Netflix: Ein Stethoskop für mehr Freiheit und Sicherheit
Netflix hat mit Stethoscope eine Software vorgestellt(öffnet im neuen Fenster) , die das Unternehmen intern benutzt, um das Sicherheitsniveau zu verbessern. Das Tool soll vor allem dabei helfen, ein hohes Maß an Sicherheit zu gewährleisten, ohne dass die Mitarbeiter durch unnötige Regeln eingeschränkt werden.
Die Web-Applikation sammelt Daten von den verschiedenen Geräten des Nutzers und zeigt in einer Art Dashboard an, ob es Handlungsbedarf gibt oder nicht. So wird der Nutzer zum Beispiel informiert, ob die Software auf den Geräten auf dem aktuellen Stand ist. Bei Mobilgeräten wird außerdem vermerkt, ob ein Jailbreak oder Root-Zugang aktiviert wurden.
.jpg)
Die Nachrichten sind dabei speziell auf das Unternehmen zugeschnitten. So heißt es etwa bei einem Samsung-Smartphone: "Eines der wichtigsten Dinge, die du tun kannst, um die Sicherheit von Netflix zu erhöhen, ist, dein Betriebssystem und deine Software aktuell zu halten. Android 5.1.1 wird nicht mehr unterstützt, die empfohlene Variante von Android ist 6.0.1."
.png)
Netflix setzt nach eigenen Angaben nicht auf die automatische Durchsetzung von Regeln (enforcement), sondern auf Erziehung und Bildung. Die Nutzer sollen anhand zusätzlicher Informationen verstehen können, wieso eine bestimmte Maßnahme vorgeschlagen wird und bekommen auf Wunsch eine detaillierte Anleitung.
Zu den verschiedenen integrierten "Security-Practices" gehören derzeit: Festplattenverschlüsselung, eine Firewall, automatische Updates, ein aktuelles Betriebssystem und Software, eine aktivierte Bildschirmsperre, kein installierter Jailbreak oder Root-Zugang und das Vorhandensein von Sicherheitssoftware; Netflix nennt hier Carbon Black als Beispiel.
Kein zentraler Datenspeicher
Stethoscope läuft auf einem Python-Backend und mit einem React-Frontend. Die Webapplikation hat keinen eigenen Datenspeicher, sondern erhebt die gewünschten Informationen direkt von den notwendigen Quellen. Diese Daten werden nur für die Anzeige zusammengeführt. Die Daten auf den Clients werden auf Windows durch Landesk, auf Macs durch Jamf und bei Mobilgeräten durch Google MDM bereitgestellt.
Nutzer sollen möglichst wenig mit Benachrichtigungen belästigt werden. Studien haben ergeben, dass zu viele Sicherheitshinweise und Nachrichten bei Nutzern nur dazu führen, dass diese ungelesen weggeklickt werden. Stethoscope zeigt Pop-Up-Nachrichten daher nur an, wenn Nutzer konkret etwas tun sollen, etwa bestätigen, dass ein bestimmter Login tatsächlich von ihnen selbst durchgeführt wurde.
Netflix setzt auf Vertrauen zu den Mitarbeitern
Netflix schreibt, dass es zur Unternehmenskultur gehöre, den Mitarbeitern auch in Fragen der Sicherheit zu vertrauen: "Wir glauben, dass Netflix-Mitarbeiter grundsätzlich das Richtige tun wollen, und als Unternehmen geben wir den Menschen die Freiheit, die Dinge so zu tun, wie sie es für richtig halten." Diese Freiheit müsse auch durch die Systeme, Werkzeuge und Verfahrensabläufe respektiert werden.
Daher seien insbesondere personalisierte Nachrichten mit konkreten Handlungsempfehlungen geeignet. Wer Stethoscope selbst in seinem Unternehmen ausprobieren will, kann das tun. Der Quellcode ist bei Github verfügbar, zu Testzwecken gibt es auch eine fertige Docker-Konfiguration.
Die Software wird aktiv weiterentwickelt, Netflix sucht gezielt nach Personal. In Zukunft sollen weitere Datenquellen hinzukommen. So soll das von Facebook entwickelte Osquery demnächst integriert werden.
Netflix stellt immer wieder Eigenentwicklungen aus dem Bereich Security und Serververwaltung frei, etwa zum Auffinden von Cross-Site-Scripting-Lücken . Das Unternehmen führt auch zufällige Stresstests der eigenen Infrastruktur durch .
- Anzeige Hier geht es zu Hacking & Security: Das umfassende Handbuch bei Amazon Wenn Sie auf diesen Link klicken und darüber einkaufen, erhält Golem eine kleine Provision. Dies ändert nichts am Preis der Artikel.