The Information 近日撰文称,Netflix 虽然以流媒体视频著称,但他们也自主开发了很多安全软件,这甚至已经成为行业趋势。
以下为原文内容:
别再惦记《怪奇物语》了。在企业科技世界里,Netflix 的网络安全软件也很著名。这家流媒体视频服务是众多亲自开发安全软件,以便应对具体威胁的公司之一。除了 Netflix 之外,安泰保险(Aetna)、Etsy 和 Yelp 也在从事类似的工作。
这表明,随着各式各样的网络威胁逐渐增多,企业也越发感觉需要针对自身面临的网络安全问题定制专门的防御方法,而不是直接使用大型安全公司提供的通用模式。
“确实有一些非科技公司在如何应对安全挑战方面,有着不同的看法和观点。”全球咨询公司 Kudelski Security 首席技术官安德鲁·霍华德(Andrew Howard)说。他表示,不光是 Netflix 这样的新兴网络公司,就连金融和制造等传统行业也存在这种现象。这些企业都希望填补现成的安全软件无法满足的“最后 10%”安全能力。
过去 3 年,Netflix 在内部至少开发了 15 款网络安全产品,而且将其作为开源项目供其他公司使用。其中包括能够分析和响应威胁的软件,有的还能控制哪些人可以获取特定的数据或系统。其他软件则使用加密技术保护数据,或者为 Netflix 网站和应用的开发者确保安全性。Netflix 专门成立了一个由 80 名员工组成的安全团队。
“我们通常会针对两种情况开发解决方案,要么是无法在市场上得到充分解决的问题,要么是我们希望采取非传统的解决方案。”Netflix 云安全总监詹森·陈(Jason Chan)说。Netflix 仍在使用其他公司开发的安全产品,但也会在有需要的时候开发自己的产品。
这并非 Netflix 首次在工程开发领域处于领先地位。例如,该公司也是 AWS 的早期客户,现在仍然是这项服务的大客户。2016 年初,它关闭了最后的数据中心,成为少有的几家完全依赖公共云服务的大型科技公司。
该公司的众多安全产品中,有一款就来自对 AWS 的使用。2014 年,Netflix 很难平衡云计算服务的多个帐号。Netflix 需要确保所有帐号都以最安全的方式部署,包括确保任何员工修改的帐号设置都不会产生安全问题。亚马逊当时没有能够满足其规模要求的产品,所以 Netflix 推出了 Security Monkey,使之可以记录并标记一个帐号的修改,同时对配置进行审核,确保符合安全标准。
Netflix 把软件托管到 GitHub 上,而很多公司都以 Security Monkey 为基础开发自己的软件,包括 Yelp、DoorDash 和 Airbnb。
AWS 后来推出了自己的服务来解决这一问题。但 Netflix 仍在使用自家产品,他们希望能够对自己的企业展开不同的安全分析。
Netflix 并未遭遇过重大的公共安全事件,但今年早些时候的确有黑客试图向该公司进行勒索,阻止其部分电视剧的发布。然而,这一问题源自外部电视制作公司,而非 Netflix 自身。为了避免这类攻击,Netflix 鼓励研究人员分析并汇报其系统内的漏洞,但并不会像其他厂商一样向其支付费用。
安泰保险
安泰拥有一个 12 人的团队,专门开发新技术,或者从其他公司借鉴各种创新措施,将其应用到安泰的安全战略中。该公司约有 200 名安全员工,分布在 3 个主要地方,重点是设计和部署安全技术。
过去两年,安泰出现了一些规模不大的数据问题。但这些问题并没有波及整个公司,似乎仅限于几个州的几千份记录。然而,安泰的一些大型竞争对手已经将重点瞄向健康保险安全领域,2015 年的黑客事件导致 Anthem 丢失 7900 万人的记录,Premera BlueCross BlueShield 也丢失了 1120 万份资料。
Aetna 首席安全官吉姆·鲁斯(Jim Routh)表示,他的团队开发了自己的技术来填补传统软件的空白。例如,他表示,安泰开发了一种方法来阻止电子欺骗,黑客可以借助这种钓鱼攻击,伪装成用户信任的电子邮件对其进行欺诈。虽然安泰还使用传统软件来阻止钓鱼攻击,但鲁斯表示,仍然存在一些漏网之鱼。他们还开发了机器学习和密码替换软件。
安泰通过开源社区开发了部分软件。但他们还与早期创业公司展开了密切合作,以此获得一些更具创意的安全技术。该公司设立了一项安全技术探索评估程序,可以借此选择与哪家创业公司合作,以及采用哪些工程技术。在这种情况下,软件归创业公司所有。例如,安泰过去两年半与 4 家创业公司合作开发过一产品,希望根据用户行为对其展开更好的认证。
“安全产品的高度创新来自敢于在产品开发过程中冒险的早期企业。安泰更愿意在产品开发完成前与这些早期公司合作。”鲁斯在邮件中写道。
Kudelski 的霍华德表示,对于这些自主开发安全软件的公司来说,缺点在于所有的软件问题都要在内部解决,无法依靠外部企业。想要找到合格的软件开发人员,成本也很高昂,尤其是当越来越多的公司开始采取这种措施的时候。但霍华德指出,有的公司可以通过对外授权软件来创收。但他拒绝透露具体是哪些公司。