we are developers

iMaster Developers

iMaster DevelopersPowered by:

DevSecOps

28 mar, 2017

Apresentando o Stethoscope da Netflix

Alex Lattaro

Tem 50 artigos publicados com 255000 visualizações desde 2016

Alex Lattaro
Publicidade

Em fevereiro, a Netflix anunciou o lançamento da abertura do código do Stethoscope, o primeiro projeto deles focado na segurança do usuário.

Pensando na “Segurança focada no Usuário”, é sabido que os ataques corporativos como phishing e malwares são as principais fontes de ataques que levam a violações de dados corporativos, e isso faz com que eles se preocupem em desenvolver soluções de segurança corporativas. Para a Netflix, isso reflete na sua filosofia, de que “ferramentas somente são efetivas quando elas consideram o verdadeiro contexto do trabalho das pessoas”.

Assim, a Netflix desenvolveu o Stethoscope, que é “uma aplicação web que coleta informações para um dado dispositivo de um usuário e apresenta para ele recomendações claras e específicas para a segurança de seus sistemas.

Se for fornecida para os colaboradores informação focada, acionável e com ferramentas que causem pouco impacto, a Netflix acredita que eles podem deixar seus equipamentos em um estado mais seguro sem um reforço linha dura das políticas de segurança.

Um software que trata as pessoas como pessoas, não como engrenagens em uma máquina

Como uma empresa de referência em tecnologia, a Netflix confia em seus colaboradores e, assim, dá a eles a liberdade de fazer o seu trabalho da maneira que melhor lhe convier. A cultura da Netflix acredita que “pessoas responsáveis se desenvolvem na liberdade, e merecem a liberdade”. Eles acreditam que as pessoas são mais produtivas e efetivas quando não estão submetidas a regras e processos excessivos.

Para que isso tenha efeito, essa liberdade também deve ser respeitada pelo sistema e pelas ferramentas e procedimentos que eles desenvolvem. Assim, a nova ferramenta da Netflix respeita o tempo das pessoas, atenção e autonomia, enquanto melhora a segurança da empresa.

Educação, não reforço automático

Quando as pessoas da sua empresa trazem seus próprios dispositivos (BYOD), elas precisam entender que alguns passos simples podem melhorar a segurança desses equipamentos, e que esses gadgets jamais serão controlados pela empresa. Caso contrário, se os colaboradores forem alvos de ataques como phishing ou malwares, os próximos dispositivos da lista serão os da Netflix.

Mas a Netflix gosta de dar todo o apoio ao seu pessoal para que eles façam as mudanças dentro do seu próprio tempo, sem precisarem de nenhum tipo de suporte. Para tal, são dadas sugestões com informações adicionais, juntamente com um link para instruções detalhadas.

Práticas de segurança

Atualmente, a Netflix acompanha as seguintes configurações de segurança dos equipamentos:

  • Criptografia de disco;
  • Firewall;
  • Atualizações automáticas;
  • SO e softwares atualizados;
  • Bloqueio de tela;
  • Não rooteado;
  • Software de segurança (ex.: Carbon Black)

Para cada prática é dada uma classificação que determina o quanto a prática é importante. As mais importantes vão para o topo, com as práticas críticas destacadas em vermelho e juntas em uma faixa no topo.

Implementação e fontes de dados

O Stethoscope foi criado utilizando Python para o back end e React para o front end. A aplicação web não tem armazenamento de dados próprio, mas busca diretamente em várias fontes de dados as informações para os equipamentos, combinando esses dados para exibição.

As várias fontes de dados são implementadas como plugins, o que torna relativamente simples implementar fontes. Atualmente, é suportado o LANDESK (para Windows), JAMF (para Macs) e Google MDM (para equipamentos móveis).

Notificações

Além do estado do equipamento, o Stethoscope fornece uma interface para visualizar e responder às notificações. Falando nisso, caso você tenha um sistema que rastreia acessos suspeitos de aplicações, você poderia escolher apresentar as notificações da seguinte maneira:

A Netflix aconselha que você utilize esses alertas somente quando existir uma ação a ser tomada – alertas sem ações correspondentes geralmente são confusos e contraprodutivos.

Amigável para equipamentos móveis

A interface do Stethoscope é responsiva, então é fácil de utilizar em equipamentos móveis. Isso é especialmente importante para as notificações, que deveriam ser fáceis de serem tratadas, mesmo que as pessoas não estejam em suas estações de trabalho.

O que vem depois?

O pessoal da Netflix está empolgado em trabalhar com outras organizações para estender as fontes de dados que podem alimentar o Stethoscope. O Osquery é o próximo em sua lista e existem muitas outras integrações possíveis.

Começando

O Stethoscope está disponível no GitHub. Se você quiser ter uma ideia sobre ele, você pode executar o front end com exemplos de dados com um único comando. Também está disponível uma configuração para o Docker Composer para executar a aplicação inteira.

Apresentações

A Netflix agradece à ShmooCon por lhe dar a oportunidade de apresentar esse trabalho mais cedo este ano. Os Slides e o vídeo agora estão publicamente disponíveis.

***

Fonte: http://techblog.netflix.com/2017/02/introducing-netflix-stethoscope.html

De 0 a 10, o quanto você recomendaria este artigo para um amigo?

Alex Lattaro
Saiba mais

Alex Lattaro

edit50 Artigo(s)

Alex Lattaro é Mestrando em Inteligência Artificial pela Unicamp e tecnólogo em Análise e Desenvolvimento de Sistemas pelo IFSP. Já trabalhou como líder de conteúdo no Imasters e na Microsoft, foi Especialista em Ciência de Dados na Kroton, Ilumeo e Santander e também atuou como professor no Samsung Ocean na Unicamp, ministrando aulas de Python, Ciência de Dados e Inteligência Artificial.