如何提升您组织的安全专业知识

这些最佳实践将使您的员工更精明,您的组织更安全。
302 位读者喜欢这篇文章。
a checklist for a team
图片来源:

Opensource.com

如今,IT 安全对每家公司都至关重要。正如前 FBI 局长罗伯特·穆勒所说:“公司只有两种类型:已被黑客入侵的公司和即将被黑客入侵的公司。”

与此同时,IT 安全也在不断发展。我们都知道我们需要跟上网络安全和安全工具的最新趋势,但我们如何在不牺牲我们推进业务优先事项能力的情况下做到这一点呢?

贵组织中没有人能够单独处理所有的安全工作;您的整个开发和运营团队都需要培养对安全工具和最佳实践的意识,就像他们都需要培养开源和敏捷软件交付技能一样。有许多最佳实践可以帮助您通过基础和中级教育、主题专家和知识共享来提升公司整体的安全专业知识。

基础教育:年度网络安全教育和安全联系信息

更多关于安全的信息

在 IBM,我们每年都完成在线网络安全培训课程。我建议其他公司也采用这种最佳实践。在线培训以基础水平授课,并且不假设任何人具有技术背景。主题包括社交工程、网络钓鱼和鱼叉式网络钓鱼攻击、有问题的网站、病毒和蠕虫等。我们学习如何避免可能使我们自己或我们的系统面临风险的情况,如何识别企图安全漏洞的迹象,以及如果我们注意到任何可疑情况,如何报告问题。这种在线教育的目的是以较低的每人成本提高组织的整体安全意识和准备程度。这种教育的一个很好的副作用是,这些基本知识可以应用于我们的个人生活,我们也可以与家人和朋友分享我们所学到的知识。

除了通用的网络安全教育之外,所有员工都应接受关于数据安全和隐私法规以及如何遵守这些法规的年度培训。

最后,我们通过在 Slack 等显眼位置分享公司安全事件响应团队网站的链接,并设置建议匹配项以确保对我们内部网站的搜索会将人们发送到正确的位置,从而使人们可以轻松找到该团队

 

security_search_screen.png

中级教育:从您的工具中学习

安全专业知识的另一个重要来源是通过预构建的安全工具。例如,我们已经设置了一组自动化安全测试,使用 IBM AppScan 对我们的 Web 服务进行测试,它生成的报告包括关于它发现的漏洞的背景知识、威胁的严重性、如何确定您的应用程序是否容易受到该漏洞的影响,以及如何修复问题,并附带代码示例。

同样,来自 npm, Inc. 的免费 npm audit 命令行工具 将扫描您的开源 Node.js 模块并报告它发现的任何已知漏洞。此工具还会生成教育性审计报告,其中包括威胁的严重性、易受攻击的软件包和具有漏洞的版本、没有漏洞的替代软件包或版本、依赖项以及指向有关该漏洞的更详细信息的链接。以下是 npm audit 报告的示例

正则表达式拒绝服务
软件包 minimath
依赖于 gulp [dev]
路径 gulp > vinyl-fs > glob-stream > minimatch
更多信息 https://nodesecurity.io/advisories/118

 

 

 

 

 

任何好的网络级安全工具也会为您提供有关该工具正在阻止的攻击类型以及它如何识别可能的攻击的信息。如果您有权访问这些信息,则可以在在线营销材料以及该工具的控制台和报告中找到此信息。

您的每个开发团队或小组都应至少有一位主题专家,他们花时间阅读并充分理解与您相关的漏洞报告。这通常是技术主管,但也可以是任何有兴趣了解更多安全知识的人。您的本地主题专家将能够在未来的开发和部署过程中更早地识别出类似的的安全漏洞。

使用上面的 npm audit 示例,一位阅读并理解本报告中的安全公告 #118 的开发人员在将来审查代码时,更有可能注意到可能允许正则表达式拒绝服务的更改。团队的主题专家还应培养确定哪些漏洞报告实际上不适用于他或她的特定项目的技能。

中级教育:会议

我们不要忘记参加与安全相关的会议的价值,例如 OWASP AppSec 会议。会议为您的团队成员提供了一个很好的机会,让他们可以专注于学习几天,并将该领域的一些最新想法带回来。会议的“走廊交流”,我们可以向其他从业者学习,也是一个有价值的信息来源。尽管我们大多数人都不喜欢被“推销”,但会议的赞助商大厅是一个随意查看新安全工具的好地方,看看您可能对哪些工具感兴趣以便稍后进行评估。 

如果您的组织足够大,请让您的 DevOps 和安全工具供应商来找您!如果您已经采购了一些很棒的工具,但采用速度没有您希望的那么快,那么许多供应商很乐意为您的团队提供一些额外的实践培训。增加其工具的采用率符合他们的最大利益(使您更有可能继续为其服务付费并增加您的许可证数量),就像最大化您从您付费的工具中获得的价值符合您的最大利益一样。我们最近在最大的站点(那些拥有数千名 IT 专业人员的站点)举办了 Toolbox@IBM + DevSecOps 峰会。十多家供应商赞助了每次活动,来到现场,设置展位,并像在技术会议上一样发表演讲。我们还有几位自己的演讲者在会上发言,介绍了他们正在使用的 DevOps 和安全最佳实践,我们的公司信息安全办公室、敏捷辅导、现场技术支持和内部工具链团队也设置了展位。每个站点都有数百名与会者。这对我们的技术社区来说非常棒,因为我们可以专注于我们已经采购的工具,了解我们公司中的其他团队是如何使用它们的,并建立联系以在未来互相帮助。

当您派人参加会议时,重要的是要设定期望,让他们回来与团队分享他们所学到的知识。我们通常通过非正式的自带午餐学习会来做到这一点,鼓励人们以互动方式讨论新想法。

主题专家和知识共享:安全工程协会

在 IBM 数字业务集团,我们采用了 Spotify 描述的小组模式,并对其进行了调整以使其适合我们。小组模式有时被遗忘的一个方面是协会。协会是卓越中心,专注于一个主题或技能组合,成员来自许多小组。协会成员一起学习,与彼此及其更广泛的团队分享最佳实践,并努力提高技术水平。如果您想建立自己的安全工程协会,以下是一些对我在过去建立协会时有效的小技巧

步骤 1:宣传和招募

您的同事都很忙,因此对于他们中的许多人来说,安全工程协会可能感觉只是他们必须塞进一周的另一件事,而这与编写代码无关。从一开始,协会就必须具有价值主张,这将使其成员和组织都受益。

来自 Signal Sciences 的 Zane Lackey 给了我一些很好的建议:重要的是要说出真相。他说,过去,安全措施可能更多地是妨碍甚至阻止工作的完成。您的安全工程协会需要专注于使您的工程团队的生活更轻松、更高效的方法。您需要找到使与安全相关的繁琐工作自动化程度更高的方法,并使您的开发团队更加自给自足,这样您就不必在开发过程后期依赖安全“关卡”或障碍。

以下是一些可能吸引人们加入您的协会的事项

  • 了解安全漏洞以及您可以采取哪些措施来对抗它们
  • 成为主题专家
  • 参与渗透测试
  • 评估和试用新的安全工具
  • 将“安全工程协会”添加到您的简历中

以下是一些额外的协会招募技巧

  • 直接联系您的安全专家并邀请他们加入:安全架构师、网络安全管理员、公司安全部门的人员等。

  • 邀请一位外部演讲者,他可以激发人们对安全工程的热情。将其宣传为“由安全工程协会赞助”,并在演讲之前和之后收集想要加入您的协会的人员的姓名和联系方式。

  • 获得执行管理层对该计划的支持。也许您的某位副总裁会撰写一篇博客文章,赞扬安全工程技能的优点,并邀请人们加入该协会(或者您或许可以为她或他起草博客文章以进行编辑和发布)。如果时间允许,您可以将该博客文章与宣传外部演讲者结合起来。

  • 要求您的管理团队提名每个小组的一名成员加入该协会。如果您迫切需要快速提高您的安全态势,那么这种强硬的方法非常重要。

步骤 2:组建团队

协会会议的结构应以行动为导向。重要的是要保留议程,以便人们知道您计划在每次会议中讨论哪些内容,但在最后留出时间让成员提出他们想要讨论的任何主题。还要务必记录行动项,并为每个行动项分配负责人和目标日期。最后,记录会议纪要并在每次会议后发送简短摘要。

您的前几次协会会议是您开个好头的最佳机会,并进行一些团队建设。我喜欢运行一个小的设计思维练习,您可以在其中要求团队成员分享他们对协会使命宣言的想法,投票选出他们最喜欢的想法,并使用这些想法来制定一个简单而令人兴奋的使命宣言。使命宣言应包括三个组成部分:谁将受益、协会将做什么以及令人惊叹的因素。练习本身很有价值,因为您可以了解人们最初决定自愿成为协会一员的原因,以及他们希望从中获得什么。

我想从一开始就做的另一件事是询问人们他们希望作为协会实现什么目标。协会应该一起学习,玩得开心,并做实事。一旦您将这些想法摆在桌面上,就开始在这些目标旁边放置负责人和目标日期。

  • 他们想举办读书俱乐部吗?找人推荐一本书并设立读书俱乐部会议。

  • 他们想分享有用的文章和博客吗?找人设置一个 Slack 频道并邀请所有人加入,或者设置一个共享文档,人们可以在其中贡献他们最喜欢的资源。

  • 他们想试用新工具吗?找人设置一个免费试用版,让他们的团队试用一下,并在几周后报告结果。

  • 他们想继续举办一系列讲座吗?找人创建主题和演讲者列表并发送邀请。

如果一些目标最终没有负责人或日期,那也没关系;只需启动一个待办事项列表或待办事项列表,供人们在完成他们的第一个任务时参考。

最后,调查团队以找到每周持续会议的最佳时间和日期并进行设置。我建议从每周 30 分钟的会议开始,并根据需要进行调整。

步骤 3:保持活力或重启

随着时间的推移,您的协会可能会开始失去活力。以下是一些保持兴奋感或重启正在失去活力的协会的方法。

  • 不要成为回音室。邀请组织各个部门的人员进来,花几分钟时间谈论他们在安全工程方面正在做什么,以及他们在哪里有顾虑或看到差距。

  • 展示可衡量的进展。如果您一直在为行动项分配负责人并一直完成它们,那么您肯定取得了进展,但如果您仅从每周的角度来看待它,那么进展可能会感觉很小或微不足道。每季度一次,退后一步,撰写一篇关于您已完成的所有工作的博客,并将其发送给您的组织。展示您已完成的工作会让团队为他们所取得的成就感到自豪,并且这是招募更多人为您的协会服务的另一个机会。

  • 不要害怕承担大型项目。协会不应该是象牙塔;它应该有所作为。例如,您的协会可以决定在大型组织中推广您喜欢的新安全工具。通过一点项目管理和大量执行管理层的支持,您可以而且应该处理跨小组项目。协会成员可以而且应该负责在他们自己小组的待办事项列表中对大型项目中的故事进行优先级排序,并在及时完成。

  • 定期集思广益下一组行动项。随着时间的推移,您组织最关键或最紧迫的需求可能会发生变化。人们将更有动力从事他们认为最重要和最紧迫的事情。

  • 奖励额外的工作。您可以为最具影响力的安全工程项目提供行政管理层赞助的现金奖励。您还可以让协会本身选择某人,不时派他们参加安全会议。

前进,让您的公司更安全

更安全的公司始于受过更好教育的团队。在专业知识的基础上,安全工程协会可以通过制定和分享最佳实践、为每个行动项找到合适的负责人并推动他们完成工作来推动真正的变革。我希望您在这里找到了一些技巧,可以帮助您提升组织的安全专业知识。请在评论中添加您自己的有用技巧。

接下来阅读什么
Shipping containers stacked in a yard

保持 Linux 容器安全可靠

Linux 容器正在帮助改变 IT 的运营方式。组织正在寻找有效的方法来部署他们的...,而不是大型的、单片的虚拟机。

Jason B
(红帽校友)
2016年10月4日
标签
DevOps
安全与隐私
Ann Marie Fred
Ann Marie Fred profile photo
我是一名高级 DevOps 负责人、软件工程师、运维爱好者、前经理、客户拥护者、问题解决者和最佳实践的倡导者。
更多关于我

评论已关闭。

相关内容

Creative Commons License本作品根据知识共享署名-相同方式共享 4.0 国际许可协议获得许可。
© . All rights reserved.