Adobe使用共享责任来满足安全挑战
据该公司的安全软件工程高级经理Mohit Kalra,Adobe使用共享责任来解决关键安全挑战。
“大多数公司面临着拥有相对小的安全团队的挑战,因为很难找到并留住必要的技能的人,”他在巴黎的EEMA ISSE 2016安全大会上讲。
Adobe通过任命每个产品组中的安全冠军来解决中央安全团队的压力来解决这一挑战。
这种共享安全责任的方法是任何公司可以使用的策略,无论其核心业务如何。
核心业务领域的安全冠军通常具有比同事更安全的知识,并帮助确保安全是他们工作的团队的重点。
“他们充当中央安全团队的眼睛和耳朵,并承担符合公司的基线安全要求,”卡拉说。
在Adobe,这意味着安全冠军负责其产品组中的安全培训以及静态代码分析程序和安全测试。
“这意味着中央安全团队更有能力集中在审查高风险警报和签署产品上的威胁建模上的安全要求和更新安全要求,”卡拉说。
“而不是中央团队参与每个安全任务,我们为安全成功设立了产品团队,并清楚地清楚地证明了一个共同的责任,”他说。
除了解决中央安全团队的有限能力之外,大多数公司都面临着必须确保越来越多的不同技术的安全性。
在Adobe,这意味着必须在云层和移动设备上维护桌面上的越来越多和佩戴产品组合的安全性。
“这种复杂性可以通过补充新产品和服务来加剧,如果添加新产品和服务,则没有任何人员在安全团队中添加到管理它,”卡拉说。
Adobe通过建立每个产品,它基本上是一个移动,桌面或云应用程序。
有些产品是其中的组合,克拉拉说,但通过了解每个产品的特定安全要求是什么,基线安全要求可以扩展到满足这些产品。
“对于这些中的每一个,我们有一套需要采取的额外步骤,以确保通过为不同技术堆栈提供迎合每个产品的所有安全要求,”他说。
由于技术堆栈不断变化,Kalra表示,组织应该了解他们的安全实践 - 在Adobe的情况下,它的安全产品生命周期(SPLC) - 还需要在工具和清单中不断更新,以获得新要求。
安全队伍面临的另一个共同挑战是在为最新和最重要的企业关键产品和维护遗留产品的安全性之间找到适当的平衡。
“虽然业务优先级正在添加新产品和服务,但安全队不能忽视遗留申请,”卡拉说。
“虽然它们对于业务关键性来调整[安全]绝对可以,但我只是认为它不应该是任何组织的优先级进程的第一步,”他说。
Adobe通过定义其基线SPLC和服务,移动和桌面的专业,但当新的关键产品在地平线上时,安全团队开始在他们周围进行深度威胁,并带入第三方进行有针对性的渗透测试。
“这通常会赢得我们的时间来提供这些新的关键产品,他们需要的注意力并确保问题不会开始建立,”卡拉说。
还经常监控和跟踪由于其业务关键性或与其相关的风险具有高价值的其他产品。
“我们的首席安全官每月向我们的行政长官和董事会讨论,季度向董事会致电,以便给予关键产品的安全性,”卡拉说。
“这意味着对这些产品的开放问题的积压仍然可见,所以我们能够告诉高管在风险修复方面如何做好,以及是否正在进行足够的进展,这使每个人都能在安全性方面做得很好,”他说。
通过这种方式,Adobe的安全团队能够调整其对业务关键性的方法,这意味着并非每个产品都从安全团队的每个成员获得相同的注意力。
“基本上,我们能够为每个产品团队提供一些最低指导,但我们也能够提高安全参与,具体取决于产品的重要性或批评,”卡拉说。
他重申,安全的产品生命周期将仅扩展到安全责任的地方,并且需要持续发展安全实践与改变的技术堆栈。