编者按: 以下是Adobe赞助的博客文章.
产品开发组织中的中央安全团队在实现安全的产品生命周期过程中起着至关重要的作用. 正是这个团队推动了组织的中心安全愿景,并与各个团队一起工作,以满足他们的主动安全需求. 我在Adobe领导一个由积极主动的安全研究人员组成的技术团队. 他们都是公认的安全专家,能够帮助公司适应不断变化的威胁环境. 除了掌握最新的安全问题和可能需要到位的潜在缓解措施之外, 安全团队还面临着不断发展技能和保持与业务紧密结合的挑战.
本文主要关注安全团队面临的挑战以及克服这些挑战的潜在方法.
技术的增长是时间的函数
公司的产品组合是其现有产品的组合, 新产品发布和收购旨在帮助弥合产品功能差距或扩展到新的业务领域. 随着时间的推移,这将为公司带来各种各样的技术和体系结构. 此外, 采用新技术的速度远远高于淘汰旧技术的速度. 因此, 中央安全团队需要跟上正在采用的新技术堆栈和体系结构,同时还需要维护现有技术堆栈和体系结构的可管理状态. 由于新技术在很短的时间内涌入开发环境,收购可能会使这种情况进一步复杂化.
安全性并非不受业务演变的影响
云计算和移动领域迫使澳门赌场官方下载重新思考他们应该如何向客户提供产品和服务. Adobe也经历了类似的转变,从一家提供桌面产品的公司转变为一家试图在桌面产品之间取得适当平衡的公司, 云和移动. 安全团队还需要快速与此类业务变化保持一致.
多平台带来了一个倍增因素
当同一产品在多个操作系统上提供时, 基于多种形式因素(如手机和桌面), 或者部署在多个基础设施上, 由于每个平台的独特特性,安全方面的考虑可能会增加. 中央安全团队需要了解并熟练掌握这些考虑因素,以提供有效的主动建议.
主题专业知识有局限性
强大的主题专业知识有助于安全团队在向团队传授可靠的安全建议方面的可信度. 对于安全敏感领域,团队中的专家对于提供更深入的建议至关重要. 也就是说,任何一个人都不可能是每一个安全主题的专家. 专业知识需要在整个团队中均匀分布.
这些挑战可以通过团队的有机发展和招聘来解决. 仅仅为了获得新技能而招聘并不是最好的策略——今天所需的技能明天很快就会过时. 因此,安全团队需要采用允许其不断发展并保持最新的策略. 下面将讨论一些这样的策略.
丁字形的技能
安全团队中的安全研究人员应该以a为目标 t型技能组合. 这允许在安全性的广度和深度之间取得良好的平衡. 广度有助于覆盖基线安全性审查. 深度帮助研究人员成为特定的安全主题专家. 拥有许多主题专家可以增强整个团队的技能,因为其他团队成员可以向他们学习,并且当他们的专业领域有需求时,他们也可以提供指导.
强大的计算机科学基础
产品安全是工程工作的延伸. 安全性要求理解良好的设计模式、体系结构、代码、测试策略等. 编写好的软件需要强大的计算机科学基础,而不管你最终从事的是哪一层技术堆栈. 强大的计算机科学技能也有助于使安全技能、语言和平台无关. 具有较强的计算机科学技能, 安全研究人员可以一次性学习新的安全概念,然后根据需要将其应用于不同的平台. 有如此强大的基础, 在新平台上寻找“如何”的成本相对较小.
针对你的空档期进行招聘,但也要注重快速学习的能力
一个工作产品有很多部件和过程才能工作. 如果你能想象出制作软件的过程, 您可以更清楚地看到安全团队的优势和劣势. 例如, 设计服务需要对代码(以及所选择的语言)有很好的理解。, 框架, 技术堆栈(如队列), web服务器, 后端数据库, 第三方库), 用于部署的基础设施, TLS配置, 测试方法, 源代码控制系统, 整体设计和架构, REST接口, 与各种其他服务的互连, 所涉及的工具链-列表很长. 当招聘, 评估候选人的一个方面是他或她是否通过激情和过去的工作经验为团队带来安全优势,可以填补团队现有的空白. 然而,评估应聘者学习新技能的意愿可能更为重要. 学习的能力, 适应, 不要拘泥于一种现有的技能,这是在招聘时寻找候选人的一个重要因素. 第二个目标是为团队添加各种安全技能,并尽量避免重复团队中已有的技能集.
“顺着冰球的方向滑,而不是顺着它的位置滑”
及时了解业务需求和工程团队的发展方向, 对于安全团队来说,花一部分时间调查产品团队所采用的新技术的安全含义是很重要的. As 韦恩·格雷茨基有句名言你要顺着冰球的方向滑,而不是顺着它的位置滑.“然而,安全团队需要覆盖更大的区域. 你必须跟上正在采用的新技术. 旧的技术仍然在公司中使用,因为只有一些团队可能会放弃它们. So, 通过保持在这些领域的专业知识来忽略这些旧技术将是明智的, 虽然目标是让团队远离这些技术,因为它们变得更加难以有效地保护. 预测未来的投资领域是困难的. 安全团队可以通过查看行业趋势并与工程团队交谈来找出他们的发展方向,从而使这项任务变得更容易. 安全团队的管理人员也有责任随时了解新技术, 以及他们各自公司未来的发展方向, 为了投资新的领域来发展团队.
随大流
如果一家澳门赌场官方下载决定投资云计算或移动设备,或者改变其经营方式, 安全团队应该是公司中最早发现这种变化并尽早制定适应计划的团队之一. 如果业务朝着某个方向发展,而安全团队却没有, 不幸的是,它会给一个团队贴上只知道旧技术堆栈的标签. 此外,安全团队与不断变化的业务保持一致是至关重要的. 安全团队的领导主要负责检测这些变化,并尽早开始为它们制定计划.
自动化和创建时间
如果一个任务被多次执行, 安全团队应该评估任务是否可以自动化,或者工具是否可以更有效地完成任务. 通过自动化和工具减少的时间可以帮助释放时间和资源, 哪些可以用于投资安全团队优先考虑的新领域.
发展一个安全团队可能会面临许多潜在的挑战,这些挑战对于外部观察者来说并不总是显而易见的. 业界主要关注的是澳门赌场官方下载面临的新威胁. 有机增长和招聘的健康组合将帮助安全团队适应和不断发展,以适应由他们无法直接控制的因素引入的变化. 安全研究人员和管理团队都有责任不断学习,并花时间检测安全领域的任何潜在变化.
作者简介: 担任云运营安全总监, Mohit领导的团队负责对Adobe的运营环境(AWS)进行主动安全审查, Azure, 数据中心)作为Adobe安全产品生命周期的一部分. 他的团队还推动运营安全堆栈,产品团队将其用于满足其安全需求并扩展其运营环境的安全监控. 他的团队还负责推动安全需求, 设计和实现Adobe自己的操作平台.
