2019年5月,圖形設計平台Canva遭遇重大網路安全事件,黑客Gnosticplayers入侵其資料庫,竊取了超過1億用戶的個人數據,包括用戶名、電子郵件地址和經過bcrypt加密的密碼。
在這次事件之後,這家總部位於澳大利亞雪梨的公司對網路安全措施進行了大量投資,並開始與憑證管理服務商1Password展開合作。
當Kane Narraway於2023年底加入Canva擔任企業安全主管時,公司已經走出困境並進入快速增長階段,月活躍用戶超過2.6億,年化收入超過35億美元(約25億英鎊)。與此同時,自2020年以來員工人數增長了五倍,全球業務版圖不斷擴大。
Narraway曾在Shopify和Atlassian擔任安全職務,還曾為英國政府從事數字取證工作,現居紐西蘭。他表示,管理這一增長階段是一項有趣的挑戰。
在Canva工作期間,維護和改善安全態勢的壓力一直很大。過去三年裡,他需要兼顧保護不斷增長的企業客戶群安全、安全管理入職和訪問權限、降低共享賬戶相關風險,以及平衡安全與內部開發人員效率。
"當你快速擴張時,人們會做更多事情,會有更多獨特的工作流程,這使得鎖定安全變得越來越困難,"Narraway說。"你會看到人們購買更多需要保護的SaaS工具,使用更多用於編碼的集成開發環境等。有很多不同的場景。"
"如果你持續投入,快速增長本身沒有什麼特別之處,但我確實認為你需要讓安全團隊與工程師和非工程團隊同步擴張,否則你會落後並無法追趕。"
新員工:安全盲點
對許多組織來說,最大的兩個網路安全盲點是新員工入職和老員工離職。前員工(尤其是心懷不滿者)帶走最有價值數據的風險已經眾所周知。然而,新員工入職時帶來的風險討論較少。新員工會帶來自己對安全的先入之見和誤解,需要快速了解新崗位的工作方式,以免意外造成失誤。
Canva與1Password合作的核心是使用其企業密碼管理器產品,用於降低這些風險,快速安全地為"Canvanauts"(Canva員工暱稱)辦理入職,確保從新員工第一次坐在工作站前就實現一致的憑證管理,同時支持SOC2合規要求。
"如果你設置好密碼管理器,員工第一天入職時就會接受如何使用它的初始培訓,"Narraway說。"所有其他團隊的憑證都已經在裡面,所以他們被迫使用它。人們使用它是因為這是最簡單的選擇。"
同時,他使用1Password的SCIM Bridge(跨域身份管理系統)來自動化整個企業新應用的配置,使新用戶能夠無縫集成,並提供從舊工具遷移憑證的清晰文檔。對於高風險應用,該服務可以重置憑證以減少繼承漏洞潛入的機會。
"1Password將安全轉變為增長推動力,"他說。"我們可以快速整合新團隊和系統,同時保持最高安全標準,為客戶提供卓越的創意體驗。"
Narraway將1Password的作用描述為讓安全之路儘可能順暢。"我們在安全領域有一個'鋪設道路'的概念,"他說。"其思想是人們會使用你鋪設的道路,因為這是最簡單的。而如果鋪設的道路不夠平坦,像礫石路一樣,人們就會使用其他最簡單的東西。"
處理身份體驗不當可能是在這條路上引入坑窪的最簡單方式,因為這樣做會迫使人們走替代路線,比如在個人手機上使用密碼管理器,或使用谷歌的內置管理服務。
"雖然這些都很好,但你沒有任何企業設置,也不知道這些賬戶的安全性,"他說。"你要儘可能防止任何個人密碼同步。"
Canva還受益於1Password集中存儲和訪問登錄資訊和機密的方法。例如,對於共享賬戶(如傳播和營銷團隊使用的社交媒體登錄),1Password使Canva能夠應用更強的身份驗證措施,如為不與任何個人綁定的賬戶提供基於一次性密碼的登錄,這意味著需要的團隊可以訪問它們,但仍受到多因素認證(MFA)的保護。
"當你審視安全事件時,相當數量的漏洞是由於機密擴散造成的,"Narraway說。"1Password通過提供細粒度訪問控制來解決這個問題,因此團隊只能共享必要的內容,保護憑證,同時仍能訪問所需工具。"
保護開發人員工作流程
Canva以快速演進其可視化通信平台和快速疊代而自豪,因此在擁有高度活躍的開發人員群體的情況下,1Password也被大量用於支持這些團隊所需的工具和工作流程,超越了單純的密碼管理。
Canva的開發人員現在使用1Password來保護服務賬戶憑證、SSH密鑰和其他基礎設施機密,而1Password命令行界面(CLI)有助於簡化工作流程中的訪問。
Canva的開發人員使用這個CLI進行身份驗證、檢索憑證並直接從命令行繼續工作,無需瀏覽器或用戶界面提示。
"在典型的工作流程中,比如你登錄LinkedIn,你會打開瀏覽器,登錄,使用1Password擴展,"Narraway說。"這一切都會為你內置。"
"CLI的問題在於你不會獲得任何這些——它只會出現命令提示終端,並說'輸入你的密碼',這意味著你又回到了10年前那些笨拙的日子,你必須去密碼管理器,複製密碼,然後粘貼它。"
"我想讓用戶體驗儘可能好,所以我們將1Password命令行與我們的內部開發工具集成。它會詢問你是否要自動存儲憑證,是否要檢索某個憑證。它為你節省了大量手動選擇的工作,加快了工作流程。"
"我們每次只談論兩三秒——不是大數字,"Narraway說。"但當你在5000名工程師中推廣時,每年僅做基本工作就能節省數周的工作量。"
安全從家開始
但合作並不止於辦公室。除了成為Canva員工安全架構
的基石外,全球團隊還可以免費使用1Password Families消費者產品來保護工作之外的個人賬戶和數據。Narraway是使用者之一。
正如任何安全專家都深知的那樣,該行業面臨的最大挑戰之一是讓人們聽從安全建議,做正確的事,不在便簽上寫下憑證,或不是每隔幾個月在末尾加個新數字來更新憑證。
Narraway說,將1Password等工具應用到Canva員工的個人生活中,不僅通過讓他們在家更容易做正確的事來幫助應對這些挑戰,還有可能改善Canva的網路安全態勢——特別是如果遠程工作員工的孩子訪問他們的電腦的話。
他補充說,密碼管理技術近年來已經大幅改進。
"如果你10年前使用過密碼管理器,它們並不好用,"Narraway說。"它們笨拙且不方便。你必須在手機上複製粘貼密碼,使用的人不多。"
"如今情況好多了——谷歌和蘋果顯然已經將這項技術集成到他們的生態系統中……但責任仍在個人身上,所以你仍然需要經歷那些預防性的安全習慣。"
"很多人在被黑客攻擊或他們的電子郵件出現在某個數據泄露中之前不會考慮這些,"他總結道。
Q&A
Q1:Canva在2019年遭遇的網路安全事件是怎樣的?
A:2019年5月,圖形設計平台Canva遭到黑客Gnosticplayers的攻擊,資料庫被入侵,超過1億用戶的個人數據被竊取,包括用戶名、電子郵件地址和經過bcrypt加密的密碼。這次事件後,Canva對網路安全措施進行了大量投資,並開始與憑證管理服務商1Password展開合作。
Q2:1Password如何幫助Canva管理新員工入職的安全風險?
A:1Password通過企業密碼管理器產品幫助Canva快速安全地為新員工辦理入職。員工第一天就會接受使用培訓,所有團隊憑證都已經預置在系統中,確保從第一天就實現一致的憑證管理。此外,1Password的SCIM Bridge可以自動化配置新應用,使新用戶能夠無縫集成,同時支持SOC2合規要求。
Q3:Canva的開發人員如何使用1Password提高工作效率?
A:Canva的開發人員使用1Password來保護服務賬戶憑證、SSH密鑰和基礎設施機密。通過1Password命令行界面(CLI),開發人員可以直接從命令行進行身份驗證和檢索憑證,無需瀏覽器提示。這個CLI與內部開發工具集成後,可以自動存儲和檢索憑證,雖然每次只節省兩三秒,但在5000名工程師中每年能節省數周的工作量。
