The Information近日撰文稱,Netflix雖然以流媒體視頻著稱,但他們也自主開發(fā)了很多安全軟件,這甚至已經(jīng)成為行業(yè)趨勢。
以下為原文內(nèi)容:
別再惦記《怪奇物語》了。在企業(yè)科技世界里,Netflix的網(wǎng)絡(luò)安全軟件也很著名。這家流媒體視頻服務(wù)是眾多親自開發(fā)安全軟件,以便應(yīng)對具體威脅的公司之一。除了Netflix之外,安泰保險(xiǎn)(Aetna)、Etsy和Yelp也在從事類似的工作。
這表明,隨著各式各樣的網(wǎng)絡(luò)威脅逐漸增多,企業(yè)也越發(fā)感覺需要針對自身面臨的網(wǎng)絡(luò)安全問題定制專門的防御方法,而不是直接使用大型安全公司提供的通用模式。
“確實(shí)有一些非科技公司在如何應(yīng)對安全挑戰(zhàn)方面,有著不同的看法和觀點(diǎn)。”全球咨詢公司Kudelski Security首席技術(shù)官安德魯·霍華德(Andrew Howard)說。他表示,不光是Netflix這樣的新興網(wǎng)絡(luò)公司,就連金融和制造等傳統(tǒng)行業(yè)也存在這種現(xiàn)象。這些企業(yè)都希望填補(bǔ)現(xiàn)成的安全軟件無法滿足的“最后10%”安全能力。
過去3年,Netflix在內(nèi)部至少開發(fā)了15款網(wǎng)絡(luò)安全產(chǎn)品,而且將其作為開源項(xiàng)目供其他公司使用。其中包括能夠分析和響應(yīng)威脅的軟件,有的還能控制哪些人可以獲取特定的數(shù)據(jù)或系統(tǒng)。其他軟件則使用加密技術(shù)保護(hù)數(shù)據(jù),或者為Netflix網(wǎng)站和應(yīng)用的開發(fā)者確保安全性。Netflix專門成立了一個(gè)由80名員工組成的安全團(tuán)隊(duì)。
“我們通常會(huì)針對兩種情況開發(fā)解決方案,要么是無法在市場上得到充分解決的問題,要么是我們希望采取非傳統(tǒng)的解決方案。”Netflix云安全總監(jiān)詹森·陳(Jason Chan)說。Netflix仍在使用其他公司開發(fā)的安全產(chǎn)品,但也會(huì)在有需要的時(shí)候開發(fā)自己的產(chǎn)品。
這并非Netflix首次在工程開發(fā)領(lǐng)域處于領(lǐng)先地位。例如,該公司也是AWS的早期客戶,現(xiàn)在仍然是這項(xiàng)服務(wù)的大客戶。2016年初,它關(guān)閉了最后的數(shù)據(jù)中心,成為少有的幾家完全依賴公共云服務(wù)的大型科技公司。
該公司的眾多安全產(chǎn)品中,有一款就來自對AWS的使用。2014年,Netflix很難平衡云計(jì)算服務(wù)的多個(gè)帳號。Netflix需要確保所有帳號都以最安全的方式部署,包括確保任何員工修改的帳號設(shè)置都不會(huì)產(chǎn)生安全問題。亞馬遜當(dāng)時(shí)沒有能夠滿足其規(guī)模要求的產(chǎn)品,所以Netflix推出了Security Monkey,使之可以記錄并標(biāo)記一個(gè)帳號的修改,同時(shí)對配置進(jìn)行審核,確保符合安全標(biāo)準(zhǔn)。
Netflix把軟件托管到GitHub上,而很多公司都以Security Monkey為基礎(chǔ)開發(fā)自己的軟件,包括Yelp、DoorDash和Airbnb。
AWS后來推出了自己的服務(wù)來解決這一問題。但Netflix仍在使用自家產(chǎn)品,他們希望能夠?qū)ψ约旱钠髽I(yè)展開不同的安全分析。
Netflix并未遭遇過重大的公共安全事件,但今年早些時(shí)候的確有黑客試圖向該公司進(jìn)行勒索,阻止其部分電視劇的發(fā)布。然而,這一問題源自外部電視制作公司,而非Netflix自身。為了避免這類攻擊,Netflix鼓勵(lì)研究人員分析并匯報(bào)其系統(tǒng)內(nèi)的漏洞,但并不會(huì)像其他廠商一樣向其支付費(fèi)用。
安泰保險(xiǎn)
安泰擁有一個(gè)12人的團(tuán)隊(duì),專門開發(fā)新技術(shù),或者從其他公司借鑒各種創(chuàng)新措施,將其應(yīng)用到安泰的安全戰(zhàn)略中。該公司約有200名安全員工,分布在3個(gè)主要地方,重點(diǎn)是設(shè)計(jì)和部署安全技術(shù)。
過去兩年,安泰出現(xiàn)了一些規(guī)模不大的數(shù)據(jù)問題。但這些問題并沒有波及整個(gè)公司,似乎僅限于幾個(gè)州的幾千份記錄。然而,安泰的一些大型競爭對手已經(jīng)將重點(diǎn)瞄向健康保險(xiǎn)安全領(lǐng)域,2015年的黑客事件導(dǎo)致Anthem丟失7900萬人的記錄,Premera BlueCross BlueShield也丟失了1120萬份資料。
Aetna首席安全官吉姆·魯斯(Jim Routh)表示,他的團(tuán)隊(duì)開發(fā)了自己的技術(shù)來填補(bǔ)傳統(tǒng)軟件的空白。例如,他表示,安泰開發(fā)了一種方法來阻止電子欺騙,黑客可以借助這種釣魚攻擊,偽裝成用戶信任的電子郵件對其進(jìn)行欺詐。雖然安泰還使用傳統(tǒng)軟件來阻止釣魚攻擊,但魯斯表示,仍然存在一些漏網(wǎng)之魚。他們還開發(fā)了機(jī)器學(xué)習(xí)和密碼替換軟件。
安泰通過開源社區(qū)開發(fā)了部分軟件。但他們還與早期創(chuàng)業(yè)公司展開了密切合作,以此獲得一些更具創(chuàng)意的安全技術(shù)。該公司設(shè)立了一項(xiàng)安全技術(shù)探索評估程序,可以借此選擇與哪家創(chuàng)業(yè)公司合作,以及采用哪些工程技術(shù)。在這種情況下,軟件歸創(chuàng)業(yè)公司所有。例如,安泰過去兩年半與4家創(chuàng)業(yè)公司合作開發(fā)過一產(chǎn)品,希望根據(jù)用戶行為對其展開更好的認(rèn)證。
“安全產(chǎn)品的高度創(chuàng)新來自敢于在產(chǎn)品開發(fā)過程中冒險(xiǎn)的早期企業(yè)。安泰更愿意在產(chǎn)品開發(fā)完成前與這些早期公司合作。”魯斯在郵件中寫道。
Kudelski的霍華德表示,對于這些自主開發(fā)安全軟件的公司來說,缺點(diǎn)在于所有的軟件問題都要在內(nèi)部解決,無法依靠外部企業(yè)。想要找到合格的軟件開發(fā)人員,成本也很高昂,尤其是當(dāng)越來越多的公司開始采取這種措施的時(shí)候。但霍華德指出,有的公司可以通過對外授權(quán)軟件來創(chuàng)收。但他拒絕透露具體是哪些公司。