Сторонні скрипти ризикують Ваші Інтернет-операції, пояснює співзасновник джерела захисту

Кожен комерційний веб-сайт включає десятки сторонніх інтеграцій, які допомагають йому рости та максимізувати свій діловий потенціал. На жаль, ці сторонні компанії вводять вразливість на стороні клієнта, яка залишає веб-сайти відкритими.


Джерело оборони використовує технологію ізоляції пісочниці в режимі реального часу, яка запобігає зловмисній діяльності, що походить від постачальників ланцюгів постачань веб-сайтів. У світлі серйозних зрушень у напрямку віддаленої роботи в умовах пандемії COVID-19 я попросив співзасновника та В.П.П. Авітала Грушковського про його пораду щодо того, як організації можуть посилити свою оборону та забезпечити безпеку роботи в Інтернеті..

Опишіть, будь ласка, історію, що стоїть за джерелом оборони та її розвиток досі.

Source Defense – одна з небагатьох компаній, утворених за останні 2 роки, яка фактично створила абсолютно новий ринок і вирішила проблему, яку раніше ніколи не вирішували. Він був заснований моїм найкращим другом, і я знайомий із компанією, в якій ми працювали.

Протягом нашого професійного життя ми стикалися з багатьма проблемами із сторонніми сценаріями. Я провів 5 років як менеджер із продуктів для рекламної компанії під назвою Walla, тут, в Ізраїлі, і відповідав за розміщення нових продуктів на веб-сайті. Тому я мав досвід роботи з сторонніми постачальниками та сторонніми Javascript. Ми дізналися, що багато проблем виникає саме з цього конкретного вектора. 

Ми провели багато досліджень і виявили, що ніхто не встиг або навіть намагався комерційно вирішити проблему управління стороннім доступом. Ми знайшли кілька проектів з відкритим кодом, які намагалися вирішити це, але майже не мали успіху. Ми вирішили вирішити спосіб зробити це, і тоді мій партнер вийшов із блискучою ідеєю застосувати політику доступу до JS у веб-браузері. Це звучить дуже просто, тому що у нас це вже є на наших мобільних телефонах, але ви ніколи не могли це зробити в Інтернеті. 

Ми розробили запатентовану систему, яка дозволяє дуже просто сказати, хто з сторонніх постачальників має привілеї читати сторінку чи писати на ній. Наприклад, постачальник чату може прочитати сторінку, але він не може читати інформацію про кредитні картки, імена користувачів та паролі. В основному налаштування конкретних політик доступу для кожного постачальника, який працює на ваших сторінках. 

У той час ніхто не знав, що ця проблема навіть не існує, що фактично ускладнювало збір грошей спочатку, адже нам довелося переконати інвесторів, що проблема насправді існує. Чотири роки тому, якщо ви шукали інвесторів і казали, що я єдиний, хто це робить, відповідь буде: це не можна зробити, або в ньому немає грошей, тому що ви не можете бути першими. 

І ми першими створили цей ринок. Нам вдалося запатентувати двигун, який забезпечує запобігання в режимі реального часу. Нашим єдиним напівконкурентом була компанія, яка намагалася сканувати веб-сайти, виявляючи вразливості та попереджуючи їх про наявність проблеми. 

Сьогодні ми в зовсім іншому місці. Ми зібрали наші насінні гроші з JVP, і після цього ми провели наш тур, який включав JVP та деяких великих інвесторів з Кремнієвої долини, включаючи AllegisCyber, який є одним з провідних інвесторів в кібер-галузі в Силіконовій долині. Він також включав Night Dragon, фонд приватного капіталу Dave DeWalt. Це чоловік, який продав McAfee корпорації Microsoft, який виявив руйнування в Білому домі китайцями, і був радником з кіберзахисту Обами. Тож нам пощастило мати його не лише як одного з наших інвесторів, але і як радника. У нас є японська ВК під назвою Global Brain, яка є дочірньою компанією Softbank.

Наразі компанія складається з 33 співробітників, 6 з них – у США, а решта – у двох офісних місцях тут, в Ізраїлі. 

Нижче наведено кілька скріншотів з інформаційної панелі Source Defense:

Сторонні скрипти ризикують Ваші Інтернет-операції, пояснює співзасновник джерела захисту Сторонні скрипти ризикують Ваші Інтернет-операції, пояснює співзасновник джерела захисту Сторонні скрипти ризикують Ваші Інтернет-операції, пояснює співзасновник джерела захисту

Які основні фактори слід враховувати при розробці стратегії кібербезпеки цифрового бізнесу?

По-перше, сьогодні дуже просто захистити свій бекенд, просто покладаючись на великих гравців. Це означає, що якщо ви розміщуєте свої послуги на одному з великих хмарних сервісів, таких як Google, Amazon, Microsoft тощо, ви вже відстаєте від багатьох рівнів безпеки. Ви можете легко додати постачальника WAF, і якщо ви правильно зробите свою архітектуру, ви будете добре. 

Зважаючи на це, те, що багато організацій не вдалося зробити, – це забезпечити правильні процедури, що забезпечуватимуть безпеку їхніх продуктів та робочого середовища, і я думаю, що це один із найпростіших способів порушити організацію сьогодні. Очевидно, дивлячись на наш проспект, те, чого багато організацій не усвідомили, – це те, що потрібно задіяти ресурси для забезпечення того, що відбувається на стороні клієнта, оскільки клієнт, на сьогодні, є 100% незабезпеченим середовищем. Це зовсім поза межами нашого периметра безпеки і сьогодні є майданчиком хакерів. Не сприймайте мого слова. Візьміть Symantec, який назвав це загрозою кібербезпеки номер один для веб-сайтів станом на лютий 2019 року. Це було вперше, що вийшло за рамки програм викупу за 5 років. 

Нам потрібно спробувати побудувати глобальну практику та рішення навколо клієнта, оскільки це не забезпечить ваш постачальник хмар.. 

Щодо сервісних послуг, кожна компанія, яка не є великою корпорацією, не повинна сьогодні вкладати жодних ресурсів у намагання створити власні сервіси та власну безпеку, оскільки вони просто не матимуть однакових бюджетів.

Як ви врівноважуєте постійно зростаючий конфлікт між безпекою та зручністю використання?

Чесно кажучи, безпека досягла зручності використання. Ключовим моментом є розмішання правильного рішення. Особливо, коли ви намагаєтеся закрити прогалину, яка була давно закрита, у вас буде багато гравців на ринку. Я б не обов’язково говорив, що найкращий вибір – найкращий гравець. 

Я б спробував шукати самого інноваційного продавця. Збільшення – це хороший приклад, не з точки зору безпеки, але, безумовно, з точки зору зручності використання. Якщо ви подивитесь на веб-конференції, то найбільшими гравцями були GoToMeeting Cisco WebX тощо. Zoom була невеликою новою компанією, яка вийшла з команди розробників GoToMeeting, яка сказала, що ми можемо це зробити краще. Що стосується зручності використання, вони дійсно набагато кращі. 

Нарешті, переконайтесь, що ви вибрали правильні платформи, і щоб ці платформи могли добре інтегруватися між собою у ваш робочий процес. Я б порадив вам зайти назовні і проконсультуватися з експертом, який проаналізує ваші робочі процеси та вимоги та налаштує необхідні для вас інструменти. Не намагайтеся прив’язувати своє робоче середовище до інструментів, які ви використовуєте. 

На які організаційні координатори безпеки слід звернути увагу, обираючи, з якими сторонніми платформами працювати?

Це цікаве питання. З одного боку, ви очікуєте, що чим менша компанія, тим більше ризиків вона вводить, що має сенс, оскільки у них немає бюджету на безпеку. 

Але якщо поглянути на напади за останні 2 роки, багато тих компаній, на яких напали, насправді були досить великими компаніями. Чим більше компанія, тим вона привабливіша для нападника. Коли ви нападаєте на сторонній інструмент, ви нападаєте на всіх їх клієнтів, тому чим більшими вони, тим більше грошей за вас заробляють. 

Оскільки ці атаки дуже важко знайти, дуже ймовірно вибрати та розгорнути інструмент, який був зламаний 2 роки тому, і вони досі цього не знають. Якщо ви подивитеся на хак на Ticketmaster UK, то цей хак був знайдений у червні 2018 року. Після перегляду їхньої історії вони дізналися, що така ж загроза діяла впродовж 3 років, перш ніж її було виявлено, і це був один із перших п’яти чатів постачальників у світі. 

Тому я не думаю, що є спосіб сказати, що я виберу цей товар, оскільки він більш безпечний. Це, очевидно, більш безпечно, якщо ви можете розмістити сторонніх організацій на місцях, але більшість інструментів і сервісів не працюватимуть так. Навіть якщо ви хостите локально, ви не можете дізнатися, чи було порушено локальне розгортання, оскільки їх JS дуже важко виявити.

Найкращий підхід – поєднання кількох різних рішень. Є рішення з відкритим кодом, які допомагають захистити ваш веб-переглядач політикою безпеки вмісту та політикою цілісності. Якщо ви не можете дозволити собі створити власний інструмент, спробуйте поєднати деякі з цих рішень разом, але пам’ятайте, що з ними дуже важко керувати. Ідеальним рішенням завжди буде поєднання декількох технологій. 

Як COVID-19 вплинув на ваш бізнес та галузь?

Це поки важко сказати. Моє припущення полягає в тому, що COVID-19 матиме мало негативного ефекту і, можливо, навіть позитивного ефекту, тому що я очікую, що наступні 12 місяців будуть дуже орієнтовані на електронну комерцію, тобто інтернет-безпека отримає більш високий пріоритет для організацій. Джерело Захист як і раніше є найкращим гравцем в області, де немає великої конкуренції. Навіть у конкурентній боротьбі ми використовуємо існуючі, примусові рішення, і ми запатентували технологію. Я очікую, що це матиме дуже хороший вплив. Коли ми говоримо, ми дуже зосереджені на великих підприємствах. Більшість наших клієнтів становлять 500 компаній або вище. Тому їм потрібно певний час, щоб змінити свою увагу. Ми один із щасливчиків. 

Як ви передбачаєте наступні 10 років безпеки веб-сайту?

Я припускаю, що у нас буде набагато більше конкуренції. Я припускаю, що всі комерційні веб-сайти матимуть принаймні одне вимірювання захисту на стороні клієнта. Я впевнений, що це буде стандартною вимогою будь-якого дотримання вимог PCI і, мабуть, більшості правил дотримання конфіденційності. 

Все, що ви можете вкрасти з сервера, ви можете викрасти у клієнта. Як організації, відповідальні за регулювання, так і власники веб-сайтів, це вже зрозуміли, для того, щоб перенести їх просто потрібно. PCI вже видав попередження про ризики, накладені стороннім JS для постачальників, коди з відкритим кодом, бібліотеки тощо. Це просто питання часу, перш ніж це буде встановлено. В цілому, я майже впевнений, що ця галузь буде розміщена дуже високо на витратах будь-якого трансакційного веб-сайту. 

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map