Cet article examine honnêtement les fonctionnalités de Cloudflare Page Shield.
Puisque vous êtes sur le site web de cside, nous reconnaissons notre parti pris. Cela dit, nous avons construit notre argumentaire honnêtement et basé notre analyse sur des informations publiquement disponibles, des informations du secteur et nos propres expériences ou celles de nos clients.
Certains membres de l'équipe cside ont travaillé chez Cloudflare et ont même contribué au développement de Page Shield. Même en tant que concurrent dans certains domaines, nous tenons Cloudflare en haute estime.
Si vous souhaitez vérifier leurs affirmations par vous-même, veuillez naviguer vers leurs pages produit.
| Critère | cside | Cloudflare Page Shield | Pourquoi c'est important | Quelles sont les conséquences |
|---|---|---|---|---|
| Approches utilisées | Gatekeeper | CSP + récupération du script après | ||
| Protection en temps réel | Les attaques peuvent survenir entre les scans ou dans les données exclues lors de l'échantillonnage | Détection retardée = fuites de données actives | ||
| Analyse complète de la charge utile | Assure une visibilité approfondie des comportements malveillants dans le code du script | Les menaces passent inaperçues sauf si la source est connue dans un flux de menaces | ||
| Détection dynamique des menaces | Identifie les attaques qui changent selon l'utilisateur, le temps ou la localisation | Détection manquée des attaques ciblées | ||
| Détection des menaces au niveau DOM | Suit les changements du DOM et observe le comportement des scripts pendant l'exécution | Incapable d'identifier les attaques sophistiquées basées sur le DOM | ||
| 100% suivi historique et forensique | Nécessaire pour la réponse aux incidents, l'audit et la conformité | Nécessaire pour la réponse aux incidents, l'audit et la conformité | ||
| Protection contre le contournement | Empêche les attaquants de contourner les contrôles via l'obfuscation DOM ou l'évasion | Les menaces furtives continuent sans être détectées | ||
| Certitude que le script vu par l'utilisateur est surveillé | Aligne l'analyse avec ce qui s'exécute réellement dans le navigateur | Écarts entre ce qui est examiné et ce qui est réellement exécuté | ||
| Analyse de scripts alimentée par l'IA | Détecte les menaces nouvelles ou en évolution grâce à la modélisation comportementale | Dépendance aux mises à jour manuelles, flux de menaces ou règles = détection lente et sujette aux erreurs | ||
| Tableau de bord PCI validé par QSA | La façon la plus fiable de s'assurer qu'une solution est conforme PCI est de mener un audit approfondi par un QSA indépendant | Sans validation QSA, vous vous fiez entièrement aux affirmations marketing, ce qui pourrait résulter en un échec d'audit | ||
| SOC 2 Type II | Démontre des contrôles de sécurité opérationnels cohérents dans le temps | Manque de validation vérifiée des contrôles de sécurité, ce qui en fait un fournisseur risqué | ||
| Interface spécifique PCI | Une interface facile pour une révision rapide des scripts et justification en un clic ou automatisation IA | Tâches fastidieuses et recherche manuelle sur ce que font tous les scripts, ce qui prend des heures ou des jours |
Qu'est-ce que Cloudflare Page Shield ?
Cloudflare Page Shield ne fait concurrence qu'à la solution de sécurité côté client et PCI Shield de cside. D'autres services comme la détection VPN, la détection d'agents IA et Privacy Watch ne sont pas dans leur périmètre.
Cloudflare Page Shield est un outil de sécurité côté client qui surveille et analyse le JavaScript tiers s'exécutant dans les navigateurs des utilisateurs. Il aide à détecter les changements de scripts malveillants ou non autorisés en fournissant des alertes en temps réel et une visibilité sur le comportement des dépendances externes.
Est-ce une bonne idée d'acheter une solution de sécurité côté client auprès d'un fournisseur de pare-feu ?
Les grands fournisseurs de sécurité tentent parfois de lancer rapidement un produit secondaire. Ils le font parce qu'ils savent que leurs acheteurs sont engagés sur leur plateforme. Le choix facile est simplement d'acheter leur solution. Cependant, de nombreux utilisateurs remarquent rapidement que ces produits n'ont pas reçu l'attention dont ils avaient besoin et souvent ne fonctionnent tout simplement pas ou ne répondent pas aux exigences. Les navigateurs en tant que surface d'attaque sont totalement différents de l'analyse d'un paquet réseau comme pare-feu.
Comment fonctionne Cloudflare Page Shield
Cloudflare Page Shield utilise un crawler qui récupère le script après le chargement de la page. Si un script change ou correspond à des modèles malveillants connus, Page Shield le signalera et émettra une alerte. Cependant, comme le crawler récupère les scripts indépendamment, pas dans le contexte d'une session utilisateur en direct, il ne peut pas prendre en compte les charges utiles servies dynamiquement qui varient selon les cookies, le comportement de l'utilisateur, les en-têtes de référence ou d'autres conditions d'exécution.
Les attaquants peuvent également voir les adresses IP de Cloudflare et servir une version non malveillante du script. Cela ne déclencherait pas leur mécanisme de détection.
Page Shield n'analyse pas chaque session. Au lieu de cela, il échantillonne le trafic pour optimiser les performances et réduire la consommation de ressources. Cette approche a du sens d'un point de vue des coûts, mais elle introduit également de graves angles morts dans la surveillance de la sécurité.
Pour vérifier cela, trouvez un site qui utilise Page Shield, ouvrez la console développeur de votre navigateur et actualisez la page plusieurs fois.
Page Shield s'appuie fortement sur les Content Security Policies (CSP) pour faire respecter la sécurité des scripts. Une CSP ne fait confiance qu'aux sources de scripts pré-approuvées, pas à leur contenu. Si la source reste la même mais que le contenu change, comme dans la plus grande attaque côté client de 2024 – Polyfill – une CSP ne le détectera pas.
Nous avons écrit un article approfondi sur Pourquoi CSP ne fonctionne pas en ce qui concerne la fourniture de la meilleure solution de sécurité côté client :
CSP fonctionne sur un modèle de liste blanche, qui permet les ressources de domaines de confiance mais ne peut pas bloquer les scripts ou ressources individuels de ces domaines.
À notre connaissance, Cloudflare Page Shield stocke et analyse les scripts. Cela signifie qu'une fois qu'un script disparaît de la fenêtre de surveillance, il n'y a aucun moyen de le récupérer pour une analyse future et l'apprentissage automatique.
Enfin, adopter Cloudflare Page Shield nécessite d'être un client Cloudflare existant.
Comment cside va plus loin
cside offre principalement une approche de proxy hybride qui se situe entre la session utilisateur et le service tiers. Il analyse le code des dépendances servies en temps réel avant de le livrer à l'utilisateur.
Cela nous permet non seulement de détecter des attaques avancées très ciblées et d'alerter à leur sujet, cside rend également possible de bloquer les attaques avant qu'elles n'atteignent le navigateur de l'utilisateur. Cela coche également la case pour plusieurs cadres de conformité, y compris PCI DSS 4.0.1. Nous fournissons même une analyse forensique approfondie, même si un attaquant contourne nos détections. Vous permettant de délimiter plus précisément la taille de l'incident et à nous d'améliorer nos capacités de détection chaque jour. Aucun autre fournisseur n'a cette capacité.
Nous croyons que c'est la façon la plus sécurisée de surveiller et protéger vos dépendances sur l'ensemble de votre site web. Nous avons passé des années dans l'espace de la sécurité côté client avant de créer cside, nous avons tout vu, c'est la seule façon de vraiment détecter une attaque.
Nous offrons également un endpoint CSP gratuit en plus de notre produit pour permettre la superposition de couches de sécurité, c'est inclus. Avec cside, vous obtenez essentiellement la même chose que Report-URI gratuitement.
Inscrivez-vous ou réservez une démo pour commencer.
