Código fuente del gran reproductor
SourceDefense utiliza tecnología de aislamiento de espacio aislado en tiempo real para evitar actividades maliciosas de los proveedores de la cadena de suministro de sitios web. A la luz del dramático cambio hacia el trabajo remoto debido a COVID-19, le pedí consejo al cofundador y vicepresidente Avital Grushcovski sobre cómo fortalecer sus defensas y garantizar la seguridad de sus operaciones en línea.
Describe la historia detrás de la defensa del código fuente y su evolución hasta el momento. SourceDefense es una de las pocas empresas fundadas en los últimos dos años que realmente ha creado un nuevo mercado y ha resuelto un problema que nunca antes se había resuelto. Lo iniciamos mi mejor amigo, yo y un conocido que conocimos de una empresa.
En nuestras carreras, nos hemos encontrado con muchos problemas con scripts de terceros. Pasé 5 años como gerente de producto en una empresa israelí de tecnología publicitaria llamada Walla, donde era responsable de implementar nuevos productos en el sitio web. Tengo experiencia tratando con proveedores externos y Javascript de terceros. Aprendimos que muchos de los problemas surgían de este vector en particular.
Investigamos mucho y descubrimos que nadie había logrado ni siquiera intentado resolver el problema de gestionar el acceso de terceros de forma comercial. Encontramos algunos proyectos de código abierto que intentaban resolver este problema, pero tuvieron poco éxito. Decidimos encontrar una manera y luego a mi socio se le ocurrió la brillante idea de aplicar políticas de acceso a JS en el navegador web. Suena simple porque ya lo tenemos en nuestros teléfonos, pero nunca lo harías en línea.
Hemos desarrollado un motor propietario que le permite saber de manera muy sencilla qué proveedor externo tiene permiso para leer o escribir en una página. Por ejemplo, el proveedor de chat puede leer la página, pero no la información de la tarjeta de crédito, los nombres de usuario ni las contraseñas. Básicamente, las políticas de acceso específicas se personalizan para cada proveedor que se ejecuta en la página.
En ese momento nadie sabía siquiera que existía este problema, lo que en realidad causó dificultades en la financiación desde el principio, porque tuvimos que convencer a los inversores de que este problema realmente existía. Hace cuatro años, si te acercabas a los inversores y decías que yo era el único que podía hacerlo, la respuesta era que no podías hacerlo o que no tenías el dinero porque no podías ser el primero. Somos los primeros en crear este mercado. Patentamos con éxito un motor que proporciona prevención en tiempo real. Nuestro único otro semicompetidor es una empresa que intenta escanear sitios web encontrando vulnerabilidades y alertándoles de problemas.
Hoy estamos en un lugar muy diferente. Recaudamos financiación inicial de JVP y luego hicimos una ronda de inversión que incluyó a JVP y algunos de los principales inversores de Silicon Valley, incluido AllegisCyber, uno de los principales inversores en línea de Silicon Valley. También se incluye el fondo de capital privado NightDragon de Dave DeWalt. Este es el tipo que vendió McAfee a Microsoft. Descubrió el hackeo chino de la Casa Blanca. Es el asesor de Internet de Obama. Así que tenemos suerte de que él no sea sólo uno de nuestros inversores, sino también nuestro asesor. Tenemos una empresa japonesa de capital riesgo llamada GlobalBrain, que es una filial de SoftBank.
Actualmente, la empresa cuenta con 33 empleados, seis de los cuales están en Estados Unidos y el resto en dos oficinas en Israel.
A continuación se muestran algunas capturas de pantalla del panel de Source Code Defense:
¿Cuáles son los factores más fundamentales a la hora de crear una estrategia de ciberseguridad para una empresa digital? En primer lugar, es fácil proteger el backend confiando únicamente en los grandes jugadores. Esto significa que si aloja sus servicios en grandes servicios en la nube como Google, Amazon y Microsoft, ya se estará quedando atrás en muchos niveles de seguridad. Puede agregar fácilmente un proveedor WAF siempre que implemente la arquitectura correctamente. Sin embargo, muchas organizaciones no se aseguran de contar con los procedimientos adecuados para garantizar la seguridad de sus productos y entornos de trabajo. Creo que esta es una de las formas más fáciles de destruir una organización hoy en día.
Obviamente, al observar nuestro enfoque, muchas organizaciones no se dan cuenta de que hay que dedicar recursos a proteger lo que sucede en el cliente, porque a día de hoy, el cliente es un entorno 100% inseguro. Completamente fuera de nuestro perímetro de seguridad y ahora un campo de juego para los piratas informáticos. Si no lo cree, opte por Symantec. Symantec dijo que era la amenaza de ciberseguridad número uno para los sitios web en febrero de 2019. Esta es la primera vez en cinco años que algo supera al ransomware.
Necesitamos intentar desarrollar prácticas y soluciones globales en torno al cliente porque eso no es lo que su proveedor de nube puede ofrecer. En lo que respecta al servicio, todas las empresas que no sean grandes no deberían dedicar ningún recurso a tratar de crear su propio servicio y seguridad hoy porque no tendrán el mismo presupuesto.
¿Cómo equilibrar el creciente conflicto entre seguridad y disponibilidad? Seamos honestos, la seguridad ha alcanzado la usabilidad. La clave es encontrar la solución adecuada. Especialmente cuando se intenta cerrar una brecha que se cerró hace mucho tiempo, hay muchos jugadores en el mercado. No creo necesariamente que elegir al jugador más importante sea la mejor opción. Me esfuerzo por encontrar los proveedores más innovadores. Zoom es un gran ejemplo. No es seguro, pero definitivamente se puede utilizar. Si nos fijamos en las conferencias en línea, los actores más importantes son Cisco WebX y otros. Zoom es una pequeña empresa nueva fundada por el equipo de desarrollo de GoToMeeting. Podemos hacerlo mejor, dicen. En cuanto a usabilidad, son mucho mejores.
Por último, asegúrate de elegir las plataformas adecuadas y de que se integren bien entre sí en tu flujo de trabajo. Se recomienda que consulte a expertos externos, quienes analizarán su flujo de trabajo y sus necesidades y personalizarán las herramientas que necesita. No intente inclinar su entorno de trabajo hacia las herramientas que está utilizando.
A la hora de elegir con qué plataformas de terceros trabajar, resulta interesante preguntarse qué puntos de seguridad deben tener en cuenta las instituciones. Por un lado, se podría pensar que cuanto más pequeña es la empresa, mayor es el riesgo, lo cual tiene sentido porque no tienen presupuesto para seguridad. Pero si nos fijamos en los ataques de los últimos dos años, muchas de las empresas atacadas eran en realidad empresas bastante grandes. Cuanto más grande es la empresa, más atractiva resulta para los atacantes. Cuando atacas una herramienta de terceros, atacas a todos sus clientes, por lo que cuanto más grandes sean, más dinero ganarán para ti. Debido a que estos ataques son difíciles de detectar, es probable que eligieran e implementaran una herramienta que fue pirateada hace dos años y todavía no la conocen. Si nos fijamos en el hacker de TicketmasterUK, fue descubierto por 2065438 en junio de 2008. Después de revisar su propio historial, descubrieron que la misma amenaza había estado presente durante tres años antes de ser descubierta en uno de los cinco principales proveedores de chat del mundo.
Así que creo que no hay forma de decir que elegiré este producto porque es más seguro. Obviamente, sería más seguro si el tercero pudiera alojarse localmente, pero la mayoría de las herramientas y servicios no funcionan de esa manera. Incluso si está alojado localmente, no hay forma de saber si la implementación local se ve afectada porque estos js son difíciles de detectar. El mejor enfoque es combinar varias soluciones diferentes. Existen soluciones de código abierto para proteger los navegadores a través de la Política de seguridad de contenido y la Política de integridad. Si no tiene la capacidad de crear sus propias herramientas, intente utilizar una combinación de estas soluciones, pero tenga en cuenta que algunas de ellas son difíciles de administrar. La solución perfecta es siempre una combinación de tecnologías. Aún es difícil decir qué impacto tendrá el COVID-19 en su negocio e industria. Mi suposición es que la COVID-19 no tendrá ningún impacto negativo e incluso puede tener un impacto positivo, ya que predigo que el comercio electrónico recibirá un gran énfasis durante los próximos 12 meses, lo que significa que la ciberseguridad se convertirá en un tema más importante para organizaciones. Cuestiones prioritarias. En un campo donde la competencia no es demasiado feroz, Yuanfeng sigue siendo el mejor jugador. Incluso nuestros competidores utilizan soluciones obligatorias existentes, mientras que nosotros tenemos tecnología patentada. Espero que tenga un buen impacto. Sin embargo, estamos muy centrados en las grandes empresas. La mayoría de nuestros clientes son empresas Fortune 500 o superiores. Por eso necesitan algo de tiempo para cambiar su enfoque. Somos uno de los afortunados.
¿Cuál es su visión para la seguridad de los sitios web en los próximos 10 años? Creo que vamos a tener más competencia. Supongo que todos los sitios web comerciales cuentan con al menos un tipo de protección al cliente. Creo que este será un requisito estándar para cualquier cumplimiento de PCI y probablemente para la mayoría de las regulaciones de cumplimiento de privacidad. Todo lo robado del servidor puede ser robado del cliente. Los reguladores y los propietarios de sitios web son conscientes de esto, sólo necesitan algo de tiempo para tomar medidas. PCI ha advertido sobre los riesgos de los JS de terceros para los proveedores, el código fuente abierto, las bibliotecas, etc. Es sólo cuestión de tiempo. En general, creo que la industria gastará mucho dinero en cualquier sitio web transaccional.