Deteccion de amenazas
Aprende como el motor de deteccion de cside identifica scripts maliciosos y alerta automaticamente a tu equipo.
cside monitorea los scripts de terceros en tu sitio en busca de actividad maliciosa. Cada script pasa por multiples capas de deteccion de forma asincrona. Cuando se encuentra una amenaza, cside alerta a todos en tu equipo.
Las alertas de deteccion de amenazas son totalmente configurables mediante las configuraciones de notificacion. Elige que miembros del equipo o direcciones externas reciben notificaciones, o enruta las alertas a Slack, Discord, Jira, Linear, S3 o webhooks personalizados en lugar de correo electronico.
Como funciona
Cada script de terceros que carga en tu sitio pasa por un pipeline de multiples etapas. Primero, cside desofusca y normaliza el script, luego lo verifica contra reglas de deteccion estatica y lo puntua segun varias senales de amenaza. Si un script supera el umbral de riesgo, cside ejecuta un analisis mas profundo con IA. Los scripts maliciosos activan una alerta a todos los destinos de notificacion configurados.
Metodos de deteccion
cside utiliza un enfoque por capas para identificar scripts maliciosos:
Fuentes maliciosas conocidas
Los scripts se verifican contra bases de datos de fuentes maliciosas conocidas, incluyendo:
- Hostnames: dominios conocidos por servir contenido malicioso
- URLs: URLs especificas que han sido marcadas como maliciosas
- Direcciones IP: direcciones IP asociadas con actividad maliciosa
Payloads maliciosos conocidos
El contenido de los scripts se compara contra payloads maliciosos conocidos usando:
- Hashes de archivos: comparaciones SHA-256 y otros hashes contra bases de datos de payloads de scripts maliciosos conocidos
Normalizacion de scripts
Antes del analisis, cside desofusca y normaliza los scripts para revelar lo que realmente hacen. Esto revierte las tecnicas comunes de ofuscacion para que los atacantes no puedan evadir la deteccion simplemente disfrazando su codigo.
Puntuacion de amenazas
cside calcula una puntuacion de riesgo para cada script basandose en senales como cambios de contenido, antiguedad del dominio, indicadores de comportamiento y cuantos sitios estan afectados. Los scripts por encima del umbral de riesgo se escalan para un analisis mas profundo.
Analisis profundo con IA
Los scripts de alto riesgo pasan por un analisis con IA que detecta amenazas que las reglas estaticas no capturan:
- Codigo malicioso ofuscado - scripts que intentan ocultar lo que hacen
- Amenazas zero-day - patrones de ataque que no estan en ninguna base de datos
- Anomalias de comportamiento - scripts haciendo cosas que no deberian
Alertas y notificaciones
Cuando se detecta un script malicioso, c/side puede notificar a tu equipo a traves de cualquier destino configurado en tus configuraciones de notificacion - incluyendo correo electronico, Slack, Discord, Jira, Linear, S3 o webhooks personalizados.
Para configurar alertas de deteccion de amenazas, crea una configuracion de notificacion con el trigger Script Threat Detected. Consulta Notificaciones para instrucciones de configuracion.
Deteccion de amenazas vs. deteccion de vulnerabilidades
cside ofrece dos funciones de seguridad complementarias:
| Funcion | Deteccion de amenazas | Deteccion de vulnerabilidades |
|---|---|---|
| Que detecta | Scripts activamente maliciosos | Scripts con CVEs o avisos conocidos |
| Metodo de deteccion | Fuentes maliciosas conocidas, hashes de payloads, analisis dinamico, IA | Comparacion de versiones contra bases de datos de vulnerabilidades |
| Entrega de alertas | Destinos de notificacion configurados | Alertas en el dashboard y destinos de notificacion configurados |
| Ejemplo | Un script sirviendo un cryptominer desde un CDN comprometido | lodash 4.17.21 con un CVE de prototype pollution |
Estas dos funciones cubren angulos diferentes - usa ambas para la mejor cobertura de los scripts de terceros de tu sitio.
Thanks for your feedback!