每個商業網站都包含數十個第三方集成,幫助其發展並最大限度地發揮業務潛力。不幸的是,這些第三方引入了壹個客戶端漏洞,使網站暴露在外。
SourceDefense使用實時沙箱隔離技術,防止來自網站供應鏈供應商的惡意活動。鑒於2019冠狀病毒疾病疫情下向遠程工作的重大轉變,我向聯合創始人兼副總裁AvitalGrushcovski咨詢了有關組織如何加強防禦和確保在線運營安全的建議。
請描述源代碼防禦背後的故事及其迄今為止的演變SourceDefense是過去兩年中成立的少數幾家真正創造了全新市場並解決了以前從未解決過的問題的公司之壹。它是由我最好的朋友、我自己和壹位我們從壹家公司認識的***同熟人創建的。
在我們的職業生涯中,我們遇到了很多關於第三方腳本的問題。我在以色列壹家名為Walla的廣告技術公司擔任了5年的產品經理,負責在網站上部署新產品。所以我有與第三方供應商和第三方Javascript打交道的經驗。我們已經了解到,很多問題都來自於這個特定的載體。
我們做了大量研究,發現沒有人成功地,甚至沒有人試圖從商業上解決管理第三方訪問的問題。我們發現了壹些開源項目試圖解決這個問題,但幾乎沒有成功。我們決定想出壹個辦法,然後我的合作夥伴想出了壹個絕妙的主意,將訪問策略應用到web瀏覽器上的JS。這聽起來很簡單,因為我們的手機上已經有了它,但妳永遠無法在網絡上做到這壹點。
我們開發了壹個獲得專利的引擎,允許您非常簡單地說哪家第三方供應商有權讀取或寫入頁面。例如,聊天供應商可能能夠讀取頁面,但無法讀取信用卡信息、用戶名和密碼。基本上是為頁面上運行的每個供應商定制特定的訪問策略。
當時,甚至沒有人知道這個問題的存在,這實際上使得最初籌集資金變得困難,因為我們必須讓投資者相信這個問題確實存在。四年前,如果妳在尋找投資者,並說我是唯壹壹個這樣做的人,答案要麽是做不到,要麽是沒有錢,因為妳不可能是第壹個。我們是第壹個創造這個市場的人。我們設法為壹種提供實時預防的引擎申請了專利。我們唯壹的另壹個半競爭對手是壹家試圖通過發現漏洞並提醒他們有問題來掃描網站的公司。
今天,我們處在壹個非常不同的地方。我們從JVP那裏籌集了種子資金,隨後我們進行了A輪投資,其中包括JVP和矽谷的壹些主要投資者,包括矽谷領先的網絡投資者之壹AllegisCyber。它還包括戴夫·德瓦爾特(DaveDeWalt)的私募股權基金夜龍(NightDragon)。這就是把McAfee賣給微軟的人,他發現了中國人對白宮的黑客攻擊,他是奧巴馬的網絡顧問。所以我們很幸運,他不僅是我們的投資者之壹,也是我們的顧問。我們有壹家名為GlobalBrain的日本風投公司,它是軟銀的子公司。
目前,該公司有33名員工,其中6名在美國,其余在以色列的2個辦公地點。
以下是源代碼防禦儀表板上的壹些屏幕截圖:
在為數字企業構建網絡安全戰略時,最基本的因素是什麽首先,現在很容易通過簡單地依賴大玩家來保護後端。這意味著,如果妳將服務托管在谷歌、亞馬遜、微軟等大型雲服務之壹上,妳已經落後於許多安全級別。您可以很容易地添加WAF供應商,只要您正確地執行架構,就可以了。盡管如此,許多組織未能做到的是確保有正確的程序來保證其產品和工作環境的安全,我認為這是當今破壞組織的最簡單方法之壹。顯然,看看我們的途徑,很多組織都沒有意識到,妳必須投入資源來保護客戶端正在發生的事情,因為到今天為止,客戶端是壹個100%不安全的環境。它完全超出了我們的安全範圍,現在是黑客的遊樂場。不要相信我的話,就拿賽門鐵克公司來說吧。賽門鐵克公司稱,截至2019年2月,這是網站的頭號網絡安全威脅。這是5年來第壹次有任何東西超越勒索軟件。
我們需要嘗試圍繞客戶端構建全球實踐和解決方案,因為這不會由您的雲供應商提供。在服務方面,每壹家不是大公司的公司今天都不應該投入任何資源來嘗試創建自己的服務和安全,因為他們不會有相同的預算。
如何平衡安全性和可用性之間不斷增長的沖突說實話,安全性達到了可用性。關鍵是找到正確的解決方案。尤其是當妳試圖縮小壹個很久以前就已經縮小的差距時,市場上會有很多參與者。我不壹定認為選擇最大的球員是最好的選擇。I將努力尋找最具創新性的供應商。Zoom是壹個很好的例子,它不具有安全性,但在可用性方面是絕對的。如果妳看看網絡會議,最大的參與者是思科WebX等等。Zoom是GoToMeeting開發團隊創立的壹家小型新公司,他們說,我們可以做得更好。就可用性而言,它們確實要好得多。
最後,確保您選擇了正確的平臺,並且這些平臺可以在您的工作流程中很好地相互集成。我建議妳去外部咨詢壹位專家,該專家將分析妳的工作流程和需求,並為妳定制所需的工具。不要試圖讓妳的工作環境向妳正在使用的工具傾斜。
在選擇與哪些第三方平臺合作時,組織應該註意哪些安全重點這是壹個有趣的問題。壹方面,妳會認為公司越小,風險就越大,這是有道理的,因為他們沒有安全預算。但如果妳看看過去兩年的攻擊,很多被攻擊的公司實際上都是相當大的公司。公司越大,對攻擊者越有吸引力。當妳攻擊第三方工具時,妳會攻擊他們的所有客戶,所以他們越大,他們為妳賺的錢就越多。因為這些攻擊很難找到,所以很可能會選擇並部署壹個兩年前被黑客攻擊的工具,但他們仍然不知道。如果妳看看TicketmasterUK上的黑客,那是在2018年6月發現的。他們查閱了自己的歷史後發現,同樣的威脅在被發現之前已經存在了三年,這是世界上五大聊天供應商之壹。
所以我認為沒有辦法說,我會選擇這個產品,因為它更安全。如果可以在本地托管第三方,顯然會更安全,但大多數工具和服務不會這樣工作。即使您在本地托管,您也無法知道本地部署是否受到影響,因為這些JS很難檢測到。最好的方法是結合幾種不同的解決方案。有壹些開源解決方案可以通過內容安全策略和完整性策略來保護瀏覽器的安全。如果您負擔不起構建自己的工具,請嘗試將這些解決方案中的壹些組合在壹起,但請記住其中壹些很難管理。完美的解決方案總是多種技術的結合。2019冠狀病毒疾病對您的企業和行業有何影響仍然很難說。我的假設是,2019冠狀病毒疾病不會產生什麽負面影響,甚至可能產生積極影響,因為我預計未來12個月將非常關註電子商務,這意味著網絡安全將成為各組織更優先考慮的問題。在壹個沒有太多競爭的領域,源頭防守仍然是頂級球員。就連我們的競爭對手都在使用現有的強制解決方案,我們擁有專利技術。我希望能產生很好的影響。盡管如此,我們非常關註大型企業。我們的大多數客戶都是財富500強或更高級別的公司。所以他們需要壹段時間來改變他們的註意力。我們是幸運兒之壹。
妳對未來10年的網站安全有何展望我想我們會有更多的競爭。我假設所有商業網站都至少有壹個客戶端保護措施。我敢肯定,這將成為任何PCI合規性的標準要求,可能也是大多數隱私合規性法規的標準要求。從服務器上竊取的任何東西都可以從客戶端竊取。負責監管的機構和網站所有者都已經意識到了這壹點,他們只是需要壹段時間才能行動。PCI已經就第三方JS對供應商、開源代碼、庫等帶來的風險發出了警告。這只是壹個時間問題之前,這是確定的。所以總的來說,我很確定這個行業在任何交易性網站上的花費都會非常高。