Capacidades de Defesa do Lado do Cliente
O F5 Distributed Cloud Client-Side Defense (CSD) protege aplicações web contra ataques do lado do cliente monitorando o comportamento do JavaScript diretamente no navegador. O balanceador de carga do F5 XC pode ser configurado para injetar o script de telemetria do CSD nas páginas entregues ao cliente. Esse script observa toda a atividade JavaScript — quais scripts são carregados, quais campos de formulário eles leem e quais conexões de rede estabelecem. Os dados de telemetria são enviados à plataforma F5 XC, onde modelos de aprendizado de máquina analisam o comportamento dos scripts, atribuem pontuações de risco e sinalizam anomalias. As equipes de segurança revisam as detecções no console do CSD e tomam ação permitindo ou mitigando domínios de scripts.
flowchart LR
A["Browser JS"] --> B["CSD Telemetry Script"]
B --> C["F5 XC Platform"]
C --> D["ML Analysis"]
D --> E["CSD Dashboard"]Sinais de Detecção Principais
Seção intitulada “Sinais de Detecção Principais”O CSD monitora três categorias de comportamento do lado do navegador:
| Sinal | O que o CSD Observa | Exemplo |
|---|---|---|
| Leituras de campos de formulário | Quais scripts acessam quais campos input presentes no DOM da página no momento do carregamento | main.js lendo o campo password em /login |
| Inventário de scripts | Todos os JavaScript de primeira e terceira partes carregados em cada página, rastreados por domínio de origem | Uma nova tag <script> carregando de cdn.jsdelivr.net aparecendo na página de login |
| Interações de rede | Domínios envolvidos na atividade de rede dos scripts — inclui tanto domínios de origem do carregamento de scripts quanto domínios de destino de fetch/XHR | Scripts originados de esm.sh e alvos de exfiltração de dados como www.httpbin.org aparecendo nos domínios detectados |
Matriz de Funcionalidades
Seção intitulada “Matriz de Funcionalidades”| Funcionalidade | Descrição | Localização no Console |
|---|---|---|
| Pontuação de risco de scripts | Classificação automática: Sem Risco, Baixo Risco, Alto Risco | Lista de Scripts → coluna Nível de Risco |
| Sensibilidade de campos de formulário | Classifica automaticamente campos como Sensíveis (pelo sistema) com base no tipo e nome do campo | Visualização de Campos de Formulário → coluna Análise |
| Linha do tempo de comportamento | Exibe o nível de risco, domínio de origem e tipo do script ao longo do tempo | Detalhe do script → Visão Geral → Comportamentos ao Longo do Tempo |
| Atribuição de usuários afetados | Rastreia usuários impactados por IP, geolocalização, navegador e dispositivo | Detalhe do script → aba Usuários Afetados |
| Lista de permissão de domínios | Marcar domínios de scripts confiáveis como permitidos | Dashboard → linha do domínio → Adicionar à Lista de Permissão |
| Lista de mitigação de domínios | Bloquear chamadas de rede e leituras de campos de formulário de domínios de scripts específicos, impedindo a exfiltração de dados | Dashboard → linha do domínio → Adicionar à Lista de Mitigação |
| Configuração de alertas | Notificações para novos domínios, mudanças de risco e comportamentos suspeitos | Seção de Notificações |
| Justificativa de script | Adicionar notas explicando por que um script está autorizado (conformidade com PCI DSS) | Detalhe do script → campo Justificativa |
| Rastreamento de transações | Contador mensal de eventos de telemetria confirmando que o CSD está ativo | Dashboard → card Transações Consumidas |
| Filtros de tempo e localização | Filtrar todas as visualizações por intervalo de tempo (24h, 7d, 30d) e localização | Controles de filtro na barra superior |
Limites de Detecção
Seção intitulada “Limites de Detecção”Entender o que o CSD não monitora é fundamental para definir expectativas precisas em demonstrações:
| Limitação | Detalhes | Verificado |
|---|---|---|
| Campos criados dinamicamente | O CSD rastreia campos input presentes no DOM no momento do carregamento da página. Campos injetados por JavaScript após o carregamento não são monitorados. Um <input> criado dinamicamente e lido por um script não aparece na visualização de Campos de Formulário. | Sim — campo ausente em /formFields após 10 minutos de espera |
| Ofuscação no nível do código | O CSD não sinaliza técnicas de execução dinâmica de código ou padrões de ofuscação como sinais de detecção separados. Coletores ofuscados produzem o mesmo nível de risco que os não ofuscados — o CSD rastreia metadados comportamentais, não padrões de código-fonte. | Sim — “Alto Risco” idêntico para ambas as técnicas |
| Campos de formulários sobrepostos | O CSD rastreia apenas campos de formulário presentes no DOM original no momento do carregamento da página. Formulários sobrepostos injetados por JavaScript (uma técnica comum de skimming digital) não são rastreados — apenas leituras dos campos originais são detectadas. | Sim — campos sobrepostos ausentes em /formFields após 10 minutos de espera |
| Comportamento do contador do Dashboard | As contagens resumidas “Encontrado & Mitigado” e “Encontrado & Permitido” só mudam após um administrador adicionar explicitamente um domínio à lista de mitigação ou permissão. As contagens “Ação Necessária” e “Total Encontrado” são atualizadas automaticamente quando novos domínios são detectados. | Sim — “Encontrado & Permitido” mudou de 0 para 1 somente após POST em /allowed_domains |
Mapeamento para o PCI DSS v4.0
Seção intitulada “Mapeamento para o PCI DSS v4.0”O CSD aborda diretamente dois requisitos do PCI DSS v4.0 para segurança de páginas de pagamento:
| Requisito PCI DSS | O que Exige | Como o CSD Atende |
|---|---|---|
| 6.4.3 — Gerenciamento de scripts em páginas de pagamento | Manter um inventário de todos os scripts, fornecer autorização e justificativa por escrito para cada um e verificar a integridade dos scripts | A Lista de Scripts fornece o inventário completo; o campo Justificativa documenta a autorização; a linha do tempo de comportamento rastreia as alterações |
| 11.6.1 — Detecção de adulteração em páginas de pagamento | Detectar modificações não autorizadas em cabeçalhos HTTP e no conteúdo da página de pagamento | A telemetria do CSD detecta novas injeções de scripts, leituras não autorizadas de campos de formulário e novos domínios de rede — alertando sobre mudanças no comportamento da página |
Matriz de Cobertura de Ameaças
Seção intitulada “Matriz de Cobertura de Ameaças”A tabela a seguir mapeia categorias comuns de ataques do lado do cliente aos sinais de detecção do CSD que seriam ativados durante cada tipo de ataque. Os tipos de ataque marcados com * são confirmados pela documentação oficial da F5. Os tipos não marcados são inferidos com base nas categorias de sinais de detecção do CSD e podem não ser explicitamente declarados pela F5.
| Categoria de Ataque | Descrição | Leituras de Campos | Injeção de Script | Rede |
|---|---|---|---|---|
| Formjacking * | Script malicioso lê valores de campos de formulário e os exfiltra | Sim | — | Sim |
| Skimming digital * | Injeta formulários sobrepostos ou scripts para capturar dados de pagamento | Sim | Sim | Sim |
| Ataque à cadeia de fornecimento * | Biblioteca de terceiros comprometida carrega código malicioso | — | Sim | Sim |
| Exfiltração de dados * | Lê dados sensíveis e os envia a domínios externos | Sim | — | Sim |
| Injeção de script * | Insere tags <script> não autorizadas na página | — | Sim | Sim |
| Cryptojacking * | Injeta scripts de mineração de criptomoedas | — | Sim | Sim |
| Manipulação de DOM | Injeta ou modifica elementos da página para enganar usuários | — | Sim | — |
| Man-in-the-Browser | Intercepta dados de formulário dentro da sessão do navegador — consulte OWASP e MITRE T1185 | Sim | — | Sim |
| Clickjacking | Sobrepõe frames invisíveis para sequestrar cliques do usuário — consulte OWASP | — | Sim | — |
| Persistência de web skimmer | Reinjecta scripts de skimmer entre navegações de página — consulte Pesquisa Magecart da Sansec | — | Sim | Sim |