Skripti tretjih oseb tvegajo vaše spletno delovanje, pojasnjuje so-ustanovitelj virov

Vsako komercialno spletno mesto vključuje na desetine integracij drugih proizvajalcev, ki mu pomagajo rasti in povečati svoj poslovni potencial. Na žalost te tretje osebe uvajajo ranljivost na strani odjemalca, zaradi katere so spletna mesta izpostavljena.


Vir Obramba uporablja tehnologijo izolacije v peskovniku v realnem času, ki preprečuje zlonamerne dejavnosti, ki izvirajo od dobaviteljev dobavne verige na spletnih straneh. Glede na velik premik k delu na daljavo v okviru pandemije COVID-19, sem prosil soustanovitelja in podpredsednika PS Avitala Grushcovskega za nasvet, kako organizacije lahko poostrijo svoje obrambe in ohranijo svoje spletno delovanje varno.

Opišite zgodbo o izvoru obrambe in dosedanji razvoj.

Source Defense je eno redkih podjetij, ustanovljenih v zadnjih dveh letih, ki je ustvarilo povsem nov trg in obravnavalo težavo, ki je še nikoli niso obravnavali. Ustanovil ga je moj najboljši prijatelj, jaz in vzajemno poznanstvo, ki smo ga poznali iz podjetja, v katerem smo delali.

Skozi svoje poklicno življenje smo se srečevali s številnimi težavami s tretjimi skripti. 5 let sem bil vodja izdelkov za ad-tech podjetje z imenom Walla, tukaj v Izraelu, in sem bil zadolžen za uvajanje novih izdelkov na spletno mesto. Tako sem imel izkušnje s tretjimi prodajalci in tretjim Javascript. Izvedeli smo, da veliko težav izvira iz tega specifičnega vektorja. 

Opravili smo veliko raziskav in ugotovili, da nihče ni uspel ali celo poskušal komercialno rešiti problema urejanja dostopa do tretjih oseb. Našli smo nekaj odprtokodnih projektov, ki so se poskušali spoprijeti s tem, vendar skoraj brez uspeha. Odločili smo se, da bomo izbrali način, kako to storiti, nato pa se je moj partner predstavil z briljantno idejo o uporabi pravil o dostopu do JS v spletnem brskalniku. Sliši se zelo preprosto, ker ga že imamo na naših mobilnih telefonih, vendar tega v spletu nikoli niste mogli storiti. 

Razvili smo patentiran motor, ki vam omogoča, da preprosto preprosto poveste, kdo od drugih proizvajalcev ima privilegije za branje strani ali pisanje nanjo. Na primer, lahko prodajalec klepeta prebere stran, vendar ne more brati podatkov o kreditni kartici, uporabniških imen in gesel. V bistvu prilagodite posebne pravilnike o dostopu vsakemu od ponudnikov, ki se prikazujejo na vaših straneh. 

Takrat nihče ni vedel, da ta problem sploh ne obstaja, kar je sprva otežilo zbiranje denarja, saj smo morali vlagatelje prepričati, da težava dejansko obstaja. Pred štirimi leti ste iskali vlagatelje in rekli, da sem edini, ki bi to storil, bodisi bi bil odgovor, da tega ni mogoče storiti, ali pa denarja v njem ni, ker niste tako, da ste prvi. 

In prvi smo ustvarili ta trg. Uspeli smo patentirati motor, ki omogoča sprotno preprečevanje. Naše edino drugo tekmovalko je bilo podjetje, ki je poskušalo skenirati spletna mesta z iskanjem ranljivosti in opozorilo, da imajo težave. 

Danes smo na zelo drugačnem mestu. Zbrali smo semenski denar iz JVP in sledili smo, da smo imeli svoj krog A, ki je vključeval JVP in nekaj večjih vlagateljev iz Silicijeve doline, vključno z AllegisCyber, ki je eden vodilnih vlagateljev kibernetskih vlaganj v Silicijevi dolini. Vključeval je tudi Night Dragon, sklad zasebnega kapitala Davea DeWalta. To je človek, ki je McAfee prodal Microsoftu, ki so ga Kitajci našli v kraji v Beli hiši in je bil Obamin svetovalnik za kibernetske storitve. Tako smo imeli srečo, da smo ga imeli ne le kot enega od naših investitorjev, ampak tudi kot svetovalca. Imamo japonski VC, imenovan Global Brain, ki je podružnica Softbank.

Trenutno podjetje obsega 33 zaposlenih, od tega 6 v ZDA, preostali pa so na dveh pisarnah v Izraelu. 

Spodaj je nekaj posnetkov zaslona z nadzorne plošče Source Defense:

Skripti tretjih oseb tvegajo vaše spletno delovanje, pojasnjuje so-ustanovitelj virov Skripti tretjih oseb tvegajo vaše spletno delovanje, pojasnjuje so-ustanovitelj virov Skripti tretjih oseb tvegajo vaše spletno delovanje, pojasnjuje so-ustanovitelj virov

Kateri so najbolj temeljni dejavniki, ki jih je treba upoštevati pri oblikovanju strategije kibernetske varnosti za digitalno podjetje?

Prvič, danes je zelo enostavno zaščititi svoj backkend tako, da se preprosto zanesete na velike igralce. To pomeni, da če gostite svoje storitve v eni od velikih storitev v oblaku, kot so Google, Amazon, Microsoft in podobno, že zaostajate za številnimi stopnjami varnosti. Lahko dodate prodajalca WAF in dokler pravilno delate svojo arhitekturo, boste v redu. 

Glede na to, da številne organizacije niso storile, je, da poskrbijo za pravilne postopke, ki bodo ohranili varno njihovo proizvodno in delovno okolje, in mislim, da je to eden od najlažjih načinov, kako danes prekršiti organizacijo. Očitno je, da ob pogledu na našo pot veliko organizacij ni ugotovilo, da morate vložiti sredstva za zagotavljanje tega, kar se dogaja na strani odjemalca, ker je danes stranka 100-odstotno nezavarovano okolje. To je povsem zunaj našega varnostnega območja in je danes hekersko igrišče. Ne verjemite moji besedi, vzemite Symantec-jevega, ki je to februarja 2019 poimenoval kot grožnjo kibernetske varnosti za spletna mesta. To je bilo prvič, kar je preseglo ransomware v 5 letih. 

Poskusiti moramo zgraditi globalne prakse in rešitve na strani odjemalca, ker tega ne bo zagotovil vaš prodajalec v oblaku. 

Vsako podjetje, ki ni velika korporacija, ne bi smelo danes vložiti nobenih sredstev v poskuse ustvarjanja lastnih storitev in lastne varnosti, saj preprosto ne bodo imeli enakih proračunov.

Kako uravnotežite vedno večji konflikt med varnostjo in uporabnostjo?

Iskreno, varnost je dosegla uporabnost. Ključno je, da se zmeša prava rešitev. Še posebej, ko poskušate zapreti vrzel, ki je bila že dolgo zaprta, boste imeli na trgu veliko igralcev. Ne bi nujno rekel, da je igranje za največjega igralca najboljša možnost. 

Poskušal bi poiskati najbolj inovativnega prodajalca. Zoom je dober primer, ne za varnost, ampak vsekakor z vidika uporabnosti. Če pogledate spletne konference, so bili največji igralci GoToMeeting Cisco WebX in tako naprej. Zoom je bilo majhno novo podjetje, ki je izšlo iz razvojne ekipe GoToMeeting, ki je reklo, da lahko to naredimo bolje. Kar se tiče uporabnosti, so res veliko boljši. 

Na koncu se prepričajte, da ste izbrali prave platforme in da se lahko te platforme dobro integrirajo med seboj v vašem delovnem procesu. Svetujem vam, da greste zunaj in se posvetujete s strokovnjakom, ki bo analiziral vaše delovne procese in zahteve ter prilagodil orodja, ki jih potrebujete za vas. Ne poskušajte svoje delovno okolje usmeriti v orodja, ki jih uporabljate. 

Pri nekaterih organizacijah za varnostne kontaktne točke morate biti pozorni pri izbiri platforme tretjih oseb, s katerimi boste sodelovali?

To je zanimivo vprašanje. Po eni strani bi pričakovali, da bo manjše podjetje več tveganja, ki ga bo uvedlo, kar je smiselno, ker nimajo varnostnega proračuna. 

Toda če pogledate napade v zadnjih 2 letih, je bilo veliko tistih napadlih podjetij pravzaprav dokaj velika podjetja. Večja kot je družba, bolj je privlačna za napadalca. Ko napadate orodje tretje osebe, napadate vse njihove stranke, zato večji ko so več denarja za vas. 

Ker je te napade zelo težko najti, je velika verjetnost, da izberejo in uporabijo orodje, ki je bilo vloženi pred dvema letoma in tega še vedno ne poznajo. Če pogledate kramp na Ticketmaster UK, je bil ta kramp odkrit junija 2018. Ko so pregledali svojo zgodovino, so ugotovili, da je bila enaka grožnja aktivna 3 leta, preden so jo odkrili, in to je bil eden izmed prvih petih klepetov prodajalci na svetu. 

Zato mislim, da ni načina, kako reči, da bom izbral ta izdelek, ker je bolj varen. Očitno je bolj varno, če lahko gostite tretjo osebo lokalno, vendar večina orodij in storitev ne bo delovala tako. Tudi če gostujete lokalno, ne veste, ali je bila lokalna namestitev ogrožena, ker jih je JS zelo težko zaznati.

Najboljši pristop je kombiniranje nekaj različnih rešitev. Obstajajo odprtokodne rešitve, ki pomagajo zavarovati vaš brskalnik s politikami varnosti vsebine in pravilniki integritete. Če si ne morete privoščiti izdelave lastnega orodja, poskusite združiti nekatere od teh rešitev skupaj, vendar ne pozabite, da jih je nekaj težko upravljati. Odlična rešitev bo vedno kombinacija več tehnologij. 

Kako je COVID-19 vplival na vaše podjetje in industrijo?

Še vedno je težko reči. Moja domneva je, da bo imel COVID-19 le malo ali nič negativnega učinka in morda celo pozitiven učinek, saj pričakujem, da bo naslednjih 12 mesecev zelo osredotočeno na e-trgovino, kar pomeni, da bo spletna varnost za organizacije bolj pomembna. Source Defense je še vedno najboljši igralec na območju, kjer ni veliko konkurence. Tudi pri konkurenci, ki jo imamo, vsi uporabljamo obstoječe, prisilne rešitve in imamo patentirano tehnologijo. Pričakujem, da bo to zelo dobro vplivalo. Glede na to smo zelo osredotočeni na velika podjetja. Večina naših strank je bogatih 500 podjetij ali več. Zato jim traja nekaj časa, da spremenijo svojo pozornost. Smo eden srečnežev. 

Kako predvidevate naslednjih 10 let varnosti spletnega mesta?

Predvidevam, da bomo imeli veliko več konkurence. Predvidevam, da bodo imela vsa spletna mesta za trgovanje vsaj eno meritev zaščite na strani odjemalca. Prepričan sem, da bo to standardna zahteva za skladnost s PCI in verjetno večina predpisov o skladnosti z zasebnostjo. 

Vse, kar lahko ukradete s strežnika, lahko ukradete od odjemalca. Organizacije, pristojne za predpise, in lastniki spletnih strani so to že ugotovili, za njihovo premikanje je potrebno še nekaj časa. PCI je že izdal opozorilo o tveganjih, ki jih tretji JS nalaga za prodajalce, odprtokodne kode, knjižnice ipd. Prej je le vprašanje časa, preden se ugotovi, Na splošno sem prepričan, da se bo ta panoga zelo dobro porabila na katerem koli transakcijskem spletnem mestu. 

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map