Detection des menaces

cside surveille les scripts tiers sur votre site a la recherche d’activites malveillantes. Chaque script passe par plusieurs couches de detection de maniere asynchrone. Lorsqu’une menace est trouvee, cside alerte tous les membres de votre equipe.

Les alertes de detection des menaces sont entierement configurables via les configurations de notification. Choisissez quels membres de l’equipe ou adresses externes sont notifies, ou routez les alertes vers Slack, Discord, Jira, Linear, S3 ou des webhooks personnalises au lieu de l’e-mail.

Comment ca fonctionne

Chaque script tiers charge sur votre site passe par un pipeline multi-etapes. D’abord, cside desobfusque et normalise le script, puis le verifie contre des regles de detection statique et le note selon plusieurs signaux de menace. Si un script depasse le seuil de risque, cside lance une analyse approfondie par IA. Les scripts malveillants declenchent une alerte vers toutes les destinations de notification configurees.

Methodes de detection

cside utilise une approche par couches pour identifier les scripts malveillants :

Sources malveillantes connues

Les scripts sont verifies par rapport a des bases de donnees de sources malveillantes connues, notamment :

Noms d’hote : domaines connus pour diffuser du contenu malveillant
URLs : URLs specifiques qui ont ete signalees comme malveillantes
Adresses IP : adresses IP associees a une activite malveillante

Payloads malveillants connus

Le contenu des scripts est compare a des payloads malveillants connus en utilisant :

Hashes de fichiers : comparaisons SHA-256 et autres comparaisons de hashes avec des bases de donnees de payloads de scripts malveillants connus

Normalisation des scripts

Avant l’analyse, cside desobfusque et normalise les scripts pour reveler ce qu’ils font reellement. Cela inverse les techniques courantes d’obfuscation pour que les attaquants ne puissent pas contourner la detection en deguisant leur code.

Notation des menaces

cside calcule un score de risque pour chaque script en se basant sur des signaux comme les modifications de contenu, l’anciennete du domaine, les indicateurs comportementaux et le nombre de sites affectes. Les scripts au-dessus du seuil de risque sont escalades pour une analyse plus approfondie.

Analyse approfondie par IA

Les scripts a haut risque passent par une analyse IA qui detecte les menaces que les regles statiques ne capturent pas :

Code malveillant obfusque - scripts qui essaient de cacher ce qu’ils font
Menaces zero-day - schemas d’attaque absents de toute base de donnees
Anomalies comportementales - scripts qui font des choses qu’ils ne devraient pas

Alertes et notifications

Lorsqu’un script malveillant est detecte, c/side peut notifier votre equipe via toute destination configuree dans vos configurations de notification - y compris e-mail, Slack, Discord, Jira, Linear, S3 ou webhooks personnalises.

Pour configurer les alertes de detection des menaces, creez une configuration de notification avec le declencheur Script Threat Detected. Consultez Notifications pour les instructions de configuration.

Detection des menaces vs. detection des vulnerabilites

cside propose deux fonctionnalites de securite complementaires :

Fonctionnalite	Detection des menaces	Detection des vulnerabilites
Ce qu’elle detecte	Scripts activement malveillants	Scripts avec des CVEs ou des avis connus
Methode de detection	Sources malveillantes connues, hashes de payloads, analyse dynamique, IA	Correspondance de versions avec des bases de donnees de vulnerabilites
Livraison des alertes	Destinations de notification configurees	Alertes dans le tableau de bord et destinations de notification configurees
Exemple	Un script diffusant un cryptominer depuis un CDN compromis	lodash 4.17.21 avec un CVE de prototype pollution

Ces deux fonctionnalites couvrent des angles differents - utilisez les deux pour la meilleure couverture de vos scripts tiers.