具有反馈回路的自动化也是大规模解决安全挑战的关键

科技2020-03-23 15:58:17
导读脾气暴躁的安全问题,你的日子已经屈指可数了。在黑帽演讲中,由摇滚音乐会的灯光和音响效果预示着安全工程师来自拉斯维加斯的广场告诉我们

脾气暴躁的安全问题,你的日子已经屈指可数了。在黑帽演讲中,由摇滚音乐会的灯光和音响效果预示着安全工程师来自拉斯维加斯的广场告诉我们,文化是组织中自动化安全的关键杠杆。“如果你强化安全是每个人的工作,你就会走向一种更具生育性的文化”,在这种文化中,风险是分享的,合作是有价值的,信使也不会被视为开枪。

文化是人们的利益。

在世界正在经历巨大的网络安全技能短缺的时候,这就意味着瓶颈信息安全团队的终结,他们在整个组织中的膝盖反射和磨损“不”的尖叫声就像黑板上的指甲一样。“我们不再是局外人,”他说。“我们现在在社区和组织内部,我们需要考虑如何最好地利用这个机会来提高安全性。”

而不是'不'以'是'开头。

找到让安全人员负责的方法,并确保将失败视为学习体验,而不是责备游戏,是在整个组织中扩展安全性的最佳方式。

“我们需要以”是“开始参与世界,”他补充道。“它使谈话继续进行。它具有协作性和建设性。它说,'我想解决你的问题并使其安全,'并带来真正的变化和真正的影响。”

“而不是'不'以'是'开头。”

DevSecOps是未来成功的关键

说是,意味着对DevSecOps说“是”。软件正在吞噬世界和安全。戴佐维认为,在文化和技术层面将安全性整合到DevOps中至关重要。防守者数量超过数量,需要利用软件来扩大防御能力。“当对手拥有比你更多的资源和人员时,软件自动化可以成为一种力量倍增器。”

在Square,安全工程师必须像其他人一样编写代码,他告诉黑帽人群。“因为安全团队编写的代码与公司的其他部分一样,所以合作和同理心更多。”

他说,一个经常被忽视的成功DevSecOps文化的组成部分,不仅要建立可靠性,还要建立可观察性。如果没有一个严密的反馈回路来衡量自动化的成功,事情就会很快发生。他认为,只关注可靠性就像“建造一个银行金库,然后在停车场放弃它”。

信息安全团队无法保证他们看不到的东西。说是,确保受挫的DevOps工程师不会决定在随机云实例上使用公司数据,并确保在DevOps流程的每个步骤中都建立安全性,之后不会拴住。

企业安全就像跳伞

跳伞运动员戴头佐维说,跳伞运动员可以跳伞,企业安全专业人员可以从过去50年来对降落伞的增量安全改进中学到很多东西。他举例说,传说中的跳伞安全先驱比尔·布斯的例子,跳伞的“疯狂科学家”现在谁发明了许多安全特性去rigeur今天遍布世界各地。

他指出,没有人监管这些变化。当布斯问道:“我怎么能更安全地从飞机上跳下去?” 没有一个谦虚的安全专家说,“你有没有考虑过?”

当然,这个比喻远非完美; 安全和保障是不一样的。作为一般规则,对抗性跳伞运动员不会试图在半空中撕碎你的降落伞。然而,这个比喻值得深思。企业如何才能使乍一看似乎不安全的活动 - 跳出飞机 - 但进一步反思可能不像看起来那么危险?人类往往高估恐怖主义或零日的风险,低估花园品种风险,如心脏病或证件填充攻击。

安全团队的存在是为了实现业务,而不是相反。仔细思考所涉风险的真实性质以及如何减轻这些风险,应该是第一位的工作。

短缺的移情和编码技巧

如果戴佐维是正确的,正如我们怀疑的那样,这意味着明天的网络安全专业人员需要更好的编码技能,而且 - 至关重要的是 - 需要更多软技能。在安全战壕中,同情,沟通和理解一直是供不应求的,而且很明显,这种传统文化现在适应了“保护所有事物”的使命。

使用软件自动化安全功能非常简单。创造一个地震文化转变,安全是每个人的责任,安全团队比过去更善良,更温和,更善解人意?有点棘手。

免责声明:本文由用户上传,如有侵权请联系删除!