让我们面对现实吧,如果 Netlify 遵循行业在过去二十年中教给我们的相同方法,我们将花费比负责任地防御威胁更多的资源。最近,行业还向我们表明,花费过多的资源甚至可能不会对防止数据泄露产生实 臺灣電話號碼 质性影响,因为我们看到报告数据泄露的公司数量每年都在增加。
在 Netlify,我们对如何以及为何应用资源采取务实的方法,并以应对现代对手和威胁的方式这样做。我们的速度、敏捷性和“深度关怀”的核心价值使我们有别于其他企业级托管和基础设施提供商。
构建有效安全计划的要素
应用基于威胁的风险分析
大多数网络安全人员都熟悉传统的风险分析,但这些分析仍然具有相当大的价值。除了传统方法之外,在 Netlify,我们还通过对手的视角进行单独的、更具技术性的风险分析,该分析专门用于识别可能用于违规的风险。它可以被认为是对当前组织流程而不是物理系统的渗透测试。
在实施此类举措时,我们的团队不断询问以下问题:对手可能会如何破坏我们的公司?对手可能会获取哪些客户数据?其他云原生 SaaS 公司面临哪些类型的威胁?
通过回答这些问题、识别弱点并通过渗透测试执行标准 (PTES) 方法对风险进行评级,我们可以有效地优先考虑将资源集中在哪里,并为我们的安全计划构建一个有凝聚力的路线图。
在 Netlify,我们相信拥有强大的进攻性安全计划的有效性。除了对基础设施和应用程序进行内部渗透测试外,我们还欢迎世界各地的安全研究人员参与我们的 HackerOne 漏洞赏金计划。在选择第三方渗透测试供应商时,我们会选择在攻击性安全领域享有盛誉的顶级供应商。我们最近的渗透测试是由渗透测试和红队领域的顶级品牌 Red Siege 进行的。
自动化所有事情
在可能的情况下,我们希望实现安全流程的自动化,并避免将员工时间花费在重复的任务上。为此,我们正在转向持续的漏洞修补系统,我们的虚拟化云服务器和微服务会自动修补并默认配置为强化。我们还持续监控补丁状态以确保覆盖范围。
对抗性检测
网络安全不可能实现 100% 预防。虽然渗透测试、访问控制和漏洞管理至关重要,但重点关注检测对抗行为也很重要。我们的团队正在致力于在我们的基础设施和组织中集成工具,以检测与威胁行为者使用的战术技术和程序 (TTP) 相关的异常行为。