【前言】构建超大规模云初创公司时的五项安全原则。

本文发自Bessemer Venture Partners,原题为“Virtual reality—coming soon?”,作者: JASON CHAN, AMIT KARP, DAVID COWAN, ALEX FERRARA, YAEL SCHIFF, ANDREW SCHMITT, MIKE DROESCH, CRAIG TARNOPOL,经朋湖网编译整理,供业内参考。

2015年,随着全球网络攻击的激增,我们的合伙人David Cowan发布了一份全面的初创公司安全指南,以帮助创始人和建设者应对新兴和新颖的数字威胁。当时,许多公司刚刚开始向云迈进,这带来了新的安全漏洞和复杂性,扩大了潜在的威胁面。

如今,大多数成长型公司都是“云优先”,云原生技术已成为基础架构和业务应用程序的常态。这种向云的转变通过增加我们采用的技术的复杂性、我们利用的第三方组件 (API) 的数量以及我们构建和管理软件(例如微服务)的方式,改变了技术堆栈的性质。

同时,开发人员生态系统的创新提高了开发速度,以至于许多公司每天多次将代码推送到生产环境,使许多传统的安全方法变得紧张。

虽然云计算范式的转变使建立和扩展公司变得更容易、更便宜,但它已经拆除了传统的基于边界的网络安全方法。不再有集中定位和管理的 IT 堆栈;相反,资源分布在云环境中,企业依赖于越来越多的第三方。在部署代码之前,不再进行大量手动安全测试和检查。在过去几年中,随着远程工作的增长和员工从几乎任何地方访问企业资源,这种转变加速了。当然,云计算的主要采用也释放了黑客利用的新一波安全漏洞。

在云原生时代,威胁形势变得更具挑战性,攻击频率和对手的复杂性也在加剧。从利用云漏洞和错误配置,到凭据盗窃,再到云服务提供商和多租户滥用,仅在过去几年中就出现了新型基于云的攻击。结果呢?网络犯罪现在是一个有害(且蓬勃发展)的行业。事实上,2021 年是创纪录的一年,企业网络网络攻击增加了 50%,造成了 70 亿美元的损失。

我们相信,网络攻击的增长只会在未来几年继续下去,尤其是随着云采用率的增长。对于成长型公司来说,这导致对网络安全实践的审查越来越严格,即使是在早期阶段。初创公司的网络安全计划可以作为收入驱动因素或阻碍因素,许多企业客户需要供应商提供 SOC2 等第三方认证。此外,我们继续看到公司在网络安全攻击中倒退一年,甚至完全失败。例如,60%的小公司在被黑客攻击后的六个月内关闭。然而,建立一个强大的网络安全计划可能是一项艰巨的任务,特别是考虑到云优先世界的复杂性以及数十种新的网络安全工具可供选择。

随着网络威胁的不断升级,从第一天起就将安全性嵌入到公司的日常运营中比以往任何时候都更加紧迫,以防止“安全债务”随着规模的扩大而出现。虽然与后期创业公司或上市公司相比,早期创业公司的安全需求大不相同,但我们相信基本面是一致的。随着初创公司构建产品并找到适合市场的产品,领导者必须认识到客户的首要安全需求,并实施一个可以随着时间的推移而扩展的渐进式框架。立即实施许多安全工具并不总是正确的答案。通过遵循五个教训,初创公司可以从一开始就走上成功之路。

随着领导者在云优先的世界中构建,我们正在更新我们的原始指南,以帮助成长型公司确保他们建立有效的网络安全计划。我们与七位顶级首席信息安全官合作,为成长型公司开发了现代、轻量级的安全指南。

实用建议的前言

虽然我们认为Bessemer的五个安全教训可以根据公司的阶段以不同的方式应用,但早期公司的需求可能略有不同。因此,这里有两个实际领域可以成为启动安全计划的好地方,即使您没有从本文中获取任何其他内容:

1.安全文化是制定公司计划的关键组成部分,因此第一条规则必须从第一天起就适用。实施可能看起来像是执行团队传达“安全是每个人的责任”,然后将这种信念转化为可操作的步骤,不断改变观点和行为,以制定公司范围内的安全计划。

2.身份管理是推出任何安全实践的另一个坚实起点。展示安全价值和建立早期势头的一种非常简单的方法是为员工和承包商引入单点登录 (SSO)。在大多数公司中,用户拥有各种 SaaS 应用程序,每个应用程序都需要自己的帐户,通过将这些服务与 SSO 提供商集成,安全领导者可以显着提高安全性并改善同事的登录体验。这是一种双赢,也是通过在 SSO 级别启用多重身份验证来引入多重身份验证的便捷方法。

Bessemer为云原生成长型公司提供的五大网络安全课程

1.建立网络安全文化

2.投资于身份

3.保护您的云和开发环境

4.管理数据资产和环境

5.监控您的第三方风险

1. 建立网络安全文化

这不是一种新的情绪,但它是主要的——领导者必须尽早建立全公司的网络安全文化。随着公司的攻击面比以往任何时候都大,定义“有效安全策略”的内容在云原生时代发生了变化,不再只是一个人的责任。公司中的每个人都不仅要遵守政策,而且要警惕发现网络入侵,并创造性地参与共同防御。虽然我们中很少有人是安全专家,但我们都可以睁大眼睛寻找可疑活动。例如,Bessemer 投资组合公司ServiceTitan通过独特的计划(例如公共网络钓鱼电子邮件创建、每月安全通讯和协作网络安全逃生室练习(作为员工入职的一部分)解锁了全员工对其安全计划的承诺。由于外部环境(威胁、对手、漏洞等)变化如此之快,因此拥有一个在从内部活动中学习的同时适应外部发生的事情的程序非常重要。

安全最佳实践也可以集成到团队建设中。我们建议聘请安全专家,并在公司旅程的早期开始构建安全功能,使其成为公司和文化的核心部分。招聘最佳实践看起来也像是在软件工程师面试期间评估网络安全知识和技术,因为这些团队成员编写的代码可以防御或导致漏洞。在实施安全措施时,利用现有工具和流程而不是引入新工具和流程会很有帮助。此外,只要有可能,就努力将安全性作为默认值,而不是以后采取安全措施。最后,重要的是要避免“安全团队与其他人”的文化。安全性是全公司的首要任务,可实现更好的产品创新和客户满意度;它不是它的障碍。例如,强大的安全工具和流程可推动收入并支持销售团队,因为安全法规遵从性是核心采购要求。安全性最终有助于运营团队更顺利地工作,并帮助工程团队避免分心和消防演习。

最后,为了在组织内培养安全性,请确定公司面临的最大网络威胁,并计划如何应对网络攻击。您的团队将如何识别问题?解决问题的流程是什么?我们建议假设攻击会在某个时候发生在每个人身上,但一个关键问题是一旦发生,您将如何处理它。开始记录和分析您面临的安全问题、您的响应方式以及如何改进响应。

在开始使用时利用流行的安全框架。例如,SOC 2 合规性框架是早期公司开始加强其安全状况的有用位置,也是许多客户期望遵守的参考和基准。我们看到复杂的网络安全组织利用的其他流行资源和流程包括NIST CSF和CIS关键控制。领导者不太可能需要在早期完全遵守框架,但你可以从大量的现有技术和实践中学习,以加速你的进步。

2. 投资于身份认同

保护数字身份对于企业的安全至关重要。如今,近80% 的网络攻击利用基于身份的攻击并破坏合法凭据。向云的转变使管理身份和凭据变得更加复杂 - 员工使用的 SaaS 应用程序比以往任何时候都多 - 每个应用程序都有自己的登录和权限模型,基础架构组件使用各种 API 密钥来访问内部和外部服务。

首先,请确保从一开始就使用单一登录。这种方法不仅可以提高身份安全性,还可以为您的员工在使用内部开发和 SaaS 应用程序时提供更好的体验。多重身份验证 (MFA) 是另一项重要的早期身份投资。与此相关的是,提高身份安全性的一种简单方法是将您的办公室网络视为星巴克:没有办公室或“外围”,而是员工在心态上是远程的。随着基础架构的增长,您可以考虑利用系统、设备、应用程序和人员身份来制定复杂的访问决策和异常检测。

3. 保护您的云和开发环境

您为客户提供的产品不安全,除非其基础组件也是安全的。云中面临最大威胁的两个组件是基础架构和开发环境。

在云中运营可实现前所未有的开发速度,但了解并接受共担责任安全模型至关重要:您必须清楚您负责的内容与云服务提供商负责的界限。该模型允许您专注于大多数问题发生的位置,例如配置错误,这些错误通常会因云的自助服务性质而加剧。云入侵的风险很高,因为研究表明,云配置错误在2018年和2019年使公司损失了近5万亿美元。

掌握云安全性的一种方法是采用软件,该软件将提供跨云环境的可见性,并持续监控、检测和自动修复云中的风险(例如配置错误、策略违规、基础架构漂移)。此外,组织可以寻找工具,为其提供针对漏洞、违反合规性、暴露的机密、过度宽松策略和其他错误的主动方法。云安全的其他主要方法包括采用基础架构即代码 (IaC) 原则,并将所有安全事件集中记录到安全数据湖。

随着开发周期的加快、架构复杂性的增加、开源的使用增加以及容器映像和 CI 服务器等新的攻击面,将安全性纳入软件开发过程比以往任何时候都更加重要。首先要做的是了解开发过程的工作原理,并将安全性作为持续考虑因素,而不是最后一刻的审核或合规性考虑因素。软件可以帮助自动化安全实践。我们建议使用扫描代码库以查找自定义和开源/第三方组件中问题的解决方案,以及监视整个 CI/CD 管道并帮助保护整个软件供应链的解决方案。随着规模的扩展,部署频率将不可避免地增加,在整个管道中集成自动安全检查至关重要。

4. 管理数据资产和环境

组织托管和管理许多不同的资产,例如数据、虚拟机、文档、设备、数据库等,了解这些资产的位置以及如何保护它们非常重要。正确的资产管理方法因公司而异,但它是一种基本的控制措施。首席信息安全官需要知道资产的位置及其相对重要性,以高效和有效地保护环境。

向云的转变阐明了数据是当今任何组织中最脆弱的资产之一。公司正在产生前所未有的数据量,并且这些数据量继续呈指数级增长。同时,由于公司的数据现在存储在云中的数据仓库、数据湖、数据库以及许多其他结构化和非结构化数据存储中,公司现在更容易受到代价高昂的数据泄露的影响。例如,2021 年数据安全漏洞的平均成本为 424 万美元。此外,根据数据隐私工程的七宗罪,公司经常收集过多的消费者数据,而未能充分保护这些数据。鉴于 GDPR、PCI 和 HIPAA 等数据安全法规的普遍存在和增长,强大的数据安全性只会变得更加关键和重要。

随着组织存储越来越多的数据,越来越多的员工出于分析和其他目的访问数据,我们经常看到公司很难知道他们的数据存储在哪里,更重要的是,敏感数据的存储位置以及谁有权访问它。我们认为,组织必须保留其敏感和关键数据(包括 PII、PHI、PCI 等)的清单。然后,它可以开始监视对数据的访问,识别可疑活动或违规行为,并确保保持基本数据卫生。

5. 监控您的第三方风险

所有公司(尤其是软件企业)一直有一个依赖第三方应用程序、基础设施和工具的“供应链”,但向云的转变使这些依赖关系更加根深蒂固。

作为架构转变,开源代码、第三方 SaaS 应用程序和 API 的激增使组织能够通过外包非核心产品基础架构和功能变得更加敏捷。但是,其中许多 API 最终连接到核心系统和最敏感的数据,并且某些 API 要求比应有的更多访问权限。首席信息安全官不再可以通过监控内部构建的活动来假设产品是安全的。异常活动可能来自 API 或软件供应链的一部分。虽然这通常与非常早期的公司不太相关,但随着公司的成熟,我们建议管理这些外部交互(最好以集中方式),并确保组织的安全计划考虑这些扩展。在过去两年中发生的违规事件中,有一半以上是由第三方造成的,50%的应用程序存在安全漏洞。