构建500人安全团队

图片来源：Joe Basirico & Rob Curran

作者：Joe Basirico
发布日期：2020年5月27日
阅读时间：5分钟

最近我与一位CISO朋友交谈，他正在努力扩展安全团队。他的团队只有不到10名安全人员，却要支持拥有500多名开发人员和2000名员工的组织。应对所有请求——包括开发最佳实践、法律与合规、安全意识、IT安全，以及组织团队进行扫描、测试、评审等——让他不堪重负、压力巨大！

经过一番交谈，很明显安全团队花时间做的事情本可以委托、培训或授权给团队外的人。我告诉我的朋友：“你不必为10人团队而挣扎，你可以让每个开发人员都参与进来，拥有一个500人的团队。”

世界上最安全的组织培养了深厚的安全文化和培训意识。每个人，从销售到支持，再到开发、测试和项目经理，都深切关注产品的安全性，并通过实现这些目标所需的培训得到支持。他们明白安全不仅对产品重要，而且是与客户建立信任的基石。

考虑到这一点，我解释了如何从他目前疯狂和不堪重负的状态，过渡到安全支持与赋能的状态，使安全团队能够处理重要的安全目标，提升组织的安全成熟度。

目标是创建一个倒金字塔式的安全知识结构。顶层是组织的每位员工，底层是安全团队。我们希望赋能每个人做出最佳安全决策，并建立沟通和支持渠道，让每个人知道在需要帮助时该联系谁。这意味着自上而下为每个人提供更多培训和支持以解决安全问题。这使团队能够快速行动，并意味着安全决策由最接近问题的人做出。安全团队则作为任何漏网的安全挑战的后盾。

这种最终状态让每个人都有信心举手询问组件或功能的安全性、安全性或隐私性。只需通过提问来启动关于安全的对话，例如“这被视为敏感数据吗？如果是，我们将如何保护它？”或“将此API暴露到互联网的安全影响是什么？”提问者不需要了解API的CSRF令牌、JSON注入或最新攻击，他们只需要感到舒适地提出问题并参与讨论。

我们如何实现？

要达到这种状态，有两个必须齐头并进的组成部分：培训和文化。

培训为每个人提供知识的种子，知道何时发言。文化给他们这样做的信心，相信他们的贡献会被考虑，并且不会因发言而受到恐吓。

安全文化从组织顶层启动和指导，但如果没有适当的资源分配（时间和金钱）支持，CEO关于安全是首要任务的励志演讲可能很快引发 resentment。因此，启动公司范围内的计划需要每位高级领导成员的认同，CEO设定方向，销售、营销、财务和工程部门同意并支持。

文化由信任支持。如果员工信任他们会得到支持，花费时间和预算做出良好的安全决策，那么他们会相信文化转变。如果他们看到公司只是口头上重视安全，那么这种信任可能无法挽回地失去。因此，在尝试启动计划之前，制定一个带有文档和问答的推出计划至关重要。这将为您提供一个框架，在团队成员对时间和预算有疑问时可供参考。对请求不一致是另一种可能失去信任的方式。

培训应在组织的每个层级进行，重点关注关键领域。每位员工都应接受安全意识培训，以帮助理解如何保护自己和组织免受网络威胁。每位员工还应得到组织的支持，使用最佳工具，如密码管理器、双因素认证解决方案、反恶意软件等。

开发团队的每位成员应至少接受安全培训的基线。培训应具有吸引力、最新，并专注于他们的关注领域。安全行业变化迅速，因此保持最新至关重要。如果培训模块超过一年未更新，内容可能已经过时。用无关或过时的培训浪费人们的时间可能侵蚀他们对计划的信任。

每个团队应有一名安全倡导者，对安全有天赋和热情。这可能是安置在团队中的安全人员，但理想情况下是团队中已有的人，拥有代码的关系和知识，并表现出领导团队安全计划的愿望。此人驻在开发团队中，与开发人员、测试人员和项目经理密切合作。他们将构建和维护威胁模型，并根据需要进行安全代码评审、渗透测试和架构评审。应为这些安全倡导者提供培训和指导，帮助推动他们在安全职业中前进。他们应得到组织的支持，参加和参与安全会议，并访问可能成为他们努力力量倍增器的工具和自动化。最终，此人可能“毕业”领导更大的安全团队，随着组织安全需求的增长，或者他们可能加入内部安全团队。

最后，安全团队应通过跟进所有领先的攻击、漏洞和防御来领导培训工作。部分知识可以通过现有安全培训获得，但大部分将通过会议培训课程和内部研发开发。部分安全解决方案可能不适用于您的组织或在您需要的规模上。安全团队应利用其时间和研发努力，深入理解组织面临的独特挑战，并以独特和定制的方式提出解决问题的方案。

让公司的每位员工参与可能看起来是一项艰巨的任务，而且这确实不会一夜之间发生。然而，安全是有趣和令人兴奋的。如果您能从必要的团队获得预算和支持，以实现您对公司范围安全文化的愿景，我相信会有许多人排队渴望成为您的新安全大军的一部分。