DataGrail’in yeni Güvenlik Başkan Yardımcısı olan güvenlik ustası Chris Deibler, şirketin büyümesini desteklemek için güvenlik ekibini oluşturmak üzere getirildi.
Shopify’da eski Güvenlik Mühendisliği Direktörü ve Twitch’te Güvenlik Direktörü olarak, bir kuruluşta başarılı bir şekilde güvenlik organizasyonu kurmak hakkında bir iki şey (veya 52) biliyor, bu yüzden bu konuda onun fikrini almaya karar verdik.
[The answers have been lightly edited for clarity.]
Şirket büyüdükçe bir güvenlik ekibini ölçeklendirmek hassas bir çabadır. Çabadan sorumlu olanların en başından itibaren doğru bir şekilde vurması gereken notlar nelerdir? Ve hangi şeyler asla ama asla işe yaramaz?
Harika soru! Bence iletişim kurmanız gereken ilk şey, hepsini bir kerede yapamayacağınızdır ve bu, zaman içinde mühendislik açısından gözle görülür pek çok duruş iyileştirmesi anlamına gelir. Küçük şeyler değişecek, büyük şeyler değişecek, daha önce işe yaradığını gördüğünüz bir yaklaşımı deneyeceksiniz ve burada başarısız olacaksınız ve şimdi hızla dönmeniz gerekiyor.
Müşterileriniz için bu, kaos veya odaklanma eksikliği gibi görünebilir. Neyi, ne zaman ve neden ele aldığınız konusunda şeffaflık sağlamanız gerekir; zarafetten birkaç çekimi kaçırmasını istemeniz gerekir. Ayrıca (umarız ki artmakta olan) kapasitenizi etkili bir şekilde iletmeniz ve ölçeklendikçe, daha iyi kazançlar elde etmek için bazı küçük yangınların zorunlu olarak yanmaya devam edeceğini eğitmeniz gerekir.
Asla işe yaramayan ya da en azından benim deneyimime göre olmayan şey, aynı anda olgunluk modelinde çok fazla basamak arasında köprü kurmaya çalışmaktır. “Bir ara gözlemlenebilirlik yapmalıyız”dan “İşte çok yönlü kendi kendini ayarlayan olay alımı ve filtreleme akışımız”a geçmiyorsunuz. Mühendislik kuruluşunuzun süreç ve özellikle kötü süreç toleransını aşamazsınız. Koşmadan önce yürümek klişedir, ancak bu, ayakkabınızda bir çivi keşfetmenin daha az acı verici bir yoludur.
Yeni ekip üyelerinin işe nasıl dahil edilmesi gerektiğine (kuruluş içinden veya dışından) dair bazı tavsiyeler ve yeni işe alımlarda nasıl ve nelere bakılacağına dair bazı ipuçları paylaşabilir misiniz?
Pek çok kuruluş buna farklı şekilde yaklaşıyor. Ben şahsen, yeni işe alınan bir kişinin ilk iki haftasının aslında şirketi, ürününü ve müşterilerini ekiplere, araçlara ve teknolojiye karşı öğrenerek geçirdiği tam hizmet kapsamlı yaklaşımın hayranıyım. Sorularınız için faydalı aralıklarla işe alma müdürüyle görüşmeden, eğitimin temeli, hizmet verdiğiniz insanlar için değer önerisi olmalıdır. Bir depo vardiyasında çalışmak, bir dizi kolay müşteri destek bileti almak, uzaktan satışı gölgelemek; müşterinin ihtiyaçlarını ve isteklerini deneyimlemenize izin veren her şey.
Sonra “Ve biz bu şekilde uyum sağlıyoruz” a geçersiniz. Güvenlik çok sessiz ve içe dönük bir işlev haline gelebilir ve bu şekilde başarılı olsanız da, şansınız işle daha derinden uyumludur. Bu bağlamda, herkese görevlerinin dışında bir işe alım arkadaşı bulmak, bu ilişkiyi kurmanın yararlı bir yoludur.
Yeni işe alımlarda nelere dikkat edeceğime dair pek fazla ipucum yok çünkü birinin bu alanda başarılı olabileceği tüm yolları bildiğimi varsaymıyorum. Bence iş tanımlarında ve işe alım uygulamalarında “Bu işe birçok arka plandan yaklaşabilirsiniz” yönünde genel bir eğilim görüyoruz ve bu çok yerinde. Kesinlikle “merak” ve “alçakgönüllülük” gibi kolay kazanımlar vardır, ancak huninin daha yukarılarında değerlendirilmesini istersiniz. Güvenlik bağlamı görüşmecisi olarak, yaklaşımı görmek için yoldan çekilmeniz ve çözmeniz gereken pratik sorunlar sağlamanız gerekir. Bu modelde görmekten hoşlandığım şeylerden biri, yaklaşımın “nedeni” etrafındaki düşünceliliği ve eklenen yeni faktörlerle dönme yeteneğidir.
Tecrübelerinize göre, güvenlik ekibinde uyum sağlamanın en iyi yolları nelerdir?
Bir kültürü paylaşın, mümkün olduğunca kapsayıcı hale getirin ve çürük elmaları önleyin. Bu kadar.
Kültürü paylaşmak, insanlarınızı o kültürün oluşumuna ve sürdürülmesine dahil etmek anlamına gelir. İlkeleriniz, halkınız tarafından sağlanmalı ve dile getirilmelidir. Ritüelleriniz nöroçeşitliliğini destekleyen bir ritimde ve yapıda olmalıdır.
Birlikte yaptığınız eğlenceli şeyler onların önerileri olmalıdır. Göster-ve-anlat içeriği, onların içeriği olmalıdır. Bunların hiçbiri sizi editoryal kontrolden muaf tutmaz, ancak kültürünüzü büyütmeye kuruluşunuzu büyütmek gibi davranırsanız – liderleri belirleyip onlara yatırım yapmak – başarılı olursunuz.
korkuluklar vardır. Oyunlar kolay görünür, ancak oyunları herkes sevmez. İçki içmek eski bir güvenlik standardıdır, ancak herkes içki içmez ve yanında olmak istemez. Eğlenceli şeylere kimin katılıp kimin katılmadığına dikkat etmeniz gerekiyor – katılım eksikliği hiçbir şey olmayabilir, ancak bu aynı zamanda seçtiğiniz ritüellerin kapsayıcı olmadığı ve daha iyi bir şey bulmanız gerektiği anlamına da gelebilir.
Çürük elmaları çizmek apaçık ortada ama daha sonra “Adamım, tam zamanında üstüne atladım” dediğim bir çıkış hiç olmadı. Daha sık olarak, “Bu kişiyi bir yıl önce yönetmeliydim ya da bitirmeliydim.” Özellikle doğuştan cana yakın insanlar için kolay bir tuzak. Buna düşme. Zehirlilik, kültürünüze çok kısa bir süre içinde şaşırtıcı derecede büyük zarar verir. İnsanlar bu hafızayı bir sonraki organizasyonlarına taşıyor. Bir temsilci alırsınız. İşe almak daha zordur. Hız acı çekiyor. Çürük elmalara itibar etmeyin.
Güvenlik ekibini kuruluşun makinesinde ayrılmaz ve hoş bir dişli haline getirmenin en iyi yolları nelerdir?
Ritüellerini öğrenin ve bunlara yatırım yapın. Oyunu onların yöntemiyle oynayarak oluşturduğunuz güven, iyileştirmelerle masaya geri döndüğünüzde size hareket alanı sağlayacaktır.
Bazen hiçbir şey yoktur ve tüm kumaştan bir süreç yaratmanız gerekir. Bunu yaptığınızda, yarattığınız şeyi kutsal saymanız ve ona karşı kendinizi sorumlu tutmanız gerekir, yoksa kimse sizi ciddiye almaz.
Örnek olarak şiddet sistemlerini seviyorum, çünkü anlaşılması kolay ve (kaderin bir cilvesi olarak) neredeyse gittiğim her yerde bir tane inşa etmek zorunda kalıyorum. Bu şiddet sistemini kurmak için tüm zahmete giriyorsun, Eng’e gidiyorsun ve “Bu özelliği olan her şey sev-2, iki haftada yak onu” diyorsun. İlk yapacakları şey ne? Güvenlik depolarını açın ve sev-2’lerin asma üzerinde ne kadar süredir çürüdüğünü görün. Mühendislik ekipleri “Dediğimi yap, yaptığımı yapma” ilkesini sever. Bu, “kendi köpek mamasını ye” demenin karmaşık bir yolu ama gerçek şu ki güvenilirliğin buna bağlı.
Çeşitliliğe sahip bir güvenlik ekibinin, güvenlik sorunlarının kapsamlı bir şekilde üstesinden gelmek için bir zorunluluk olduğu, sıklıkla tekrarlanan bir aksiyomdur. Bunu doğru buluyor musun? Değilse, neden olmasın? Cevabınız evet ise, bunu sizin için doğrulayan geçmiş deneyimlerinizi paylaşabilir misiniz?
Bunu doğru buluyorum ve her iki tarafında da bulundum. Kuruluşunuzun içinde veya yakınında farklı düşünen insanlara ihtiyacınız var. Bu, geçmiş, iş deneyimi, kültürel köken, ırk, cinsiyet, kişilik, nörotipiklik, dil olabilir – tüm bunlar, birisi zor bir soru sorduğunda veya bir varsayıma meydan okuduğunda ağzınızdan çıkanlara katkıda bulunur.
Zorlayıcı varsayımlar, ister sizin, ister bir ortağın olsun, güvenliğin temelidir. Sanırım bunun hatırlayabildiğim en kolay örneği, bir mimar olarak kariyerimde, riskli bir kullanıcı sınıfı için uzaktan erişim değişiklikleri üzerinde kafa yoran mevcut bir ekibe getirildiğim zaman. Haftalardır üzerinde öğütüyorlardı. “Onları Citrix’e atın ve başlayalım!” diye şaka yaptım çünkü uyguladığım son çözüm buydu ve ciddi olmam mümkün değildi. Bu şimdiye kadarki en iyi hamle olduğu ortaya çıktı.
Benzer şekilde, her gün bana bir çözüm alanı kavrayışımın eksik olduğu ve geçerli seçenekler konusunda at gözlüğü taktığım hatırlatılıyor. Bir savunma ortamı için komut düzeyinde günlük kaydı uygularken, yeni stajyerimiz “Orduda bunu yaptık” ifadesini bıraktı. Old guard teknoloji alanındaki hiç kimse yakın bile değildi. Evreka, dostum. Konserden konsere birbirini takip eden insan gruplarında düşünce çeşitliliği elde edemezsiniz. Yeni düşünce edinin. O huninin üstünü geniş açın.
Bir güvenlik ekibini büyütmek hoş bir zorluktur, ancak ya kuruluşun ölçeğini küçültmesi gerekiyorsa? Bunu yapmanın doğru bir yolu var mı ve hangi hatalardan kaçınılmalıdır – ve nasıl?
İdeal olarak, bir güvenlik kuruluşunun küçültülmesi gereken herhangi bir duruma, işin eşdeğer bir şekilde ölçeklendirilmesi eşlik eder. Bir güvenlik lideri olarak ölçeklendirme işlev(ler)inizi anlamanın bu kadar önemli olmasının nedenlerinden biri de budur.
Belirli bir ürün mühendisliği ekibini desteklemek için kaç tane uygulama güvenlik mühendisi gerektiğini bilmelisiniz. Belirli sayıda çalışanın hangi olay yükünü oluşturduğunu ve bunu işlemek için çağrı üzerine rotasyonunuzun ne kadar büyük olması gerektiğini bilmelisiniz. Platform ve bulut portföyünüzde yeterli kapsama alanı sağlamak için kaç altyapı mühendisinin gerekli olduğunu bilmelisiniz. Bu oranlar için altın bir standart yoktur, ancak mesele şu ki, herhangi bir risk seviyesi için, işle ilgili olarak bir şekilde esnek bir kadroya sahipsiniz. Bu oranları değiştirin, riski değiştirin. Bu, işletmenin yapabileceği bir seçimdir, ancak sizin işiniz, çalışanlarınızı ve risk duruşunuzu korumanın ötesinde, ölçeklendirmektir. Ölçekleme her iki yönde de çalışır. Liderliğinizle yapılan işlemler konusunda şeffaf olun. Kararları belgeleyin. Kişisel olarak ne kadar risk alabileceğinize (ve hala uyuyabileceğinize) karar verin. Uygun davran.
Bu noktaya nasıl gelmiş olursanız olun, kaybettiğiniz insanlar için bir kaynak olduğunuzdan emin olun. Güvenlik sektörü küçüktür ve hatıralar uzundur.
Küçük işletmeler de büyük şirketler kadar siber güvenliğe ihtiyaç duyar, ancak genellikle fon sıkıntısı çekerler. Bunu göz önünde bulundurarak, bütçeyle kuruluşlarında siber güvenlik yetkinliği oluşturmaya nasıl başlayacakları konusunda onlara herhangi bir tavsiyeniz var mı?
Kariyerimde etkili olan biri bir keresinde bana güvenliğin uygulanan ağrı yönetimi olduğunu, yani doğru insanlara doğru acıyı uygulamanız gerektiğini söylemişti. Kuruluşunuzdaki bir kişi, bir programa sahip olmamanın sonuçlarını – acıyı – yöneterek istese de istemese de siber güvenlik yetkinliği geliştiriyor. Kim olduğunu öğren.
“Güvenlik herkesin işidir” yaklaşımı yerine “belirlenmiş kaynak” yaklaşımını benimsiyorum çünkü herkese ait olan şeylerin kimsenin olmadığı aksiyomuna inanıyorum. Sizin (ve onların!) ilk kaynağın neler yapabileceği konusunda gerçekçi olmanız gerekir, ancak güvenliği erkenden matris haline getirmek, yalnızca matrisi yönlendirmek için kaynak sağlama yetkisine sahip atanmış bir sahibiniz varsa mantıklıdır.
Konferanslar ucuzdur; bazıları çok kaliteli. Reddit ücretsizdir. CTF’ler ve akrabaları eğlencelidir. Üniversite siber güvenlik ekiplerinin gönüllülere ihtiyacı var. Ev ağınızı kablolamak kolay ve sıklıkla bilgilendiricidir. Ekonomik kaynaklar orada, ihtiyacınız olan tek şey kıvılcımı olan insan.
Daha kişisel bir not olarak: DataGrail’de sizi hangi zorluklar bekliyor?
İşe alma ve bir tehdit toplayıcı olma korkusu.
Güvenlik işe alımının yavaş olabileceği bir sır değil ve ister yükleniciler ister personel artırma veya uzun vadede doğru ekibi oluşturmaktansa ağrıyı azaltmaya öncelik verme olsun, kestirme yollara başvurmanız için baskı altında kalacaksınız. Yol boyunca akıl sağlığınızı ve motivasyonunuzu korumak için bunlardan bazıları gerekli olacaktır. Düşünmesi eğlenceli bir meydan okuma çünkü alevli bir olayın ortasında oturan, kendi sorgularını yürüten, kendi kayıtlarını sıyıran, kolluk kuvvetleri bağlantılarını arayan ve güvenliğin olup olmadığını merak eden gelecekteki halinizle önceden pazarlık yapıyorsunuz. doğru kariyer seçimi. Belki o adama bir IR yüklenicisi bulursun, olur mu? Ancak kötü bir işe alımdan kurtulmak daha da kötüdür. Zaman ayırın, daha sık “hayır” deyin ve görüşme panellerinizin net sinyaller vermesini talep edin. O kas henüz yoksa, öğretin. Asla: “Eh, sanırım onlar üç”.
Tehdit toplayıcı cephesinde, alt müşterilerin değer verdiği şeyler üzerinde bu kadar derin bir etkiye sahip olmak korkutucu. Asla başka birini patlatan vektör olmak istemezsin. Dünyanın artık devasa, çirkin bir geçişli güven ağı olduğunu ve müşteri güvenliği ve mahremiyet beklentilerinin küresel olarak en düşük seviyedeymiş gibi hissettirdiğini anlıyorum, ama sorun bu, değil mi? O güven gitti. Biz – şirket, endüstri, ekosistem – bu güveni yeniden inşa etmeliyiz. Bu, bir tehdit toplayıcı değil, bir güven çapası olmamız gerektiği anlamına gelir.