono essere associati o meno al traffico legittimo, la tua mancanza di preoccupazione riguardo al malware lato client è troppo diffusa nel nostro mondo e ti suggerisco di rimediare a quel sistema di credenze facendo delle ricerche su quanto il malware sia stato uno dei più grandi minacce nell'ultimo decennio.
Il malware è associato alla maggior parte degli ambienti compromessi.
Possedere un desktop è il primo passo per possederlo.
Comprendendo che probabilmente stai affrontando più violazioni CSP di quanto sia umanamente possibile indagare, c'è una certa dose di empatia associata alla tua posizione. Costruire un corpus di conoscenze, anche se devi usare un foglio di calcolo, sui vari domini che sono elencati nel tuo CSP è la chiave a lungo termine per il successo, specialmente se sei parte di una piccola squadra o sei un one man show. Una volta compresi questi domini e indagare le loro registrazioni e contenuti che possono condividere, puoi iniziare a guardare nel loro ToS e persino a catturare il traffico e da queste url 'stringhe' che stai vedendo (assicurati che questa macchina sia isolata). Il pacchetto cattura e l'investimento nel tempo dovrebbe aiutare il tuo a iniziare a identificare i nomi DNS legittimi e illegittimi e ti permetterà di concentrarti su un rischio più evidente.
È meglio tenere a mente che la maggior parte dei compromessi sono mostrati in vari sistemi e i sysop li hanno ignorati a causa della grande quantità di falsi positivi che stanno attraversando. Sono stati allertati ma non sono stati avvisati e guidati dal processo nel loro abbattimento. In breve, non fidarti di nulla finché non puoi dimostrarlo affidabile.
Leggi altre domande sui tag malware content-security-policy