Sportsbet bir ‘güvenlik şampiyonu’ programı düzenledi, 42 kıdemli personeli güvenlik elçileri olarak harekete geçti, proje ekipleri hakkında sorular sordu ve tehdit modellemesi gerçekleştirdi.
Romanya’da Melbourne ve Cluj arasında bölünmüş yaklaşık 500 teknoloji işçisine sahip olan şirket, AWS’nin kendi Güvenlik Guardians programından ilham aldı.
Guardians, AWS modelinde, “Bir ürün için güvenlik hususlarının daha erken ve daha sık yapıldığından emin olun, akranlarının ürünlerini daha hızlı inşa etmesine ve göndermelerine yardımcı olur, [and] Ayrıca AWS’deki güvenlik çubuğunun artmasını sağlamak için Merkezi Güvenlik Ekibi ile yakın işbirliği içinde çalışın. ”
Sportsbet’teki şampiyonların da benzer bir rolü var.
Güvenlik Çözümleri Başkanı ve APPSEC Gene Penman, AWS’nin yıllık Re: Inforce Güvenlik Zirvesi’ne şampiyonlar programından önce, “projelerin bize gitmeden beş dakika önce geleceği, güvenlik onayını istediği, güvenlik gereksinimlerimizin çok az veya hiç dikkate almadığı çok fazla durum olduğunu söyledi. [and] Tehdit modelleme yapıldı. “
Penman, “Güvenlikte bizim için gerçekten sinir bozucu, ama aynı zamanda iş için de sinir bozucu” dedi.
“Bu durumlarda kimse kazanmıyor.”
‘Güvenlik Dostları’
Sportsbet, her biri yüksek derecede özerklikle faaliyet gösteren “yüzlerce eşzamanlı girişimde bulunuyor” 25 teslimat ekibine sahiptir.
Bazı ekiplerde gayri resmi güvenlik kabiliyeti vardı, ancak çeşitlilik gösterdi; Sportsbet, bunu resmileştirme ve geliştirme fırsatı gördü.
“[There was] Takımlarımızda daha fazla ölçeklendirmek istediğimiz önemli bir davranış, “dedi Penman.” Daha fazla ekipimizde daha fazla insanın bu soruları daha sık sormasını istedik: Ne inşa ediyoruz? Ne yanlış gidebilir? Ve bu konuda ne yapıyoruz?
“Bu, özünde tehdit modellemesidir. Ama daha da önemlisi, sadece iyi, güvenli bir düşünce. Yaşamak istemeden beş dakika önce bir inceleme toplantısında değil, erken ve sık sık, tasarımda olan bir tür düşünme.”
Geçen yılın üçüncü çeyreğinde Sportsbet, gayri resmi olarak “güvenlik dostları” olarak görülen 10 mühendis veya geliştiriciyle güvenlik şampiyonları programının bir pilotunu başlattı.
“Bunlar Bas [business analysts]mühendisler, kıdemli geliştiriciler, sadece alıyor. Güvenlik sorularını erken gündeme getiriyorlar, takımlarında başkalarına doğru yaklaşım, bir şeyler yapmanın doğru yolu üzerinde koçluk yapıyorlar; yığınlarının sağlığı platformu ile gurur duyuyorlar ve bizimle etkileşim kuruyorlar [central cyber] proaktif olarak.
“Bu ‘Güvenlik Dostları’ istediğimizden daha fazlasını yapıyorlardı, ama bunu masalarının yanından yapıyorlardı. Resmi olarak tanınmadılar veya desteklenmediler ve bunlardan yeterli değildi.
“Böylece eğildik [their presence]. Bu organik davranışları her takımda güvenliği yerleştiren yapılandırılmış, desteklenmiş, dağıtılmış bir modele dönüştürebilirsek? ”
Güvenlik Şampiyonları Pilotu, “zaten doğru olanı yapan, içeriden güvenli teslimatları etkileyen personeli desteklemenin” bir yolu oldu.
Pilotun içinde
Güvenlik Çözümleri Danışmanı Paul Johnson, pilot ‘şampiyonların’ programa haftada iki saat taahhüt ettiğini söyledi.
Onlar “temel bilgi düzeyini elde etmeyi amaçlayan zaman kutusu yerleşik bir program…” geçirdiler ve birbirleriyle iletişim kurmak için bir wiki ve kendi gevşek kanallarına erişim verildi.
Johnson, rollerini anlaması için bir işe alım “temel bilgi” vermenin sekiz hafta süreceğini tahmin etti; “Şampiyonun bizimle aktif olarak etkileşime girdiği ve güvenlik ekibine gerçek bir değer sağladığı, bu güvenlik değerlendirme süresini azaltmaya yardımcı olan ve bu değerli somut girdiyi bize geri verdiği bir ara seviyeye ulaşmak için altı ila 12 ay arasında”; ve “Yeni ‘Şampiyonlar’ için“ Etkileyici ve Mentor olmak için 12 ay ”.”
Sportsbet’teki tehdit modellemesi, sahtekarlık, kurcalama, reddetme, bilgi ifşası, hizmet reddi ve ayrıcalık yüksekliği anlamına gelen adım modeliyle uyumludur.
Güvenliği ‘daha iyi hissettiriyor’
Johnson, pilotun olumlu sonuçlar elde ettiğini ve hatta işin bir bölümünde tehdit modellemesinin nasıl yapıldığı konusunda bir yenilik sağladığını söyledi.
Johnson, “Şampiyonlarımızdan birimiz vardı, bir geliştirici çeviklik platformunda çalışıyorlar ve şimdi tehdit modellemesini anlamaya dayanarak, bu platformda tehdit modellemesini sağlayan özel bir eklenti oluşturabildiler, bu da fantastik bir sonuç” dedi.
‘Şampiyonlar’ tarafından gerçekleştirilen tehdit modellemesi, merkezi siber ekibin resmi bir güvenlik incelemesi yapmanın zamanı geldiğinde tipik olarak daha fazla bilgiye sahip olduğu anlamına geliyor.
Johnson, inceleme başına “en az iki saat” anlamına geldiğini söyledi.
Güvenlik sorunları da geliştirme döngüsünün başlarında belirleniyor ve azaltılıyor.
Johnson, “Bir mühendis henüz yayınlanmamış bir sistemde tehdit modelleme gerçekleştirdi, ancak bulduğumuz şey, ön uçumuzda beklemediğimiz verileri kazıyan bir üçüncü taraf aracı vardı” dedi.
“İlk tasarımların hiçbirinde değildi, ancak tehdit modellemesi yoluyla bulmuşlardı ve bir ürün başlatmamızı ve beklemediğimiz üçüncü taraf bir kazıma verisine sahip olmamızı sağladı ve istemedik. [to be] kazınmış.
“Bu prodüksiyona gitmeden önce düzeltilebildi. Bu büyük bir sonuçtu.”
‘Şampiyonlar’ programının bazı sonuçları nicel olarak ölçülebilirken, Johnson da nitel önlemlerin önemli bir metrik olduğunu söyledi.
Johnson, “Bir işletmedeki bazı insanlar şöyle diyebilir: ‘Ah, her şey zor metriklerle ilgili, sayılara ihtiyacımız var’. Katılmıyorum – Bir güvenlik şampiyonu programı için sanırım yaklaşık yüzde 50’si bir güvenlik ekibi olarak ‘duygu’” dedi.
“Daha iyi hissettiriyor mu? Eşzeme kalitesi iyileşti mi? [delivery teams now] İstediğimiz eserleri sağlamak – tehdit modelleri, tasarım belgeleri, hlds [high-level designs] – olmadan [us] sormak zorunda mı?
“Güvenlik soruları daha sık ortaya çıkıyor mu? [teams] Sadece son dakikaya kadar beklemek ve bizden kaçınmak yerine sormak rahat hissediyor musunuz? “
Johnson, şimdiye kadar ‘Şampiyonlar’ programından bazı derslerin çıktığını söyledi.
Birincisi, ‘şampiyonların’ güvenlik ekibinin “minyonları” olarak muamele edilmesinden yalıtım ihtiyacıydı.
‘Şampiyonların’, ‘Şampiyonlar’ üzerindeki “temel beklentinin” “sıfırlanmasını” gerektiren, ‘şampiyonların’ doğrudan görevlerini üstlenmesi istendiği bir dava kaydetti.
Johnson, “Buradaki öğrenme, ‘şampiyonunuzun’ DOS ve olmamak üzere teknoloji çapında iletişimdir, böylece minyonların etrafında bu yanlış mesajlaşma yok” dedi.
“Onlar minyon değiller. Onlar insanlar ve yapacak bir işleri var, ama çok tanımlanmış bir iş var.”