Echipa de securitate ofensiva interna a Cruise
Cand povestesc oamenilor despre echipa noastra de securitate ofensiva (sau OffSec), sunt adesea intalnit cu priviri nedumerite – chiar si din partea comunitatii de securitate.
Majoritatea companiilor fie utilizeaza echipe de securitate ofensiva terta parte, fie nu le angajeaza deloc pana cand compania nu este mult mai mare. Cruise construieste inca un serviciu de rideshare auto-condus si este rar ca o companie cu venituri inainte sa aiba o echipa de securitate, sa nu mai vorbim de o echipa OffSec de 6 persoane. Dar siguranta este un principiu cultural la Cruise, motiv pentru care avem o echipa OffSec care simuleaza tehnicile adversarilor reali pentru a testa capacitatea noastra de a detecta atacurile si de a raspunde la acestea.
Array
Pentru cei curiosi despre acest lucru, am vrut sa impartasesc patru motive pentru care Cruise a creat o echipa dedicata OffSec inainte de a lansa un serviciu public. De asemenea, voi explica modul in care ne incadram in strategia generala de securitate a lui Cruise.
Atunci cand echipele OffSec analizeaza vulnerabilitatile software-ului, acestea nu sunt de obicei implicate pana cand nu a fost scrisa cea mai mare parte a software-ului si nu au fost luate decizii arhitecturale cheie.
Array
Testarea devine dificila pe masura ce proiectele cresc, deoarece software-ul tinde sa acumuleze dependente externe, clienti, devine mai complex, etc. Acest lucru face mai scump (atat in timp tehnic, cat si in bani) schimbarea directiilor, astfel incat companiile au inceput sa implice echipele OffSec mai devreme in proces de dezvoltare software.
Dar echipele OffSec nu doar analizeaza software-ul. De asemenea, cauta vulnerabilitati in companie mai general, cum ar fi reteaua sa interna sau procesele de afaceri.
Array
Similar cu proiectele software, cu cat veti gasi aceste probleme mai tarziu, cu atat tind sa fie mai scumpe din cauza dependentelor inter-echipa, recalificarii angajatilor etc. Avand in vedere ca siguranta este o valoare cheie la Cruise si faptul ca suntem inca o companie relativ mica (peste 1000 de angajati si in crestere), am integrat OffSec nu numai la inceputul ciclului nostru de dezvoltare a software-ului, ci si la inceputul ciclului de viata al companiei noastre. Acest lucru ne permite sa privim compania din perspectiva atacatorului suficient de devreme pentru a face schimbari mari.
- porno one piece maps.google.pn
- porno interracial images.google.cv
- porno overwatch www.google.bf
- porno brasileiro www.google.tg
- actrice porno japonaise www.google.to
- canal porno www.google.tl
- porno cougar francaise www.google.gy
- porno bourgeoise maps.google.td
- travesti porno maps.google.tk
- porno hijab maps.google.com.sl
- jeune gay porno images.google.ki
- porno africa pr10.tom.ru
- porno jeune couple s03.megalodon.jp
- porno petit cul com.co.de
- porno congo app.quanmama.com
- jeu porno 3d datum.tv
- porno sous la douche warpradio.com
- porno alpha france red.ribbon.to
- kalissu porno fcviktoria.cz
- africa porno x-entrepreneur.polytechnique.org
- stepmom porno www.koloboklinks.com
- clara morgane film porno www.anan-av.com
O alta valoare esentiala la Cruise (si un motiv important pentru care imi place sa lucrez aici) este „concentrarea radicala”. Intreaga echipa de securitate este incurajata sa fie foarte speciala cu privire la proiectele pe care le acceptam si sa ne dedicam pe deplin celor cateva pe care le selectam. Cu toate acestea, nu este intotdeauna evident ce vulnerabilitati este cel mai probabil sa exploateze un atacator, ceea ce face dificila prioritizarea eficienta.
Ati putea (si ar trebui) sa cititi rapoarte cu privire la modul in care opereaza actorii de amenintari reale sau la modul in care companiile sunt de obicei compromise, pentru a va informa prioritatile, dar adesea cel mai bun mod de a afla este sa incercati singur si sa operati sub motivatii si constrangeri similare. Exact asta face echipa noastra de securitate ofensiva.
Restul echipei de securitate foloseste aceste informatii pentru a prioritiza totul – de la remedierea vulnerabilitatilor la initiative mari de securitate – astfel incat sa putem lega tot ceea ce facem de o amenintare realista. Inainte de lansarea serviciului de calatorie auto-condus de catre Cruise, este esential sa lucram la cele mai eficiente proiecte de securitate in loc de a atenua vulnerabilitatile care este putin probabil sa fie exploatate. Este provocator, dar ne ajuta sa folosim cat mai bine resursele noastre pentru a mentine compania in siguranta.
In cartea Rework, Jason Fried si David Heinemeier Hansson discuta ideea ca straturile de abstractizare pot fi daunatoare. De exemplu, mai degraba decat sa scrieti un document care sa descrie cerintele pentru pagina principala a unei aplicatii web, ar putea avea mai mult sens sa o desenati. Documentul este mai abstract, care poate fi interpretat gresit sau ignorat, ceea ce ne aduce imediat in minte rapoartele de evaluare OffSec lungi, zapacite si abstracte cu care ne-am obisnuit sa vedem. Acestea tind sa ajunga pe o partajare de fisiere deschise, colectand praful digital pana cand urmatoarea echipa rosie le gaseste si foloseste vulnerabilitatile (inca nesolutionate) in functionarea sa. Suna familiar?
Rezultatele de la echipele terte OffSec tind sa produca aceste rezultate intelegatoare, deoarece este costisitor sa se integreze cu un set mare si divers de instrumente, stive de software si echipe de inginerie pentru fiecare dintre clientii lor. Chiar daca un tert a dorit sa dedice un consultant unui client, este doar temporar, iar cunostintele despre mediul pe care il obtin tind sa se piarda atunci cand se transfera catre un alt client. Nu trebuie sa fie asa.
Echipa OffSec a Cruise elimina aceasta abstractizare prin integrarea cu echipele de inginerie, instrumentele de securitate si tehnologiile. Daca gasim o vulnerabilitate in software-ul Cruise, mai degraba decat sa scriem un document care descrie solutia, „o desenam” ajutand la scrierea codului pentru a o remedia si adaugam teste pentru a verifica automat solutia. Daca gasim o vulnerabilitate in software din retea pe care o putem detecta cu o rata de fals pozitiva scazuta (pentru a evita cozile de triaj nesfarsite), scriem un plugin pentru scanerul nostru de vulnerabilitati. Daca gasim o lacuna in capabilitatile de detectare Cruise, scriem o regula pentru sistemele noastre de detectare a intruziunilor cu teste insotitoare in Metta. Si daca intr-adevar trebuie sa demonstram valoare sau sa construim un consens pentru ceva, producem ceva mai abstract, cum ar fi o prezentare. „Desenarea” rezultatelor ne ajuta sa facem progrese mai rapide in solutionarea problemelor de securitate,
Oamenii considera ca echipele interne OffSec se distreaza rupand lucrurile si impingand lucrurile imprevizibile, plictisitoare si dificile in restul ingineriei. Am observat ca multe echipe OffSec au o relatie contradictorie ca aceasta cu alte grupuri de ingineri si cred ca o echipa OffSec interna colaborativa poate face un drum lung spre imbunatatirea acestei relatii. Exact asta a facut Cruise.
O modalitate de a face acest lucru este implicarea puternica in munca de remediere pe care o cream (asa cum am mentionat mai sus). De asemenea, colaboram zilnic cu echipele noastre de ingineri, integrandu-le pe tot parcursul ciclului de viata al operatiunii. Am stabilit linii clare de comunicare cu echipele noastre de securitate defensiva pentru a ne asigura ca nu pierdem timpul investigandu-ne activitatea atunci cand nu suntem intr-o echipa rosie. De asemenea, contribuim direct la proiectele lor scriind reguli de detectare a intruziunilor si implementand Metta.
Cel mai important, suntem cu totii profund investiti in misiunea si succesul companiei, asa ca ne angajam sa lucram impreuna, sa invatam unii de la altii si sa facem cea mai buna munca.
Avem mai multe de venit in proiectele grozave OffSec la care lucram si instrumentele pe care le dezvoltam. Daca sunteti interesat sa va alaturati echipei noastre de securitate intre timp, verificati rolurile noastre deschise – ne veti gasi in departamentul „Inginerie – Produse si infrastructura”.








