SourceDefense使用實時沙盒隔離技術來防止網站供應鏈供應商的惡意活動。鑒於2019冠狀病毒疫情向遠程辦公的巨大轉變,我向聯合創始人兼副總裁AvitalGrushcovski請教如何加強防禦,確保在線運營的安全。
請描述壹下源代碼防禦背後的故事及其至今的演變。SourceDefense是近兩年成立的為數不多的真正創造了壹個全新市場,解決了以前從未解決過的問題的公司。它是由我最好的朋友,我自己和我們從壹家公司認識的壹個熟人創辦的。
在我們的職業生涯中,遇到過很多關於第三方腳本的問題。我在以色列壹家叫Walla的廣告技術公司做了5年的產品經理,負責在網站上部署新產品。所以我有跟第三方廠商和第三方Javascript打交道的經驗。我們了解到,許多問題都來自這個特定的載體。
我們做了大量的研究,發現沒有人成功,甚至沒有人試圖解決商業上管理第三方接入的問題。我們發現壹些開源項目試圖解決這個問題,但他們幾乎沒有成功。我們決定找出壹種方法,然後我的合作夥伴想出了壹個絕妙的主意,將訪問策略應用於web瀏覽器上的JS。這聽起來很簡單,因為我們的手機上已經有了,但妳在網上永遠做不到。
我們開發了壹個專利引擎,可以讓妳非常簡單地說出哪個第三方供應商有權讀取或寫入頁面。例如,聊天提供商可以讀取頁面,但不能讀取信用卡信息、用戶名和密碼。基本上,特定的訪問策略是為頁面上運行的每個供應商定制的。
當時甚至沒有人知道這個問題的存在,這實際上壹開始就造成了融資的困難,因為我們要讓投資者相信這個問題確實存在。四年前,如果妳找投資人,說只有我壹個人做,答案要麽是妳做不了,要麽是妳沒錢,因為妳做不了第壹個。我們是創造這個市場的第壹批人。我們成功申請了壹種能提供實時預防的引擎的專利。我們唯壹的另壹個半競爭對手是壹家公司,它試圖通過找到漏洞並提醒他們註意問題來掃描網站。
今天,我們處在壹個非常不同的地方。我們從JVP籌集了種子資金,然後我們進行了壹輪投資,包括JVP和矽谷的壹些主要投資者,包括矽谷領先的在線投資者之壹AllegisCyber。還包括DaveDeWalt的私募基金NightDragon。這就是把邁克菲賣給微軟的人。他發現了中國對白宮的黑客攻擊。他是奧巴馬的互聯網顧問。所以我們很幸運,他不僅是我們的投資人之壹,還是我們的顧問。我們有壹家日本風險投資公司叫GlobalBrain,是軟銀的子公司。
目前,該公司有33名員工,其中6名在美國,其余在以色列的兩個辦公室。
以下是源代碼防禦儀表板的壹些截圖:
為數字企業構建網絡安全策略時,最基本的因素是什麽?首先,單純依靠大玩家很容易保護後端。這意味著,如果妳將妳的服務托管在谷歌、亞馬遜和微軟等大型雲服務上,妳已經落後了許多安全級別。妳可以很容易地添加WAF供應商,只要妳正確地執行架構。然而,許多組織未能確保有正確的程序來確保其產品和工作環境的安全。我認為這是當今最容易摧毀組織的方式之壹。顯然,看著我們的方法,許多組織沒有意識到,妳必須投入資源來保護客戶端上發生的事情,因為到今天為止,客戶端是壹個100%不安全的環境。完全超出了我們的安全範圍,現在成了黑客的遊樂場。不信,就拿賽門鐵克來說。賽門鐵克稱,截至2019年2月,這是網站的頭號網絡安全威脅。這是五年來第壹次有東西超過勒索軟件。
我們需要嘗試圍繞客戶構建全球實踐和解決方案,因為這不是您的雲提供商所能提供的。在服務方面,每壹個不是大公司的公司都不應該投入任何資源來試圖創建自己今天的服務和安全,因為他們不會有相同的預算。
如何平衡安全性和可用性之間日益加劇的沖突?說實話,安全性已經達到了可用性。關鍵是要找到正確的解決方法。特別是當妳試圖縮小壹個很久以前就已經縮小的差距時,市場上會有很多參與者。我不壹定認為選擇最大的玩家就是最好的選擇。我會努力尋找最具創新性的供應商。Zoom就是壹個很好的例子。它不安全,但絕對可用。如果妳看看在線會議,最大的參與者是思科WebX等。Zoom是壹家由GoToMeeting開發團隊創立的小型新公司。他們說,我們可以做得更好。就可用性而言,它們真的好很多。
最後,確保您選擇了正確的平臺,並且這些平臺可以在您的工作流程中很好地相互集成。建議妳咨詢外面的專家,他們會分析妳的工作流程和需求,定制妳需要的工具。不要試圖讓妳的工作環境向妳正在使用的工具傾斜。
在選擇與哪些第三方平臺合作時,機構應該註意哪些安全點是壹個有趣的問題。壹方面,妳會認為公司越小,風險越大,這是有道理的,因為他們沒有安全預算。但是如果妳看看這兩年的攻擊,很多被攻擊的公司其實都是相當大的公司。公司越大,對攻擊者越有吸引力。當妳攻擊第三方工具時,妳會攻擊他們所有的客戶,所以他們越大,他們為妳賺的錢就越多。因為這些攻擊很難被發現,他們很可能選擇並部署了壹個兩年前被黑的工具,但他們仍然不知道。妳看看TicketmasterUK上的黑客,是2065438+2008年6月發現的。在查閱了他們自己的歷史之後,他們發現同樣的威脅在被發現之前已經存在了三年,這是世界上五大聊天提供商之壹。
所以我覺得沒有辦法說我會選擇這個產品,因為它更安全。如果可以在本地托管第三方,顯然會更安全,但大多數工具和服務不會這樣工作。即使在本地托管,也無法知道本地部署是否受到影響,因為這些js很難檢測到。最好的方法是結合幾種不同的解決方案。有壹些開源解決方案可以通過內容安全策略和完整性策略來保護瀏覽器的安全。如果您沒有能力構建自己的工具,請嘗試結合使用這些解決方案,但是請記住,其中壹些很難管理。完美的解決方案總是多種技術的結合。2019冠狀病毒病會對妳的企業和行業產生什麽影響,現在還不好說。我的假設是2019冠狀病毒病不會有任何負面影響,甚至可能有正面影響,因為我預測在未來的12個月內,電子商務會受到極大的重視,這意味著網絡安全將成為組織更優先考慮的問題。在壹個競爭不太激烈的領域,源防依然是頂尖高手。甚至我們的競爭對手也在使用現有的強制性解決方案,而我們擁有專利技術。希望會有好的影響。不過,我們非常關註大企業。我們的大多數客戶都是財富500強或更高的公司。所以他們需要壹些時間來改變註意力。我們是幸運者之壹。
妳對未來10年的網站安全有什麽展望?我認為我們將會有更多的競爭。我假設所有的商業網站都至少有壹種客戶保護措施。我相信這將是任何PCI合規性的標準要求,也可能是大多數隱私合規性法規的標準要求。從服務器上偷走的任何東西都可以從客戶機上偷走。監管機構和網站所有者已經意識到這壹點,他們只是需要壹些時間來采取行動。PCI已經警告了第三方JS對廠商、開源代碼、庫等的風險。這只是時間問題。所以總的來說,我相信這個行業會花很多錢在任何交易型網站上。