Führende Lern-App beugt Sicherheitslücken mit Fastly Response Security Services vor

Die Herausforderung

Die 83 Millionen monatlich aktiven Nutzer von Duolingo verlassen sich darauf, dass sie mit der App spielend und auf unterhaltsame Weise Sprachen lernen können, und zwar ohne störende oder motivationshemmende Ausfallzeiten. Ein kleines Sicherheitsteam wie das von Duolingo stellt dies vor eine Herausforderung, weshalb das Unternehmen einen Partner zur Unterstützung seiner Sicherheitsbemühungen suchte. Allerdings wollte Senior Engineering Manager Matt Brandman Security nicht vollständig an einen Dritten auslagern. Immerhin kennen er und sein Sicherheitsteam die eigene Anwendung und Technologien am besten und wissen die Sicherheitsmaßnahmen somit an die Geschäftsanforderungen von Duolingo anzupassen. Duolingo brauchte einen Sicherheitspartner, der flexible Lösungen liefern, einen Mehrwert schaffen und bei Vorfällen schnell zur Hand gehen konnte, ohne dabei Redundanzen zu verursachen.

Unsere Lösung

Mit dem Fastly Response Security Service hat Duolingo rund um die Uhr bevorzugten Zugriff auf das weltweit verteilte Customer Security Operations Center (CSOC). Dieses unterstützt Duolingo bei kritischen Sicherheitsvorfällen mit einer vertraglich festgelegten Reaktionszeit von 15 Minuten, hilft bei der Konfiguration, führt regelmäßig Sicherheitsüberprüfungen durch und erstellt entsprechende Berichte. Da sich das Sicherheitsteam von Duolingo darauf verlassen kann, dass Fastly skalierbaren, fachkundigen Support bietet und Sicherheitsvorfälle zuverlässig verhindert und abwehrt, kann es sich so auf seine Arbeit konzentrieren. „Hätten wir unbegrenzt Zeit und Ressourcen, könnte unser Team die Aufgaben selbst in die Hand nehmen, aber viele sehr kluge Leute bei Fastly haben bereits Lösungen geschaffen“, weiß Brandman. „Dank der Zusammenarbeit mit dem Response Security Service von Fastly können wir uns das Wissen des Unternehmens zunutze machen und gleichzeitig unser Team stärken“, so Brandman weiter.

Vorteilhafte Sicherheitsautomatisierung gekoppelt mit flexibler Selbstverwaltung

Duolingo schlägt zwei Fliegen mit einer Klappe. Zum einen erhält sein Sicherheitsteam dank des Response Security Service weniger Fehlalarme. Duolingo kann für zu erwartende Spitzenzeiten, wie z. B. bei Aktionsangeboten, sogar eigene Regeln festlegen, um zu vermeiden, dass legitime Nutzer bei Traffic-Spitzen blockiert werden oder dass automatisierte Regeln unbemerkt das Geschäft beeinträchtigen. Zum anderen werden im Rahmen des Response Security Service auch regelmäßig Duolingos Logs manuell überprüft, damit Trends nicht unerkannt bleiben. Duolingo gelingt ein gutes Gleichgewicht zwischen effizienter Sicherheitsautomatisierung und einer individuellen Sicherheitslösung, die speziell auf die Anforderungen des Unternehmens zugeschnitten ist.

Ein skalierbares Sicherheitsteam gekoppelt mit dem geballten Wissen des Webs

Duolingo profitiert vom Know-how und der Erfahrung der Sicherheitsexperten von Fastly: Sie wissen, welche Angriffe andere Kunden erleben, was in bestimmten Branchen beobachtet wird und welche Angriffsvektoren immer häufiger vorkommen. Fastly veröffentlicht regelmäßig Hinweise auf potenzielle Probleme, die noch nicht als akut eingestuft werden. So kann Duolingo die richtigen Regeln schreiben und Schwachstellen schneller beheben, was wiederum Problemen vorbeugt, die man bei Duolingo eventuell nicht auf dem Schirm hat. Und wenn die internen IT-Teams keine Zeit haben, übernimmt der Response Security Service von Fastly die Erstellung dieser Regeln. „Was sind schon 10 Minuten externer Arbeitsaufwand im Vergleich zu 60 Minuten Ausfallzeit oder mehr?“, so Brandman.

Ein belastbarer Partner gekoppelt mit blitzschneller Reaktion rund um die Uhr

Nach einigen unliebsamen Erfahrungen mit Anbietern, die unerwartet ihre Dienste einstellten, suchte Duolingo nach einem Sicherheitspartner, der seine Kunden langfristig unterstützt und auf den sich das Team im Ernstfall verlassen kann. „Der entscheidende Faktor bei der Auswahl eines Sicherheitspartners ist letztlich, wie sein Team mit uns interagiert und wie es unter Stress, beispielsweise bei einem laufenden Angriff, reagiert“, sagt Brandman. „Fastly hat uns in dieser Hinsicht mehr als überzeugt.“

Der Austausch auf Slack ist für Brandmans Team ein Game Changer: schnelle Kommunikation, in die auch andere Teammitglieder einfach einbezogen werden können, und Antworten innerhalb von Minuten. Gearbeitet wird nach dem Follow-the-Sun-Prinzip. Das bedeutet, dass der für Slack zuständige Fastly Sicherheitsexperte gerade erst in seinen Arbeitstag startet und so mit frischen Augen und wachsamem Geist parat steht.

Fazit: Es kommt auf den richtigen Partner an

„Achten Sie bei der Auswahl eines WAF- und CDN-Anbieters unbedingt auf die Qualität des Teams, mit dem Sie zusammenarbeiten werden, und vergewissern Sie sich, dass es mit den Anforderungen Ihres Unternehmens Schritt halten kann. Denn dieses Team versteht sich nicht nur als Ihr Rückgrat, sondern auch als wichtigsten Schutzschild. Eine starke Beziehung wird sich über Jahre auszahlen. Jedenfalls hat uns das dazu veranlasst, uns für Fastly zu entscheiden“, so Brandman abschließend.

Die Kooperation zwischen Duolingo und Fastly veranschaulicht, wie Fastly und sein Response Security Service die Sicherheitslage eines Unternehmens erfolgreich stärken können. Eine starke Partnerschaft und fachkundige Herangehensweise kann in einer sich schnell verändernden Bedrohungslandschaft zu erhöhtem Schutz, mehr Vertrauen und einem Fokus auf optimierte Abläufe beitragen.