Безопасность – это пустой, бессмысленный театр – или, по крайней мере, это урок, который преподается большинству сотрудников большинства крупных компаний. Безопасность – ваш пароль, срок действия которого истекает каждые несколько месяцев, ваша неспособность получить доступ к важнейшим услугам, если вы новичок или подрядчик, солидное сообщение от команды, с которой вы никогда не встречались, объясняющее, что ваша новая инициатива не разрешена, прозрачно удобное оправдание, когда кто-то не хочет признавать свою настоящую причину. Безопасность это фигня.
Я могу привести больше примеров из моя собственная карьера в качестве консультанта технического директора чем я хочу думать. Компания с именем домохозяйства, чья команда безопасности объяснила, что облачные сервисы изначально небезопасны, до того дня, когда они решили перейти на AWS, и не стала объяснять, почему локальные серверы небезопасны. Компании с именами домохозяйств, которые наводнили нас подробными вопросниками безопасности относительно безопасности наших серверов, но чьи оценочные протоколы были тогда неспособны понять наше «все в облаке с GitHub, GSuite и т. Д., У нас нет собственных серверов »Ответы без часовых звонков.
Вот почему это было такое великолепное дыхание свежего воздуха, чтобы услышать Дино Дай ЗовиС основным докладом на конференции по безопасности Black Hat в Лас-Вегасе сегодня утром. Дай Зови, штатный инженер по безопасности в Square, утверждал, что слишком распространенная модель безопасности как команды, в которой сидят люди, которые на самом деле строят вещи, говорят им «нет» и указывают пальцами, шутит над ними, на самом деле фантастически контрпродуктивно.
Вместо этого, утверждал он, безопасность должна изменить свою культуру, которая гораздо важнее стратегии, которая, в свою очередь, гораздо важнее тактики. Вместо того, чтобы безопасность превратилась в далекое пламенное кольцо, через которое нужно прыгать, команды должны взять на себя ответственность за свою собственную безопасность. Кроме того, инженеры по безопасности должны написать код, чтобы помочь этим командам. Fuzzing это здорово, но, как он выразился, «следующий уровень упрощает задачу разработчиков программного обеспечения, потому что их гораздо больше, чем нас».
Самое главное – и самое революционное – он утверждал, что вместо того, чтобы все время говорить «нет» и выбрасывать как можно больше препятствий, сотрудники службы безопасности всегда должны начинать с «да, и вот как мы можем помочь». Факт это настолько отличается от сегодняшней практики, что на самом деле это звучит комично, говорит о многом, ничего хорошего.
Печальная правда заключается в том, что сегодня, в реальном мире корпоративного программного обеспечения, безопасность, с которой сталкиваются большинство сотрудников и поставщиков, имеет тенденцию быть по меньшей мере столь же бесполезной, как и театр безопасности «сними обувь и выбери жидкости». аэропорты. Ужасы легион. У тебя есть свои, я уверен. А кто нет
Еще пара: однажды киностудия, которая хотела, чтобы мы занимались мелкой веб-разработкой, для вспомогательных веб-сайтов, не имеющих реальной связи с их интеллектуальной собственностью, сказала нам, что мы не сможем ничего сделать, если наша (в основном удаленная) рабочая сила имел постоянный доступ к карточке-ключу, а также Покрытие камеры с замкнутым контуром, каждый компьютер, который может работать на этих сайтах … затем сообщил, что они действительно нужно было только для того, чтобы эти флажки были отмечены, а не для того, чтобы это происходило.
В другой раз крупная компания настаивала на том, чтобы мы стали совместимыми с SOC-2 – SOC-2 является стандартом, рожденным не в области технологий, а в области бухгалтерского учета и, по-видимому, главным образом предназначенным для обеспечения полной занятости для бухгалтеров, а не, как вы знаете, значимых стандартов и процессов безопасности. – не заботясь о том, о чем, если таковые имеются, о пяти «трастовых службах» SOC-2, о которых мы говорили; им просто нужно было поставить галочку в поле «SOC-2-совместимый» в их списке поставщиков.
Так не должно быть. Сотрудники службы безопасности могут быть участниками, а не привратниками. И если бы это было так, каждому было бы легче, более полезным и более интуитивным внести свой вклад в обеспечение безопасности. Изолированная бюрократия безопасности не просто медленная и разочаровывающая; в конечном счете, они по своей сути представляют собой более серьезную угрозу безопасности компаний, зараженных ими, чем любой внешний хакер или даже APT. Мы давно прошли этот урок.