每个商业网站都包含数十个第三方集成,帮助其发展并最大限度地发挥业务潜力。不幸的是,这些第三方引入了一个客户端漏洞,使网站暴露在外。
Source Defense使用实时沙箱隔离技术,防止来自网站供应链供应商的恶意活动。鉴于2019冠状病毒疾病疫情下向远程工作的重大转变,我向联合创始人兼副总裁Avital Grushcovski咨询了有关组织如何加强防御和确保在线运营安全的建议。
请描述源代码防御背后的故事及其迄今为止的演变
Source Defense是过去两年中成立的少数几家真正创造了全新市场并解决了以前从未解决过的问题的公司之一。它是由我最好的朋友、我自己和一位我们从一家公司认识的共同熟人创建的。
在我们的职业生涯中,我们遇到了很多关于第三方脚本的问题。我在以色列一家名为Walla的广告技术公司担任了5年的产品经理,负责在网站上部署新产品。所以我有与第三方供应商和第三方Javascript打交道的经验。我们已经了解到,很多问题都来自于这个特定的载体。
我们做了大量研究,发现没有人成功地,甚至没有人试图从商业上解决管理第三方访问的问题。我们发现了一些开源项目试图解决这个问题,但几乎没有成功。我们决定想出一个办法,然后我的合作伙伴想出了一个绝妙的主意,将访问策略应用到web浏览器上的JS。这听起来很简单,因为我们的手机上已经有了它,但你永远无法在网络上做到这一点。
我们开发了一个获得专利的引擎,允许您非常简单地说哪家第三方供应商有权读取或写入页面。例如,聊天供应商可能能够读取页面,但无法读取信用卡信息、用户名和密码。基本上是为页面上运行的每个供应商定制特定的访问策略。
当时,甚至没有人知道这个问题的存在,这实际上使得最初筹集资金变得困难,因为我们必须让投资者相信这个问题确实存在。四年前,如果你在寻找投资者,并说我是唯一一个这样做的人,答案要么是做不到,要么是没有钱,因为你不可能是第一个。我们是第一个创造这个市场的人。我们设法为一种提供实时预防的引擎申请了专利。我们唯一的另一个半竞争对手是一家试图通过发现漏洞并提醒他们有问题来扫描网站的公司。
今天,我们处在一个非常不同的地方。我们从JVP那里筹集了种子资金,随后我们进行了A轮投资,其中包括JVP和硅谷的一些主要投资者,包括硅谷领先的网络投资者之一AllegisCyber。它还包括戴夫·德瓦尔特(Dave DeWalt)的私募股权基金夜龙(Night Dragon)。这就是把McAfee卖给微软的人,他发现了中国人对白宫的黑客攻击,他是奥巴马的网络顾问。所以我们很幸运,他不仅是我们的投资者之一,也是我们的顾问。我们有一家名为Global Brain的日本风投公司,它是软银的子公司。
目前,该公司有33名员工,其中6名在美国,其余在以色列的2个办公地点。
以下是源代码防御仪表板上的一些屏幕截图:
在为数字企业构建网络安全战略时,最基本的因素是什么
首先,现在很容易通过简单地依赖大玩家来保护后端。这意味着,如果你将服务托管在谷歌、亚马逊、微软等大型云服务之一上,你已经落后于许多安全级别。您可以很容易地添加WAF供应商,只要您正确地执行架构,就可以了。尽管如此,许多组织未能做到的是确保有正确的程序来保证其产品和工作环境的安全,我认为这是当今破坏组织的最简单方法之一。显然,看看我们的途径,很多组织都没有意识到,你必须投入资源来保护客户端正在发生的事情,因为到今天为止,客户端是一个100%不安全的环境。它完全超出了我们的安全范围,现在是黑客的游乐场。不要相信我的话,就拿赛门铁克公司来说吧。赛门铁克公司称,截至2019年2月,这是网站的头号网络安全威胁。这是5年来第一次有任何东西超越勒索软件。
我们需要尝试围绕客户端构建全球实践和解决方案,因为这不会由您的云供应商提供。在服务方面,每一家不是大公司的公司今天都不应该投入任何资源来尝试创建自己的服务和安全,因为他们不会有相同的预算。
如何平衡安全性和可用性之间不断增长的冲突</说实话,安全性达到了可用性。关键是找到正确的解决方案。尤其是当你试图缩小一个很久以前就已经缩小的差距时,市场上会有很多参与者。我不一定认为选择最大的球员是最好的选择。
I将努力寻找最具创新性的供应商。Zoom是一个很好的例子,它不具有安全性,但在可用性方面是绝对的。如果你看看网络会议,最大的参与者是思科WebX等等。Zoom是GoToMeeting开发团队创立的一家小型新公司,他们说,我们可以做得更好。就可用性而言,它们确实要好得多。
最后,确保您选择了正确的平台,并且这些平台可以在您的工作流程中很好地相互集成。我建议你去外部咨询一位专家,该专家将分析你的工作流程和需求,并为你定制所需的工具。不要试图让你的工作环境向你正在使用的工具倾斜。
在选择与哪些第三方平台合作时,组织应该注意哪些安全重点</这是一个有趣的问题。一方面,你会认为公司越小,风险就越大,这是有道理的,因为他们没有安全预算。但如果你看看过去两年的攻击,很多被攻击的公司实际上都是相当大的公司。公司越大,对攻击者越有吸引力。当你攻击第三方工具时,你会攻击他们的所有客户,所以他们越大,他们为你赚的钱就越多。
因为这些攻击很难找到,所以很可能会选择并部署一个两年前被黑客攻击的工具,但他们仍然不知道。如果你看看Ticketmaster UK上的黑客,那是在2018年6月发现的。他们查阅了自己的历史后发现,同样的威胁在被发现之前已经存在了三年,这是世界上五大聊天供应商之一。
所以我认为没有办法说,我会选择这个产品,因为它更安全。如果可以在本地托管第三方,显然会更安全,但大多数工具和服务不会这样工作。即使您在本地托管,您也无法知道本地部署是否受到影响,因为这些JS很难检测到。最好的方法是结合几种不同的解决方案。有一些开源解决方案可以通过内容安全策略和完整性策略来保护浏览器的安全。如果您负担不起构建自己的工具,请尝试将这些解决方案中的一些组合在一起,但请记住其中一些很难管理。完美的解决方案总是多种技术的结合。2019冠状病毒疾病对您的企业和行业有何影响</仍然很难说。我的假设是,2019冠状病毒疾病不会产生什么负面影响,甚至可能产生积极影响,因为我预计未来12个月将非常关注电子商务,这意味着网络安全将成为各组织更优先考虑的问题。在一个没有太多竞争的领域,源头防守仍然是顶级球员。就连我们的竞争对手都在使用现有的强制解决方案,我们拥有专利技术。我希望能产生很好的影响。尽管如此,我们非常关注大型企业。我们的大多数客户都是财富500强或更高级别的公司。所以他们需要一段时间来改变他们的注意力。我们是幸运儿之一。
你对未来10年的网站安全有何展望</我想我们会有更多的竞争。我假设所有商业网站都至少有一个客户端保护措施。我敢肯定,这将成为任何PCI合规性的标准要求,可能也是大多数隐私合规性法规的标准要求。
从服务器上窃取的任何东西都可以从客户端窃取。负责监管的机构和网站所有者都已经意识到了这一点,他们只是需要一段时间才能行动。PCI已经就第三方JS对供应商、开源代码、库等带来的风险发出了警告。这只是一个时间问题之前,这是确定的。所以总的来说,我很确定这个行业在任何交易性网站上的花费都会非常高。