打造500人安全团队

作者：Joe Basirico
发布日期：2020年5月27日
阅读时间：5分钟

最近我与一位CISO朋友交谈，他正在为安全团队的扩展而苦恼。他的团队不到10人，却要支持一个拥有500多名开发人员和2000名员工的组织。应对各种请求，包括开发最佳实践、法律合规、安全意识、IT安全，以及组织团队进行扫描、测试、审查等，让他不堪重负、压力巨大！

经过一番交谈，很明显安全团队花时间做的事情本可以委托、培训或授权给团队外的人员。我告诉我的朋友：“你不必为10人团队而挣扎，你可以动员每位开发人员帮忙，拥有一支500人的团队。”

世界上最安全的组织培养了深厚的安全文化和培训意识。从销售到支持，从开发到测试和产品管理，每个人都深切关注产品的安全性，并通过培训获得实现这些目标所需的支持。他们明白安全不仅对产品至关重要，还是与客户建立信任的基石。

基于这一点，我解释了如何从他目前 frenzied 和 overwhelmed 的状态，过渡到一个安全支持与赋能的阶段，使安全团队能够处理重要的安全目标，从而提升组织的安全成熟度。

目标是创建一个倒金字塔式的安全知识结构。顶层是组织的每位员工，底层是安全团队。我们希望赋能每个人做出最佳安全决策，并建立沟通和支持渠道，让每个人知道在需要帮助时该联系谁。这意味着从上到下为每个人提供更多培训和支持，以解决安全问题。这使团队能够快速行动，意味着安全决策由最接近问题的人做出。安全团队则作为任何遗漏安全挑战的后盾。

这种最终状态让每个人都有信心举手询问组件或功能的安全性、安全性或隐私性。只需提出诸如“这被视为敏感数据吗？如果是，我们将如何保护它？”或“将此API暴露到互联网的安全影响是什么？”等问题，即可启动关于安全的对话。提问者不需要了解API的CSRF令牌、JSON注入或最新攻击，他们只需要感到舒适提出问题并参与讨论。

如何实现这一目标？

要达到这种状态，有两个必须齐头并进的组成部分：培训和文化。

培训为每个人提供知识的种子，知道何时发言。文化赋予他们这样做的信心，信任他们的贡献会被考虑，并且不会因为发言而受到他人的恐吓。

安全文化从组织顶层启动和指导，但如果没有适当的资源分配（包括时间和资金）支持，CEO关于安全是首要任务的鼓舞性演讲可能会迅速引发 resentment。因此，启动公司范围内的计划需要每位高级领导成员的 buy-in，从CEO设定方向，到销售、营销、财务和工程部门的同意和支持。

文化由信任支持。如果员工信任他们会获得支持，花费时间和预算做出良好的安全决策，那么他们就会相信文化转变。如果他们看到公司只是口头上重视安全，那么这种信任可能会无法挽回地丧失。因此，在尝试启动计划之前，制定一个 rollout 计划，包括文档和问答，至关重要。这将为您提供一个框架，在团队成员对时间和预算有疑问时可以依靠。对请求不一致是另一种可能失去信任的方式。

培训应在组织的每个层级进行，重点关注关键领域。每位员工都应接受安全意识培训，以帮助理解如何保护自己和组织免受网络威胁。每位员工还应获得组织支持，使用最佳工具，如密码管理器、双因素认证解决方案、反恶意软件等。

开发团队的每位成员至少应接受基线安全培训。这种培训应具有吸引力、最新，并专注于他们的重点领域。安全行业变化迅速，因此保持最新至关重要。如果培训模块超过一年未更新，内容可能已经过时。用无关或过时的培训浪费人们的时间可能会侵蚀他们对计划的信任。

每个团队应有一名安全冠军，对安全有天赋和热情。这可能是安置在团队中的安全人员，但理想情况下是团队中已有的人员，他们拥有代码的关系和知识，并表现出领导团队安全计划的愿望。这个人驻在开发团队中，与开发人员、测试人员和产品经理密切合作。他们将构建和维护威胁模型，并根据需要进行安全代码审查、渗透测试和架构审查。应为这些安全冠军提供培训和指导，帮助他们在安全职业中前进。他们应获得组织支持，参加和参与安全会议，并获得可能成为他们努力力量倍增器的工具和自动化。最终，随着组织安全需求的增长，这个人可能“毕业”领导更大的安全团队，或者转到内部安全团队。

最后，安全团队应通过跟上所有领先的攻击、漏洞利用和防御来领导培训工作。部分知识可以通过现有安全培训获得，但大部分将通过会议培训课程和内部研发开发。一些安全解决方案可能不适用于您的组织或在您需要的规模上。安全团队应利用其时间和研发努力，深入了解组织面临的独特挑战，并以独特和定制的方式提出解决方案。

动员公司的每位员工可能看起来是一项艰巨的任务，而且这确实不会一夜之间发生。然而，安全是有趣和令人兴奋的。如果您能从必要团队获得预算和支持，实施您对公司范围安全文化的愿景，我相信会有许多人排队渴望成为您新安全军队的一部分。