Patchstack以前被称为WebArx,它允许数字机构和web开发人员监视并保护网站免受第三方代码漏洞的影响。正如联合创始人兼首席执行官奥利弗·西尔德(Oliver Sild)所解释的,Patchstack通过运营自己的红色团队,追踪流行插件中的漏洞,并实时对其进行修补,以保护其用户每月免受100多万次攻击。请描述Patchstack背后的故事。是什么激发了这个想法,到目前为止它是如何演变的
在创建Patchstack之前,我经营着一家数字机构,在那里我了解了我们今天正在解决的问题。我们正在使用WordPress、Joomla、PrestaShop和Magento等开源内容管理系统构建网站,并且很难跟上我们在这些网站上使用的所有不同插件、主题和小部件的最新情况。因此,我们建立了一个内部工具,可以追踪哪些客户安装了哪些版本的软件。一旦我们在某个地方发现了漏洞,我们会确保没有任何客户受到影响。
和其他许多令人惊叹的产品一样,它都是从电子表格开始的。很快,我们意识到我们不是唯一一个面临这个问题的数字机构或网络开发者。最终,我们决定专注于这个内部工具,并将其构建成一个产品。Patchstack就是这样诞生的,从那以后,这是一段非常有趣的旅程。
一开始,我们直接向网站所有者提供服务。在大多数情况下,他们有一些开发人员为他们建立了网站,他们没有更新插件所需的技术诀窍。这是我们最早的挑战之一,我们开始让网站所有者的一切尽可能简单。
从那时起,我们转向B2B模式。我们现在为开发者和数字机构提供技术服务,但我们仍然保持可用性第一的方法。
We最近更名为Patchstack,目前全球有超过40000名开发人员使用它,每月可防止多达100万次攻击。
那么补丁堆栈是如何工作的呢
一旦你注册并添加了网站,Patchstack将为你完成所有配置。然后,在你的仪表板上,你将能够看到你的网站上安装了多少代码组件或插件,哪些是过时的或易受攻击的,以及你的网站上是否存在任何其他安全问题。
如果发现漏洞,Patchstack将自动向您的网站应用虚拟补丁。你可以把它想象成专门针对插件漏洞制定的防火墙规则。它通过修补这些插件中的安全问题并过滤掉任何试图利用该网站的流量来阻止攻击。这可以帮助网站所有者避免恶意软件感染、SEO破坏、流量分流,以及当你被黑客攻击时发生的其他破坏。
从中,报告会自动生成到您的电子邮件或Slack中。开发者可以通过PDF与客户共享报告,向他们展示如何使用Patchstack保持网站安全。
您如何获取有关漏洞的信息
PatchStack平台与Patchstack数据库相连,这是一个公开的免费资源,您可以在其中查找WordPress核心、主题和插件中的新漏洞。
无论何时报告漏洞,我们的软件都会自动对其进行修补,这样即使有人试图利用受影响的网站进行攻击,也不会成功。
在幕后,我们有Patchstack Red Team,这是一个网络安全专家社区,他们发现并向数据库报告这些漏洞。你可以将其与HackerOne或Bugcrowd进行比较,黑客在其中发现软件中的漏洞,如果他们发现了什么,软件的所有者会支付他们修复漏洞的费用。在我们的例子中,是Patchstack直接向研究人员支付费用。这是一个相互关联的生态系统。有哪些危险是WordPress用户应该注意的
当我们谈论网络安全产品时,很多人不想参与其中,因为这感觉像是他们有义务解决的事情。在许多情况下,人们只是忽视它,直到他们受到攻击。
根据2018年的官方WordPress报告,WordPress生态系统中98%的漏洞来自第三方插件和主题。我们关注WordPress,因为它运行着40%的网络,但我认为问题与任何开源平台一样,其功能可以通过第三方插件和主题进行扩展。
问题是,你可能会在你的网站上使用一个非常流行并安装在数百万网站上的插件,但如果黑客在该插件中只发现一个漏洞,那么所有100万个网站都会暴露出来。
插件并不总是采用非常高质量的编码标准构建的,因此漏洞很容易发现。对于黑客来说,只需利用一个漏洞,就可以轻松访问数百万个网站。我认为这是目前对网站最大的威胁。
在网络安全领域,你觉得哪些趋势或技术特别令人兴奋
我最感兴趣的是开源领域正在发生的事情,因为它非常流行。总的来说,我认为安全生态系统可以从社区驱动的方法中受益匪浅。开源生态系统是一个很大程度上由社区推动的行业的一个很好的例子。我认为应该有一个强大的网络安全专家社区,就像开源开发者一样。另一件让我兴奋的事情是网络安全的社会工程视角。我经常看到的是,黑客攻击使用该技术的人要比攻击该技术本身容易得多。所以,我对网络安全培训和社会工程相关的技术感兴趣。
P我认为,至少10年来,电子邮件一直渴望得到修复。当涉及到商业信息被泄露时,电子邮件仍然是最大的攻击向量。所以垂直线周围的一切对我来说都很有趣。
我认为自动化和人工智能有点被夸大了。尽管事实证明它们在某些空间工作,但它们还有很长的路要走。
P我对事物的人性方面更感兴趣,因为网络威胁最终会影响人类。我试图理解,人类因素是如何被赋予处理这些事情的能力的。既然我们不能在心理学上设置防火墙,我们就需要想出别的办法。要做的第一步是让普通用户使用他们的语言变得简单易懂。接下来,我认为游戏化非常有效。一些网络钓鱼服务允许管理者相信员工检测到恶意电子邮件之类的东西,帮助他们保持兴趣和警惕。最后,我认为心理因素,首先,将是一个非常有趣的方式来处理网络安全以及我们使用的所有其他技术。你还想对我们的读者说些什么
I邀请您查看Patchstack数据库,以了解所有新的WordPress漏洞。这是一个免费的公共数据库,任何人都无需登录即可访问。
欢迎对保护网站和发挥作用感兴趣的安全研究人员加入Patchstack红色团队。我们正在寻找头脑聪明的安全专家,他们对使开源生态系统更安全感兴趣。