每個商業網站都包含數十個第三方集成，幫助其發展并最大限度地發揮業務潛力。不幸的是，這些第三方引入了一個客戶端漏洞，使網站暴露在外。

Source Defense使用實時沙箱隔離技術，防止來自網站供應鏈供應商的惡意活動。鑒于2019冠狀病毒疾病疫情下向遠程工作的重大轉變，我向聯合創始人兼副總裁Avital Grushcovski咨詢了有關組織如何加強防御和確保在線運營安全的建議。

請描述源代碼防御背后的故事及其迄今為止的演變

Source Defense是過去兩年中成立的少數幾家真正創造了全新市場并解決了以前從未解決過的問題的公司之一。它是由我最好的朋友、我自己和一位我們從一家公司認識的共同熟人創建的。

在我們的職業生涯中，我們遇到了很多關于第三方腳本的問題。我在以色列一家名為Walla的廣告技術公司擔任了5年的產品經理，負責在網站上部署新產品。所以我有與第三方供應商和第三方Javascript打交道的經驗。我們已經了解到，很多問題都來自于這個特定的載體。

我們做了大量研究，發現沒有人成功地，甚至沒有人試圖從商業上解決管理第三方訪問的問題。我們發現了一些開源項目試圖解決這個問題，但幾乎沒有成功。我們決定想出一個辦法，然后我的合作伙伴想出了一個絕妙的主意，將訪問策略應用到web瀏覽器上的JS。這聽起來很簡單，因為我們的手機上已經有了它，但你永遠無法在網絡上做到這一點。

我們開發了一個獲得專利的引擎，允許您非常簡單地說哪家第三方供應商有權讀取或寫入頁面。例如，聊天供應商可能能夠讀取頁面，但無法讀取信用卡信息、用戶名和密碼。基本上是為頁面上運行的每個供應商定制特定的訪問策略。

當時，甚至沒有人知道這個問題的存在，這實際上使得最初籌集資金變得困難，因為我們必須讓投資者相信這個問題確實存在。四年前，如果你在尋找投資者，并說我是唯一一個這樣做的人，答案要么是做不到，要么是沒有錢，因為你不可能是第一個。我們是第一個創造這個市場的人。我們設法為一種提供實時預防的引擎申請了專利。我們唯一的另一個半競爭對手是一家試圖通過發現漏洞并提醒他們有問題來掃描網站的公司。

今天，我們處在一個非常不同的地方。我們從JVP那里籌集了種子資金，隨后我們進行了A輪投資，其中包括JVP和硅谷的一些主要投資者，包括硅谷領先的網絡投資者之一AllegisCyber。它還包括戴夫·德瓦爾特（Dave DeWalt）的私募股權基金夜龍（Night Dragon）。這就是把McAfee賣給微軟的人，他發現了中國人對白宮的黑客攻擊，他是奧巴馬的網絡顧問。所以我們很幸運，他不僅是我們的投資者之一，也是我們的顧問。我們有一家名為Global Brain的日本風投公司，它是軟銀的子公司。

目前，該公司有33名員工，其中6名在美國，其余在以色列的2個辦公地點。

以下是源代碼防御儀表板上的一些屏幕截圖：

在為數字企業構建網絡安全戰略時，最基本的因素是什么

首先，現在很容易通過簡單地依賴大玩家來保護后端。這意味著，如果你將服務托管在谷歌、亞馬遜、微軟等大型云服務之一上，你已經落后于許多安全級別。您可以很容易地添加WAF供應商，只要您正確地執行架構，就可以了。盡管如此，許多組織未能做到的是確保有正確的程序來保證其產品和工作環境的安全，我認為這是當今破壞組織的最簡單方法之一。顯然，看看我們的途徑，很多組織都沒有意識到，你必須投入資源來保護客戶端正在發生的事情，因為到今天為止，客戶端是一個100%不安全的環境。它完全超出了我們的安全范圍，現在是黑客的游樂場。不要相信我的話，就拿賽門鐵克公司來說吧。賽門鐵克公司稱，截至2019年2月，這是網站的頭號網絡安全威脅。這是5年來第一次有任何東西超越勒索軟件。

我們需要嘗試圍繞客戶端構建全球實踐和解決方案，因為這不會由您的云供應商提供。在服務方面，每一家不是大公司的公司今天都不應該投入任何資源來嘗試創建自己的服務和安全，因為他們不會有相同的預算。

如何平衡安全性和可用性之間不斷增長的沖突</說實話，安全性達到了可用性。關鍵是找到正確的解決方案。尤其是當你試圖縮小一個很久以前就已經縮小的差距時，市場上會有很多參與者。我不一定認為選擇最大的球員是最好的選擇。

I將努力尋找最具創新性的供應商。Zoom是一個很好的例子，它不具有安全性，但在可用性方面是絕對的。如果你看看網絡會議，最大的參與者是思科WebX等等。Zoom是GoToMeeting開發團隊創立的一家小型新公司，他們說，我們可以做得更好。就可用性而言，它們確實要好得多。

最后，確保您選擇了正確的平臺，并且這些平臺可以在您的工作流程中很好地相互集成。我建議你去外部咨詢一位專家，該專家將分析你的工作流程和需求，并為你定制所需的工具。不要試圖讓你的工作環境向你正在使用的工具傾斜。

在選擇與哪些第三方平臺合作時，組織應該注意哪些安全重點</這是一個有趣的問題。一方面，你會認為公司越小，風險就越大，這是有道理的，因為他們沒有安全預算。但如果你看看過去兩年的攻擊，很多被攻擊的公司實際上都是相當大的公司。公司越大，對攻擊者越有吸引力。當你攻擊第三方工具時，你會攻擊他們的所有客戶，所以他們越大，他們為你賺的錢就越多。

因為這些攻擊很難找到，所以很可能會選擇并部署一個兩年前被黑客攻擊的工具，但他們仍然不知道。如果你看看Ticketmaster UK上的黑客，那是在2018年6月發現的。他們查閱了自己的歷史后發現，同樣的威脅在被發現之前已經存在了三年，這是世界上五大聊天供應商之一。

所以我認為沒有辦法說，我會選擇這個產品，因為它更安全。如果可以在本地托管第三方，顯然會更安全，但大多數工具和服務不會這樣工作。即使您在本地托管，您也無法知道本地部署是否受到影響，因為這些JS很難檢測到。最好的方法是結合幾種不同的解決方案。有一些開源解決方案可以通過內容安全策略和完整性策略來保護瀏覽器的安全。如果您負擔不起構建自己的工具，請嘗試將這些解決方案中的一些組合在一起，但請記住其中一些很難管理。完美的解決方案總是多種技術的結合。2019冠狀病毒疾病對您的企業和行業有何影響</仍然很難說。我的假設是，2019冠狀病毒疾病不會產生什么負面影響，甚至可能產生積極影響，因為我預計未來12個月將非常關注電子商務，這意味著網絡安全將成為各組織更優先考慮的問題。在一個沒有太多競爭的領域，源頭防守仍然是頂級球員。就連我們的競爭對手都在使用現有的強制解決方案，我們擁有專利技術。我希望能產生很好的影響。盡管如此，我們非常關注大型企業。我們的大多數客戶都是財富500強或更高級別的公司。所以他們需要一段時間來改變他們的注意力。我們是幸運兒之一。

你對未來10年的網站安全有何展望</我想我們會有更多的競爭。我假設所有商業網站都至少有一個客戶端保護措施。我敢肯定，這將成為任何PCI合規性的標準要求，可能也是大多數隱私合規性法規的標準要求。

從服務器上竊取的任何東西都可以從客戶端竊取。負責監管的機構和網站所有者都已經意識到了這一點，他們只是需要一段時間才能行動。PCI已經就第三方JS對供應商、開源代碼、庫等帶來的風險發出了警告。這只是一個時間問題之前，這是確定的。所以總的來說，我很確定這個行業在任何交易性網站上的花費都會非常高。

總結

以上是生活随笔為你收集整理的Source Defense联合创始人解释说，第三方脚本正在危及您的在线运营的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。