引言

Web客户端运行时安全（WCRS）是指用户在浏览网页时，其浏览器中执行的代码的安全性或行为表现。

本系列文章的第一部分讨论了为什么除了传统的Web应用程序安全解决方案之外，WCRS作为一门安全学科也值得特别关注。第二篇文章介绍了传统安全解决方案在应对WCRS风险方面的局限性，并就更新的安全机制或解决方案提出了实施方案（详情请在www.isaca.org上查看）。本篇是该系列的第三篇也是最后一篇文章，包括七个建议步骤或活动，这些步骤可为组织提供一条潜在的实施路径，以从 WCRS 解决方案的部署中获得有意义的成果。

步骤一：发现

实施 WCRS 解决方案的第一步是进行全面的“资产发现”阶段，涵盖所有Web应用程序及其相关的第三方脚本。这包括创建网络资产清单，并绘制所有依赖关系图谱，其中包括由第三方服务引入的依赖项。通过全面了解应用环境，组织可以识别出需要保护的关键 Web 应用，并据此对安全工作进行优先级排序。资产发现阶段至关重要，因为它为后续步骤奠定了基础，确保没有关键资产被遗漏而处于未受保护状态。这一步骤的主要目标是识别所有Web应用程序和监控要求。

这项工作可以利用配置管理数据库（CMDB）作为起点。不过，有些CMDB系统可能并不能总是提供准确的最新信息。因此，实施团队可能需要对互联网和内网网络执行域名系统(DNS)和基于IP的搜寻，因为这些操作可能会发现更多可能需要保护的未被记录的应用程序。

步骤二：对 Web 应用进行优先级排序

完成资产发现阶段后，组织应根据各 Web 应用的风险状况对其 WCRS 监控优先级进行排序。评估因素应包括所处理数据的敏感性、用户访问量以及该应用对业务运营的重要性等。高风险应用应优先予以关注，低风险应用则可以分阶段处理。这种优先级划分有助于高效分配资源，将初始精力集中在最关键区域，从而最大化安全防护效果。

步骤三：合理化并最小化第三方脚本

组织应评估每个第三方脚本的必要性，移除或替换那些非必需或存在重大风险的脚本。换句话说，组织应优先考虑最小化攻击面，因为这是 WCRS 的关键组成部分之一。这需要对第三方脚本所提供的功能与其带来的安全影响进行权衡，并尽可能寻找替代方案。通过减少第三方脚本的使用，组织可以降低引入漏洞的可能性，从而提升整体安全性。

步骤四：制定安全策略

组织应制定策略，应通过实施自动化技术控制措施，如WCRS供应商解决方案策略、内容安全策略、子资源完整性检查和其他安全措施，建立旨在阻止不需要的脚本和行为的策略。应利用支持基于行为的策略的供应商解决方案来减少高风险行为，如按键记录和限制特定受信任脚本组访问敏感数据字段。这些策略的设计应兼顾安全性和运营需求，确保合法的业务活动不受干扰。应定期审查和更新这些策略，以适应不断发展的威胁和Web应用环境的变化。

步骤五：告警与变更响应

及时检测并响应安全事件是保持强有力的安全态势的关键。组织应建立实时告警机制，并对客户端脚本和行为的变化进行持续监控。这包括调整安全策略以减少误报，并确保安全运营人员接收到的告警数量与团队规模相匹配。同时，也应明确告警响应流程和升级路径，使安全团队能够快速应对事件并减轻潜在风险。最后，必须确保对这些流程进行持续监控与优化，以维持长期有效的安全响应能力。

步骤六：第三方风险管理

管理与第三方脚本相关的风险需要与供应商密切合作，并遵守监管指南。有支付卡行业数据安全标准（PCI DSS）合规义务的组织应遵循最新的PCI要求和指导，聘请第三方进行脚本完整性检查，并确保供应商了解其对安全性的影响。2019年8月1日，PCI安全标准委员会针对在线盗刷对支付安全的威胁发布了一份公告。该公告强调，第三方亟需了解其在确保支付页面安全方面的作用，这一信息对今天的组织而言仍然具有高度相关性。此外，组织还应参考美国卫生与公众服务部民权办公室(OCR)关于保护受保护健康信息(PHI)的指导。通过保持稳健的第三方风险管理实践，组织可以确保他们的安全措施覆盖其基础设施的范围。

步骤七：治理和问责

建立治理框架和定期报告机制对于保持对WCRS工作的监督和问责至关重要。这包括定义角色和职责、设定安全目标以及跟踪这些目标的进展情况。定期向利益相关者报告，可以了解安全措施的有效性，并突出有待改进的领域。应实施持续改进流程，使安全实践不断发展，以应对新出现的威胁和监管环境的变化。通过保持强有力的治理和报告结构，组织可以确保WCRS始终处于优先地位，并随着时间的推移得到有效管理。

组织应考虑实施治理仪表板，如图1所示。这些仪表板可具备点击穿透功能，便于业务部门（LOB）、技术部门（LOT）负责人以及信息安全、合规和内部审计团队根据各自需求快速查阅底层信息或数据。

图1-WCRS仪表板示例

结论

对于任何使用第三方代码的网站而言，Web 客户端运行时安全（WCRS）都至关重要。考虑到现代网站日益复杂的功能和交互性，商业网站几乎不可能在用户客户端交互过程中完全避免使用第三方代码。因此，确保强有力的 WCRS 措施对于维护网站安全至关重要。

编者按：本文于2025年1月31日首次发表于ISACA官网News and Trends/Industry News。文章内容仅代表作者本人观点。

作者：Sergei Vasilevsky, CISSP是 ILIAM Consulting 的创始人兼总裁，拥有超过 20 年的网络安全咨询经验。

Kamal Govindaswamy, CCSP, CISSP, CIPP/US是 Tueoris 的联合创始人及安全业务负责人，拥有超过 20 年的安全咨询经验。 

翻译：王岩（Liam Wong），CISA、CIA、CDPSE、CISM、CISSP、CZTP、CISP-F、PMP、OCM 11g/12c、PGCA、OBCA、MCDBA、MCSE，ISACA微信公众号特邀通讯员  

校对：王彪，COBIT2019、CISA、CDPSE、CDMP、CDSP、CISP-DSO、ISO27001LA、信息安全工程师(软考)、ISACA微信公众号特邀通信员、天融信数据安全治理专家