- Home
- Trust
ศูนย์ความเชื่อถือ ExpressVPN
ExpressVPN เป็นบริษัทเกี่ยวกับความเป็นส่วนตัวเป็นที่ตั้ง ผู้ใช้งานของเราไว้วางใจให้เราปกป้องความเป็นส่วนตัวของพวกเขาด้วยการผสมผสานระดับแนวหน้าของอุตสาหกรรม อันประกอบไปด้วยฮาร์ดแวร์ ซอฟต์แวร์ และความเฉลียวฉลาดของมนุษย์ ต่อไปนี้คือวิธีการทำงานของเราเพื่อสร้างความเชื่อมั่น
ความปลอดภัยที่ ExpressVPN: กลยุทธ์เด่น 4 ประการของเรา
เรียนรู้ว่าเราจัดการความปลอดทางทางไซเบอร์เพื่อปกป้องระบบและผู้ใช้งานของเราอย่างไร
1. สร้างระบบที่ยากต่อการตกเป็นรอง
ซอฟต์แวร์ ExpressVPN ได้รับการปกป้องจาก การแทรกซึมของโค้ดที่เป็นอันตราย ตั้งแต่ขั้นตอนการสร้างไปจนถึงการส่งมอบซอฟต์แวร์ ด้วยระบบการยืนยันที่สร้างขึ้นมาเองที่ได้รับการตรวจสอบโดยอิสระ
เราใช้การจับคู่กุญแจสาธารณะ-ส่วนตัวเพื่อจุดประสงค์ด้านความปลอดภัยหลากหลายรูปแบบ เช่น การยืนยันตัวตนสองระดับ การลงทะเบียน Git commit และการเชื่อมต่อไปยังเซิร์ฟเวอร์ผ่าน SSH โดยเราลดความเสี่ยงปัญหากุญแจส่วนตัวถูกขโมย ด้วยการจัดเก็บกุญแจเหล่านี้ในอุปกรณ์ฮาร์ดแวร์ด้านความปลอดภัย นั่นหมายความว่า แม้ว่าเวิร์กสเตชันของพวกเราถูกรุกล้ำ ผู้โจมตีก็ไม่สามารถขโมยกุญแจส่วนตัวของเราไปได้
อุปกรณ์เหล่านี้ได้รับการรักษาความปลอดภัยด้วยวลีรหัสผ่านและได่รับการกำหนดค่าให้ "หยุดทำงาน" หากพบเจอความล้มเหลวในปลดบล็อกบ่อยครั้ง เนื่องจากอุปกรณ์เหล่านี้อาศัยการสัมผัสโดยตรงเพื่อสั่งทำงาน นี่จึงหมายความว่า มัลแวร์จะไม่สามารถขโมยกุญแจได้เลย หากไม่ได้รับความช่วยเหลือจากมนุษย์จริง ๆ
โค้ดในกระบวนการสร้างทั้งหมดจะต้องอาศัยมนุษย์ในการทำหน้าที่ตรวจสอบเท่านั้น ซึ่งนี่ทำให้เพิ่มโค้ดที่เป็นอันตรายได้ยากยิ่งขึ้น ทั้งจากการคุมคามภายในหรือในกรณีที่เวิร์กสเตชันของพนักงานถูกโจมตี
เราใช้ SSH เป็นช่องทางอันปลอดภัยเพื่อเข้าถึงเซิร์ฟเวอร์สำคัญของเราจากระยะไกล โดยเซิร์ฟเวอร์ SSH เหล่านี้ได้รับการกำหนดค่าให้ใช้เฉพาะชุดรหัสลับ (Cipher) ที่มีความปลอดภัยสูง อัลกอริธึมการแลกเปลี่ยนกุญแจ และ MAC เรายังไม่อนุญาตการเชื่อมต่อแบบรูต นอกจากนี้การยืนยันยังสามารถเกิดขึ้นได้ก็ต่อเมื่อใช้กุญแจ SSH อันแข็งแกร่งเท่านั้นด้วย—ซึ่งหมายความว่า รหัสผ่านจะไม่ได้รับการอนุญาต เราใช้โฮสต์ป้อมปราการ SSH ระดับสูงเพื่อแยกการสร้างโครงสร้างพื้นฐานออกจากอินเทอร์เน็ตแบบเปิด โดยเครื่องกลเหล่านี้จะยอมรับการรับส่งข้อมูลจากที่อยู่ของ IP กลุ่มที่ได้รับการอนุมัติเท่านั้น (Whitelist)
เนื่องจากการกำหนดค่าทั้งหมดนี้ได้รับการระบุเอาไว้ในโค้ด มันจึงได้รับการตรวจสอบซ้ำและถอดแบบได้
สำหรับเครื่องกลในกระบวนการสร้าง ซอฟต์แวร์แบบพึ่งพาจะได้รับการอัปเดตโดยอัตโนมัติผ่านการอัปเกรดด้วยตัวเองเพียงลำพัง
2. ลดทอนความเสียหายที่อาจเกิดขึ้น
สำหรับการลดภัยคุกคามปัญหากุญแจถูกขโมยเพื่อนำไปใช้ในการปลอมเป็นเซิร์ฟเวอร์ VPN เรากำหนดให้แอปพลิเคชัน ExpressVPN ยืนยันตัวกับเซิร์ฟเวอร์ API เพื่อรับการตั้งค่าของการกำหนดค่าที่ได้รับการอัปเดต โดยแอปพลิเคชันของเราจะยืนยันตรวจสอบเซิร์ฟเวอร์ที่พวกมันกำลังเชื่อมต่อไปด้วยการยืนยันลายเซ็นผู้ออกใบรับรอง หรือ Certificate Authority (CA) ส่วนตัว รวมถึงยืนยันชื่อเพื่อทำให้แน่ใจว่า ผู้โจมตีไม่สามารถปลอมตัวเป็นเราได้
ตัวจัดการรหัสผ่านของ ExpressVPN (หรือในชื่อ ExpressVPN Keys) ใช้ประโยชน์จากการเข้ารหัสแบบ Zero-knowledge เพื่อให้แน่ใจว่าจะไม่มีใคร—ไม่แม้แต่ ExpressVPN ที่จะสามารถถอดรหัสข้อมูลที่ผู้ใช้ของเราจัดเก็บเอาไว้ได้ การเข้ารหัสแบบ Zero-knowledge ช่วยให้มั่นใจได้ว่าหากมีการรั่วไหลของข้อมูลในเซิร์ฟเวอร์ของเรา ผู้โจมตีจะไม่สามารถถอดรหัสข้อมูลใด ๆ ที่จัดเก็บโดยผู้ใช้ของเราได้ ข้อมูลนี้จะถูกถอดรหัสบนอุปกรณ์ของผู้ใช้เท่านั้น และสามารถถอดรหัสได้โดยใช้คีย์เข้ารหัสที่สร้างโดยรหัสผ่านหลักของผู้ใช้เท่านั้น—ซึ่งมีเพียงผู้ใช้เท่านั้นที่รู้
การสร้างโมเดลภัยคุกคามด้านความปลอดภัยและความเป็นส่วนตัวเป็นส่วนหนึ่งของขั้นตอนการออกแบบของทุกระบบ เราใช้โครงร่าง MITRE ATT&CK เพื่อระบุภัยคุกคามที่อาจปรากฏต่อการออกแบบของเรา เรายังพิจารณาถึงวิธีในการกำจัดภัยเหล่านี้ รวมถึงดำเนินการตรวจวัดอย่างรัดกุมเพื่อลดความเสี่ยงที่อาจเกิดขึ้นได้
ผู้ใช้งาน บริการ และการปฏิบัติการทั้งหมดของเราดำเนินการไปตามโมเดลแบบให้สิทธิ์น้อยที่สุด (Least Privilege) พนักงานของเราได้รับอนุญาตให้เข้าถึงได้เฉพาะบริการและระบบในกระบวนการสร้างที่จำเป็นต่อตำแหน่งงานของพวกเขาเท่านั้น ทั้งนี้พนักงานดูแลลูกค้าของเราทำงานภายใต้สภาพแวดล้อมสองแบบ ได้แก่ แบบที่ไม่ได้รับความเชื่อถือสำหรับการกิจกรรมท่องเว็บทั่วไปและแบบที่ถูกจำกัดสำหรับการเข้าถึงระบบสำคัญ มาตรการเหล่านี้ช่วยลดผลกระทบและป้องกันไม่ให้ผู้โจมตีสามารถเข้าควบคุมบัญชีใดก็ตามของพวกเราได้สำเร็จ
3. ลดระยะเวลาที่ถูกโจมตี
เราตรวจสอบบริการภายในและโครงสร้างของเราอยู่ตลอดเวลาเพื่อตรวจหากิจกรรมผิดปกติหรือไม่ได้รับการรับรอง ฝ่ายความปลอดภัยของเราที่พร้อมทำงานทุกวันตลอด 24 ชั่วโมงยังดำเนินการเฝ้าระวังและประเมินการแจ้งเตือนด้านความปลอดภัยแบบเรียลไทม์อีกด้วย
ระบบต่าง ๆ ของเราจำนวนมากจะถูกทำลายและสร้างขึ้นใหม่โดยอัตโนมัติหลายครั้งต่อสัปดาห์หรือ ต่อวัน ซึ่งกระบวนการนี้ช่วยจำกัดช่วงระยะเวลาที่ผู้โจมตีอาจแฝงอยู่ในระบบของเราได้
4. ตรวจสอบความสมบูรณ์การควบคุม
ด้านความปลอดภัยของเรา
เราดำเนินการทดสอบความสามารถในการเจาะผ่านอย่างต่อเนื่องเพื่อประเมินผลระบบและซอฟต์แวร์ของเราในการระบุข้อบกพร่องและจุดอ่อน โดยผู้ที่ทำการทดสอบของเรามีสิทธิ์เข้าถึงซอร์สโค้ดทั้งหมดและใช้งานการผสมผสานของการทดสอบแบบอัตโนมัติและแบบกระทำด้วยตนเอง เพื่อให้มั่นใจต่อการประเมินบริการและผลิตภัณฑ์ของเราทั้งหมด
เราว่าจ้างผู้ตรวจสอบอิสระเพื่อตรวจสอบความปลอดภัยของบริการและซอฟต์แวร์ของเรา ข้อตกลงเหล่านี้ทำหน้าที่เป็นเครื่องยืนยันว่าการควบคุมภายในของเรามีประสิทธิผลในการบรรเทาช่องโหว่ด้านความปลอดภัย ในขณะที่เสนอเอกสารให้กับลูกค้าเกี่ยวกับความถูกต้องของการอ้างสิทธิ์ด้านความปลอดภัยที่เราทำเกี่ยวกับผลิตภัณฑ์ของเรา
ดูรายการรายงานการตรวจสอบทั้งหมด
นวัตกรรม
เนื่องจากเรามุ่งมั่นอย่างหนักเพื่อให้บรรลุผลและเหนือกว่ามาตรฐานอุตสาหกรรมในด้านความปลอดภัย เราจึงสร้างสรรค์สิ่งใหม่ ๆ รักษาความปลอดภัยให้กับผลิตภัณฑ์และผู้ใช้งานของเราอย่างไม่หยุดหย่อน ต่อไปนี้คือสองเทคโนโลยีอันล้ำสมัยที่สร้างขึ้นโดย ExpressVPN ที่เราต้องการเน้นย้ำ
Lightway: โปรโตคอลของเราที่มอบประสบการณ์ VPN เหนือระดับ
Lightway คือโปรโตคอล VPN ที่สร้างขึ้นโดย ExpressVPN โดยโปรโตคอล VPN คือ ช่องทางที่อุปกรณ์ใช้เชื่อมต่อไปยังเซิร์ฟเวอร์ VPN ทั้งนี้ผู้ให้บริการส่วนมากใช้โปรโตคอลที่หาได้ทั่วไปเหมือนกัน แต่เราริเริ่มในการสร้างโปรโตคอลที่มีประสิทธิภาพที่เหนือกว่าขึ้นมา ซึ่งทำให้ผู้ใช้ VPN ไม่เพียงแต่สัมผัสได้ถึงความเร็วและความเสถียรที่เพิ่มมากขึ้นเท่านั้น แต่รวมถึงความปลอดภัยที่เพิ่มมากยิ่งขึ้นอีกด้วย
Lightway ใช้ wolfSSL ซึ่งไลบารีวิทยาการเข้ารหัสลับอันแข็งแกร่งของพวกเขาได้รับการตรวจสอบในวงกว้างโดยบุคคลที่สาม รวมถึงการดำเนินตามมาตรฐาน FIPS 140-2
Lightway ยังสงวนความเป็นส่วนตัวแห่งอนาคตอันสมบูรณ์แบบ อีกด้วย โดยอาศัยการเข้ารหัสกุญแจแบบไดนามิกที่ถูกลบล้างและสร้างขึ้นมาใหม่ตลอดเวลา
ไลบารีหัวใจหลักของ Lightway เป็นแบบโอเพนซอร์ส เพื่อทำให้มั่นใจว่า มันมีความโปร่งใสและได้รับการประเมินด้านความปลอดภัยในวงกว้าง
Lightway มาพร้อมการสนับสนุนโพสต์ควอนตัมที่ปกป้องผู้ใช้จากนักโจมตีที่กระทำผ่านการเข้าถึงทั้งคอมพิวเตอร์คลาสสิกและควอนตัม ExpressVPN เป็นหนึ่งในผู้ให้บริการ VPN รายแรกที่ปรับใช้การป้องกันโพสต์ควอนตัม เพื่อให้ผู้ใช้ยังคงมีความปลอดภัยแม้เผชิญกับความก้าวหน้าในการคำนวณเชิงควอนตัม
ศึกษาเพิ่มเติมเกี่ยวกับ Lightway และอ่านบล็อกเกี่ยวกับผู้พัฒนาของเราสำหรับข้อมูลเบื้องลึกด้านเทคนิคจากผู้พัฒนาซอฟต์แวร์ ExpressVPN เพื่อดูว่า Lightway ทำงานอย่างไรและอะไรที่ทำให้ Lightway ดีกว่าโปรโตคอลอื่น ๆ
TrustedServer: ข้อมูลทั้งหมดถูกล้างทุกครั้งที่รีบูต
TrustedServer คือเทคโนโลยีเซิร์ฟเวอร์ VPN ที่เราสร้างขึ้นมาเพื่อส่งมอบความปลอดภัยที่เหนือกว่าแก่ผู้ใช้ของเรา
ทำงานบนหน่วยความจำแบบลบได้ หรือ RAM เท่านั้น ระบบและแอปปฏิบัติการจะไม่มีวันเขียนอะไรลงบนฮาร์ดไดรฟ์ ซึ่งจะเก็บข้อมูลทั้งหมดเอาไว้จนกว่าที่พวกมันจะถูกลบหรือเขียนทับ เนื่องจาก RAM อาศัยไฟในการจัดเก็บข้อมูล ข้อมูลทั้งหมดบนเซิร์ฟเวอร์จึงถูกลบทุกครั้งที่ปิดและเปิดเครื่องใหม่อีกครั้ง—เพื่อเป็นการหยุดยั้งไม่ให้ทั้งข้อมูลและผู้บุกรุกคงอยู่ในระบบต่อไปได้
เพิ่มความต่อเนื่อง ด้วย TrustedServer เซิร์ฟเวอร์ทุกตัวของ ExpressVPN จะทำงานด้วยซอฟต์แวร์ที่ได้รับการอัปเดตล่าสุดแทนการที่เซิร์ฟเวอร์แต่ละเครื่องต้องรับการอัปเดตในเวลาที่แตกต่างกัน นั่นหมายความว่า ExpressVPN จะทราบได้อย่างแน่นอนว่า เซิร์ฟเวอร์ทุกเครื่องใช้งานอะไรอยู่—ซึ่งเป็นการลดความเสี่ยงต่อการถูกบุกรุกหรือการกำหนดค่าผิดพลาด รวมถึงเป็นการเพิ่มความปลอดภัย VPN อย่างมาก
เทคโนโลยี TrustedServer ได้รับการตรวจสอบโดย PwC
ต้องการดูรายละเอียดเพิ่มเติมเกี่ยวกับวิธีที่ TrustedServer ปกป้องผู้ใช้หรือไม่? อ่านข้อมูลเชิงลึกเกี่ยวกับเทคโนโลยีของเรา ซึ่งเขียนโดยวิศวกรผู้ออกแบบระบบ
การตรวจสอบความปลอดภัยอิสระ
เรามุ่งมั่นที่จะดำเนินการตรวจสอบเชิงลึกโดยบุคคลที่สามสำหรับผลิตภัณฑ์ของเราด้วยความถี่สูง ต่อไปนี้คือรายการการตรวจสอบภายนอกที่ครอบคลุมของเรา โดยเรียงลำดับตามลำดับเวลา:
การตรวจสอบโดย Cure53 ของส่วนขยายเบราว์เซอร์ ExpressVPN Keys (ตุลาคม 2022)
การตรวจสอบโดย Cure53 ของส่วนขยายเบราว์เซอร์ ExpressVPN (ตุลาคม 2022)
การตรวจสอบโดย KPMG เกี่ยวกับนโยบายไม่บันทึกข้อมูลการใช้งาน (กันยายน 2022)
การตรวจสอบความปลอดภัยโดย Cure53 ของแอปของเราสำหรับ iOS (กันยายน 2022)
การตรวจสอบความปลอดภัยโดย Cure53 ของแอปของเราสำหรับ Android (สิงหาคม 2022)
การตรวจสอบโดย Cure53 ของแอป Linux ของเรา (สิงหาคม 2022)
การตรวจสอบโดย Cure53 ของแอป macOS ของเรา (กรกฎาคม 2022)
การตรวจสอบความปลอดภัยโดย Cure53 ของเราเตอร์ Aircove ของเรา (กรกฎาคม 2022)
การตรวจสอบความปลอดภัยโดย Cure53 ของ TrustedServer ซึ่งเป็นเทคโนโลยีเซิร์ฟเวอร์ VPN ภายในองค์กรของเรา (พฤษภาคม 2022)
การตรวจสอบโดย F-Secure ของแอป Windows v12 ของเรา (เมษายน 2022)
การตรวจสอบความปลอดภัยโดย F-Secure ของแอป Windows v10 (มีนาคม 2022)
การตรวจสอบความปลอดภัยโดย Cure53 ของโปรโตคอล VPN Lightway ของเรา (สิงหาคม 2021)
การตรวจสอบโดย PwC สวิตเซอร์แลนด์เกี่ยวกับกระบวนการตรวจสอบบิลด์ของเรา (มิถุนายน 2020)
การตรวจสอบโดย PwC สวิตเซอร์แลนด์เกี่ยวกับการปฏิบัติตามนโยบายความเป็นส่วนตัวและเทคโนโลยีภายในองค์กร TrustedServer ของเรา (มิถุนายน 2019)
การตรวจสอบความปลอดภัยโดย Cure53 ของส่วนขยายเบราว์เซอร์ของเรา (พฤศจิกายน 2018)
รางวัลตอบแทนสำหรับ
นักล่าบั๊ก
สำหรับโครงการรางวัลตอบแทนสำหรับนักล่าบั๊กของเรา เราเชิญนักวิจัยด้านความปลอดภัยให้มาเข้าร่วมทดสอบระบบของเราและรับรางวัลเป็นเงินเมื่อพบปัญหาใด ๆ โครงการนี้ช่วยให้เราได้พบกับนักทดสอบจำนวนมากที่ตรวจสอบปัญหาด้านความปลอดภัยของโครงสร้างและแอปพลิเคชันของเราอยู่ตลอดเวลา โดยปัญหาที่พบเหล่านี้จะถูกยืนยันและแก้ไขเพื่อให้มั่นใจว่า ผลิตภัณฑ์ของเรามีความปลอดภัยมากที่สุดเท่าที่จะเป็นไปได้
ทั้งนี้กรอบของโครงการดังกล่าวของเราครอบคลุมข้อบกพร่องในเซิร์ฟเวอร์ VPN แอปและส่วนขยายเบราว์เซอร์ เว็บไซต์ของเรา และอีกมากมาย สำหรับใครก็ตามที่รายงานบั๊กหรือช่องโหว่ เราจะมอบพี่พักอาศัยอันปลอดภัยสูงสุดที่เป็นไปตามระเบียบสากลที่ดีที่สุดในโลกแห่งงานวิจัยด้านความปลอดภัย
โครงการรางวัลตอบแทนสำหรับนักล่าบั๊กของเราได้รับการบริหารงานโดย Bugcrowd คลิกที่ลิงก์นี้สำหรับข้อมูลเพิ่มเติมหรือรายงานบั๊กที่พบ
ผู้นำแห่งอุตสาหกรรม
ในขณะที่เรากำหนดมาตรฐานอันเข้มงวดสำหรับการดำเนินงานเรา เรายังเชื่อมั่นด้วยว่า ความพยายามของเราในการสร้างอินเทอร์เน็ตที่เป็นส่วนตัวและปลอดภัยมากยิ่งขึ้นจะไม่หยุดอยู่เพียงเท่านี้—นี่จึงเป็นเหตุผลว่า ทำไมเราร่วมงานกับอุตสาหกรรม VPN อย่างรอบด้านเพื่อยกระดับมาตรฐานและปกป้องผู้ใช้งานได้มากขึ้น
เราร่วมก่อตั้งและบริหาร VPN Trust Initiative (VTI) กับ Internet Infrastructure Coalition (i2Coalition) และบริษัทใหญ่ในอุตสาหกรรมนี้อีกมากมาย นอกจากผลงานที่เป็นที่รู้จักและได้รับการพูดถึงอย่างต่อเนื่อง กลุ่มของเราได้สร้างหลักการของ VTI—แนวทางสำหรับผู้ให้บริการ VPN ที่เกี่ยวเนื่องกับความปลอดภัย ความเป็นส่วนตัว ความโปร่งใส และอีกมากมาย โดยหลักการดังกล่าวมีพื้นฐานมาจากโครงการริเริ่มด้านความโปร่งใสของ ExpressVPN ที่ดำเนินการร่วมกับศูนย์ประชาธิปไตยและเทคโนโลยี
ทั้งนี้บางนวัตกรรมที่เราบุกเบิกนั้นได้ช่วยขับเคลื่อนอุตสาหกรรม VPN ไปข้างหน้า โดยเราเป็นเจ้าแรกที่สร้าง TrustedServer ขึ้นมา ซึ่งต่อจากนั้นทำให้บริษัทอื่นคิดสร้างเทคโนโลยีที่คล้ายกันตามมา นอกจากนี้ Lightway เป็นอีกหนึ่งตัวอย่างของเทคโนโลยีที่เราสร้างขึ้นมาเองทั้งหมด และเราหวังว่าการทำให้มันเป็นโอเพนซอร์สจะเป็นแรงผลักดันต่อวงการอุตสาหกรรม VPN ทั้งหมด
โครงการที่โดดเด่นด้านความเป็นส่วนตัว
เรียนรู้เพิ่มเติมว่าเราปกป้องความเป็นส่วนตัวของผู้ใช้งานของเราอย่างไร
รับรองโดย ioXT
ExpressVPN เป็นหนึ่งในแอป VPN จำนวนไม่กี่บริษัทที่ได้รับการรับรองโดย ioXT Alliance ด้วยมาตรฐานความปลอดภัยที่ช่วยเพิ่มความสามารถให้กับลูกค้าในการใช้บริการของเราด้วยความมั่นใจที่เพิ่มมากขึ้น
คุณสมบัติความเป็นส่วนตัว
ภายในแอป
เราสร้างคุณสมบัติในแอปของเราสำหรับ Android ที่เรียกว่า สรุปการปกป้อง ซึ่งช่วยให้ผู้ใช้สามารถปกป้องความเป็นส่วนตัวของพวกเขาผ่านแนวทางที่ใช้ได้จริง
แล็บความปลอดภัยดิจิทัล
เราเปิดตัวแล็บความปลอดภัยดิจิทัลเพื่อค้นคว้าอย่างละเอียดในประเด็นปัญหาความเป็นส่วนตัวในโลกแห่งความเป็นจริง ดูเครื่องมือในการทดสอบการรั่วไหลของแล็บที่ช่วยยืนยันความปลอดภัย VPN ของคุณ