Adobe使用共享责任来满足安全挑战
以99美元的价格将智能手机转换为3D打印机
地铁银行将IT基础架构移动到云
以下是如何显着加快Windows 7扫描进行更新
BT促进了中小企业和消费者客户的宽带速度
2016年十大NHS IT故事
公共账户委员会HMRC数字计划的可行性
谷歌的首席执行官刚刚在计算中被称为下一个浪潮,它不是VR
学徒在IT服务部门蓬勃发展
对非法公布的版权图像的超链接仍然是合法的,顶级欧洲法官表示
欧洲机构寻求在网络犯罪上的撑鞋垫合作
行业返回5G的政府行动
CIO采访:吉姆福勒,葛
Facebook猜测图片中的内容,以帮助视力受损
HP笔记本电脑 - 平板电脑混合动力器是AMD'Bristol Ridge'芯片的第一个
联邦网络团队告诉Windows用户退出QuickTime
我们认为我们对苹果汽车了解的内容
芬兰航空公司通过Apple和I​​BM编辑核心业务流程
Oracle寻求88亿美元用于谷歌在Android中使用Java
SCACE下降三个节点最小HC3超级融合
CNI专家表示,网络安全是关于大团队的努力
万豪酒店提供虚拟网站之旅
OS X中的过时的GIT版本将开发人员面临风险
FBI,DEA和ICE是2016年至今的顶级Cellebrite客户
巴塞罗那面临着使其智能城市真正聪明的挑战
Microsoft继续以纪录的浏览器分享
黑客:这就是我闯入黑客团队的方式
HPE专注于混合IT和IOT作为收入下降
加快旨在恢复荣耀的日子
Verizon Taps Red Hat和OpenStack为其NFV部署
Microsoft Ballyhoos 270M Windows 10活动用户
黑客可以滥用iOS移动设备管理协议以提供恶意软件
数据科学家希拉里梅森想向您展示(近)未来
HP Inc使工作削减专注于可持续业务增长
政府在科技项目中投资220万英镑,以帮助“未来证明”后克雷克利特经济
一个愚蠢的应用程序揭示了谷歌的Android的宏伟计划
一半的车辆网络漏洞可以给黑客控制,研究表演
Strider Cyber​​攻击小组部署Sevionage的恶意软件
Boxworks 2016:三家不同的CIO如何处理数字转换
惠普公司为三星打印机支付超过1亿美元
Mozilla水龙头可能的雷鸟电子邮件客户端
马来西亚和新加坡面对IT人才短缺
神奇的Facebook A.I.对于盲人用户绘制一个单词图片
可怜的物联网安全可以取消电网,警告研究员
Brexit将ICO计划抛入助资金,承认信息专员
充满敏锐的交易,承包商富士康正在购买全球品牌
政府必须是人民的仆人,说本棉花
康卡斯特为4个城市的公共住房居民提供低价互联网服务
计算GCSE继续升级普及,但等级下降
A.I.+人类=严重的网络安全
您的位置:首页 >科技 > 技术前沿 >

Adobe使用共享责任来满足安全挑战

2021-06-27 12:44:57 [来源]:

据该公司的安全软件工程高级经理Mohit Kalra,Adobe使用共享责任来解决关键安全挑战。

“大多数公司面临着拥有相对小的安全团队的挑战,因为很难找到并留住必要的技能的人,”他在巴黎的EEMA ISSE 2016安全大会上讲。

Adobe通过任命每个产品组中的安全冠军来解决中央安全团队的压力来解决这一挑战。

这种共享安全责任的方法是任何公司可以使用的策略,无论其核心业务如何。

核心业务领域的安全冠军通常具有比同事更安全的知识,并帮助确保安全是他们工作的团队的重点。

“他们充当中央安全团队的眼睛和耳朵,并承担符合公司的基线安全要求,”卡拉说。

在Adobe,这意味着安全冠军负责其产品组中的安全培训以及静态代码分析程序和安全测试。

“这意味着中央安全团队更有能力集中在审查高风险警报和签署产品上的威胁建模上的安全要求和更新安全要求,”卡拉说。

“而不是中央团队参与每个安全任务,我们为安全成功设立了产品团队,并清楚地清楚地证明了一个共同的责任,”他说。

除了解决中央安全团队的有限能力之外,大多数公司都面临着必须确保越来越多的不同技术的安全性。

在Adobe,这意味着必须在云层和移动设备上维护桌面上的越来越多和佩戴产品组合的安全性。

“这种复杂性可以通过补充新产品和服务来加剧,如果添加新产品和服务,则没有任何人员在安全团队中添加到管理它,”卡拉说。

Adobe通过建立每个产品,它基本上是一个移动,桌面或云应用程序。

有些产品是其中的组合,克拉拉说,但通过了解每个产品的特定安全要求是什么,基线安全要求可以扩展到满足这些产品。

“对于这些中的每一个,我们有一套需要采取的额外步骤,以确保通过为不同技术堆栈提供迎合每个产品的所有安全要求,”他说。

由于技术堆栈不断变化,Kalra表示,组织应该了解他们的安全实践 - 在Adobe的情况下,它的安全产品生命周期(SPLC) - 还需要在工具和清单中不断更新,以获得新要求。

安全队伍面临的另一个共同挑战是在为最新和最重要的企业关键产品和维护遗留产品的安全性之间找到适当的平衡。

“虽然业务优先级正在添加新产品和服务,但安全队不能忽视遗留申请,”卡拉说。

“虽然它们对于业务关键性来调整[安全]绝对可以,但我只是认为它不应该是任何组织的优先级进程的第一步,”他说。

Adobe通过定义其基线SPLC和服务,移动和桌面的专业,但当新的关键产品在地平线上时,安全团队开始在他们周围进行深度威胁,并带入第三方进行有针对性的渗透测试。

“这通常会赢得我们的时间来提供这些新的关键产品,他们需要的注意力并确保问题不会开始建立,”卡拉说。

还经常监控和跟踪由于其业务关键性或与其相关的风险具有高价值的其他产品。

“我们的首席安全官每月向我们的行政长官和董事会讨论,季度向董事会致电,以便给予关键产品的安全性,”卡拉说。

“这意味着对这些产品的开放问题的积压仍然可见,所以我们能够告诉高管在风险修复方面如何做好,以及是否正在进行足够的进展,这使每个人都能在安全性方面做得很好,”他说。

通过这种方式,Adobe的安全团队能够调整其对业务关键性的方法,这意味着并非每个产品都从安全团队的每个成员获得相同的注意力。

“基本上,我们能够为每个产品团队提供一些最低指导,但我们也能够提高安全参与,具体取决于产品的重要性或批评,”卡拉说。

他重申,安全的产品生命周期将仅扩展到安全责任的地方,并且需要持续发展安全实践与改变的技术堆栈。

郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如有侵权行为,请第一时间联系我们修改或删除,多谢。