Oprogramowanie ExpressVPN od momentu tworzenia do dostarczenia jest chronione przed złośliwym kodem, dzięki wewnętrznemu systemowi weryfikacji tworzenia, który został poddany niezależnej weryfikacji.

Używamy par kluczy publiczno-prywatnych do różnych celów związanych z bezpieczeństwem, takich jak uwierzytelnianie dwuskładnikowe, podpisywanie commitów Git i łączenie się z serwerem przez SSH. Zmniejszamy ryzyko kradzieży naszych kluczy prywatnych poprzez przechowywanie ich na bezpiecznych urządzeniach. Oznacza to, że nawet jeśli nasze stacje robocze są zagrożone, napastnik nie może wykraść naszych kluczy prywatnych.

Urządzenia te są zabezpieczone silnymi hasłami i skonfigurowane tak, aby wygasały po wielu nieudanych próbach odblokowania. Obsługa tych urzązeń wymaga fizycznego dotyku, co oznacza, że złośliwe oprogramowanie nie jest w stanie wykraść kluczy bez udziału człowieka.

Każdy kod produkcyjny wymaga obecności co najmniej jednego człowieka, pełniącego rolę recenzenta. W ten sposób znacznie trudniej jest dodać złośliwy kod, czy to z powodu zagrożenia wewnętrznego, czy też w przypadku kompromitacji stacji roboczej pracownika.

Używamy SSH jako bezpiecznego sposobu na uzyskanie zdalnego dostępu do naszych najważniejszych serwerów. Serwery SSH są skonfigurowane w taki sposób, aby używały wyłącznie zestawu wysoce bezpiecznych szyfrów, algorytmów wymiany kluczy i MAC-ów. Nie zezwalamy również na rootowanie, a uwierzytelnianie może odbywać się tylko przy użyciu silnych kluczy SSH - nie można używać haseł. Używamy pośrednich hostów SSH Bastion, aby oddzielić infrastrukturę produkcyjną od otwartego Internetu. Maszyny te akceptują ruch tylko z adresów znajdujących się na białej liście IP.

Cała ta konfiguracja jest zdefiniowana w kodzie, więc można ją recenzować i odtwarzań.

W przypadku maszyn produkcyjnych oprogramowanie jest unowocześniane automatycznie poprzez nienadzorowane aktualizacje.

Aby zminimalizować ryzyko wykorzystania skradzionych kluczy do podszywania się pod serwer VPN, wymagamy, aby aplikacja ExpressVPN zameldowała się na naszych serwerach API w celu otrzymania zaktualizowanych ustawień konfiguracyjnych. Nasze aplikacje uwierzytelniają serwery, z którymi się łączą, walidując prywatny podpis Certificate Authority (CA) i wspólną nazwę, dzięki czemu atakujący nie może się pod nas podszyć.

Podczas korzystania z ExpressVPN Twoje dane są zabezpieczane zaawansowaną matematyką AES-256, tym samym standardem szyfrowania przyjętym przez rząd USA i zaufanym przez ekspertów ds. bezpieczeństwa na całym świecie do ochrony poufnych informacji. Gdy używasz menedżera haseł (ExpressVPN Keys), Twoje wrażliwe dane są chronione przez szyfrowanie z zerową wiedzą, co oznacza, że nikt – nawet my – nie może odszyfrować informacji przechowywanych w Keys. Wszelkie informacje są odszyfrowywane wyłącznie na urządzeniu użytkownika i mogą być odszyfrowane wyłącznie przy użyciu kluczy szyfrowania wygenerowanych przez hasło główne użytkownika, które zna tylko on sam.

Aby zagwarantować, że dedykowany adres IP (DIP) od ExpressVPN utrzymuje solidne zabezpieczenia techniczne i prywatność, korzystamy z przydziału IP z zerową wiedzą i ślepych tokenów, aby uniemożliwić administratorom ExpressVPN identyfikację użytkownika na podstawie jego dedykowanego adresu IP.

Modelowanie zagrożeń bezpieczeństwa i prywatności jest włączone w fazę projektowania każdego systemu. Używamy ram MITRE ATT&CK do identyfikacji zagrożeń, które mogą występować w naszych projektach, rozważamy sposoby ich usunięcia i stosujemy odpowiednie środki w celu zminimalizowania potencjalnego ryzyka.

Wszyscy nasi użytkownicy, usługi i operacje działają zgodnie z modelem najmniejszych uprawnień (least-privilege). Nasi pracownicy mają dostęp tylko do tych usług i systemów produkcyjnych, które są niezbędne do pełnienia ich funkcji. Nasi agenci ds. pomocy technicznej pracują w dwóch środowiskach: niezaufanym do ogólnego przeglądania stron internetowych i restrykcyjnym do uzyskiwania dostępu do systemów wrażliwych. Środki te minimalizują wpływ i udaremniają cele atakujących, gdyby udało im się przejąć któreś z naszych kont.

Nieustannie monitorujemy nasze wewnętrzne usługi i infrastrukturę pod kątem wszelkich anomalii lub nieuprawnionych działań. Nasz działający 24 godziny na dobę i 7 dni w tygodniu zespół ds. bezpieczeństwa monitoruje w czasie rzeczywistym i rozwiązuje problemy związane z alarmami bezpieczeństwa.

Wiele z naszych systemów jest automatycznie niszczonych i odbudowywanych kilka razy w tygodniu, jeśli nie codziennie. Ogranicza to potencjalną długość czasu, w którym atakujący może mieć na oku nasze systemy.