DDOS防御专家-提供超强DDoS高防/CC防护/大流量清洗服务!
当前位置:主页 > WEB安全 > 正文

防ddos_腾讯云ddos攻击防御_零元试用

05-08 WEB安全

防ddos_腾讯云ddos攻击防御_零元试用

即使你在一个大公司工作,你也有可能记住所有在这个组织工作的安全人员的名字。这是因为根据最近的一项调查,开发人员与安全性的比率是100:1(同一项研究表明开发人员与运营人员的比率为10:1)。以前的研究报告的比例从100:3到100:6,所以有一些进展,但还不够快。  这对这些组织应对即将出台的数据隐私保护法规(如欧盟的GDPR)和阻止过去几年中经常出现在新闻上的数据泄露的能力来说,这并不是一个好兆头。现在没有足够的技术娴熟的保安人员来填补空缺。成功地采用安全的开发和操作实践不仅需要深入的技术理解,而且还需要具备沟通、说服和平衡的技能,以获得开发团队和(通常情况下)高级管理层的认可。我们仍然处于一个恶性循环中,安全专业化不够有吸引力,因为从历史上看,公司没有给予安全足够的优先权。这些公司现在正面临着越来越大的安全需求,但他们缺乏足够的具备适当技能的人才。那么,我们有什么选择来弥补这一安全漏洞呢?让我们首先澄清一下,自动化基本安全检查(如第三方漏洞)和编码准则以及在交付管道中集成安全性对于当今的任何产品开发团队来说都是一件轻而易举的事情。DevSecOps中的工具集不断扩展,社区和企业级需求都得到了很好的满足。那么差距在哪里呢?它是在"黑客思维"中,不断地在我们的应用程序中寻找新的潜在攻击载体("未知的未知")。这也是一项艰巨的任务,即有意义的风险分析和威胁建模,并将其转化为行动和优先事项。这些都需要深入的安全思考和背景知识,这不是产品开发团队在现有职责的基础上承担的额外认知负荷。Matthew Skelton和我所做的研究、编目和解释了不同的DevOps拓扑如何在推进或阻止DevOps采用方面发挥重要作用,这些工作很好地解决了当前的问题。  我们想到了两种不同的(可能是互补的)团队拓扑:A)完全分担安全责任B)安全作为一个使能团队每种方法的区别是什么,利弊?完全共享的安全责任意味着每个产品开发团队至少集成一个以安全为中心的T形团队成员。当组织努力建立跨职能的自主产品开发团队时,这种方法就足够了。安全人员需要能够将复杂的安全威胁转化为可操作的安全故事和验收标准,团队可以从技术角度理解和实施这些安全故事和验收标准。他们还必须能够以企业所有者能够理解和优先考虑的方式来传达组织的风险和潜在成本(合规性、收入和声誉)。另一方面,他们应该准备好在需要时执行与安全无关的任务。随着时间的推移,安全分析和实施的所有权应该分散在团队中,而T型安全人员可能会保持对安全最佳实践、新方法和工具的掌握、促进安全相关研讨会和主导产品安全战略方面的专业知识。我们的目标不是让安全人员分配所有的安全工作,否则我们只是在宏观层面(孤立的安全团队)向微观层面(孤立的团队成员)移动竖井。 每个产品团队-用黄色圆圈表示-有7到9个团队成员,其中至少一个是T形安全人员-在绿色圆圈内-但其他人也参与安全工作。 当然,对于跨组织中多个产品和业务领域的安全性,仍然有一个重要的位置。分享经验、方法和结果至关重要。但这可以采取一个实践社区的形式,或者一个由积极的个人定期聚集在一起的公会(Spotify的说法),而不是一个专门的团队。赞成的意见团队安全所有权将提高,从而加快(非琐碎的)安全事件解决,或许更重要的是,从中学习以避免将来重复痛苦。由于团队有一个自然的规模限制(8-9人),随着时间的推移,IT人员与安全人员(T形)人员的比例应该更接近10:1。仅技术背景的多样性就可以在解决问题和优先事项方面带来好处。向这种拓扑结构的转移将向组织中的每个人发出一个不可否认的信号,即安全现在是我们产品中的头等公民。欺骗寻找和招募(这可能需要慷慨的软件包)和增加额外的9个安全人员(在一个有100个开发人员的组织中)的成本将是一个严重的问题(根据这篇文章的介绍)。预计这种转换需要相当长的时间,在此期间,您需要准备好各种模型(一些是自主的产品团队,有些仍然依赖于一个集中化的团队),并考虑一个策略,来选择哪些团队首先进入。例如,首先将经验丰富的安全人员分配给组织中风险较高的产品团队。高绩效的自主团队是建立在稳定和相互了解对方优缺点的基础上的,团队组成的任何变化,即使是一个人,也不可避免地会造成一些干扰。从新的安全角度来看,团队可能会觉得它交付的更少,效率也越来越低。至关重要的是,每个人都明白这是正常的,是可以接受的。缺乏安全问题的集中联络点。尤其是高级管理人员,可能会觉得,ddos云防御云节点,在一个分散的结构中,"没有人掌握安全的方向盘"。确保有沟通渠道和人员能够将对安全信息的请求定向到正确的团队(或实践社区)可以在这方面有所帮助(尽管如果你有办法的话,这也可以起到作用)。启发式您的组织是否已经有跨职能团队,如何学会ddos防御,整合业务所有者,并负责QA、监控和运行他们开发的应用程序?产品(或服务)是否显示出截然不同的风险状况?产品(或服务)是否运行在异构的技术堆栈和基础设施上?如果以上问题的答案是肯定的,那么这个拓扑可能证明适合解决安全漏洞。 安全作为一个使能团队意味着一个专门的安全团队为产品开发团队提供支持和指导(例如,网吧ddos防御,代码防御ddos攻击,制定安全开发指南)。关键的是,这个集中化的团队不执行实际的安全分析和实现工作,而是在必要时促进和指导它。同样重要的是,这个团队从项目或发布的一开始就参与进来,以帮助产品团队考虑生命周期每个阶段的安全含义、方法和实践。一个横向的安全团队——垂直用灰色表示——支持三个产品团队——水平用橙色表示——从而共同承担安全责任——用浅绿色圆圈表示许多组织都采用了这种方法,包括Spotify和Sportradar。它需要从传统的"安全团队筒仓"中进行一个不那么剧烈的结构变化,因为我们实际上是在转移这个团队的责任(指导和支持,而不是实施)。但这可能会使组织的其他成员更难充分认识到,产品团队被期望对其系统的安全性拥有更大的所有权。Sportradar的首席技术官Pablo Jensen最近谈到了他们的专职信息安全团队在与产品团队密切协作、听取他们的反馈和随着时间的推移进行迭代的过程中所扮演的角色。他们的项目生命周期关卡之一是"适合开始开发",这需要安全团队的批准,对安全影响和相应的工作计划给予足够的考虑。该团队直接向首席执行官汇报,并有权在必要时停止产品发布。提供指导而非产品安全工作的集中安全团队的作用:Pablo Jensen,Sportradar的CTO(幻灯片来源于2018年伦敦QCon演讲) 赞成的意见从传统的独立安全团队转移到支持模型的时间更短,这是一个做大量安全工作的团队。不需要大量的新员工,从而避免了所有相关工作和潜在的团队中断。这里的重点应该是确保使能团队作为一个整体,除了技术技能之外,还具备所有所需的软技能。欺骗这个团队需要掌握有效的沟通,这本身就是一件好事。这是一项需要不断磨练的技能,因此最初需要投资于外部或内部帮助来定义沟通策略和策划内容。转向这种模式发出了一个关于安全焦点改变的微弱信号。信号需要被放大,并且可能需要重复很长一段时间,cc防御原理,直到它成为组织文化的一部分。引入新的职责、实践和工具对于已经处于能力顶峰的产品开发团队来说是一个挑战。集中式支持团队可能会因请求帮助而不知所措,并在帮助实现产品安全性方面面临压力,这将使模型的整个目标落空。随着时间的推移,产品团队内部的安全焦点可能会逐渐消失,而没有安全人员参与团队的发布/

版权保护: 本文由 DDOS防御专家 原创,转载请保留链接: /web/67829.html

DDoS防御专家简介孤之剑
国内资深白帽子二十人组成员,前BAT资深网络安全工程师,知名网络安全站点板块大神,每年提交Google及微软漏洞,原sina微博负载插件开发者,现在整体防御复合攻击长期接受1-4.7T攻击,CC防护自主开发指纹识别系统,可以做到99.9999%的无敌防御。
  • 文章总数
  • 8988084访问次数
  • 建站天数

    QQ客服

    400-0797-119

    X