Blog de securitate LinkedIn | Acces la datele contului dvs.

In aceasta saptamana, membrii echipei de securitate LinkedIn au coborat la Las Vegas pentru a participa la Black Hat. Eu si colegul meu Cory am prezentat o discutie despre construirea unui program solid de securitate tactica. Am oferit aici cateva informatii esentiale pentru cei care nu pot participa, precum si cateva intrebari pe care le-am primit ulterior, in partea de jos a acestui post.

Cum sa fim tactici

La LinkedIn, consideram ca programul nostru de securitate este mai intai tactic si suntem dedicati acestei abordari. Securitatea aplicatiilor (AppSec) este una dintre cele mai dinamice discipline din domeniu – daca concentrarea unei echipe ramane doar pe construirea unei strategii pe termen lung si executarea acesteia, veti esua in misiunea dvs. de a asigura afacerea. Abordarile tactice returneaza imediat valoarea si se pot adapta. Elementele cheie ale programului nostru de securitate pentru aplicatii tactice sunt:

1. Adoptati abordari usoare de evaluare si raspuns si repetati-le frecvent.

2. Intrebati-ne constant intrebari dure despre munca pe care o facem pentru a ne asigura ca abordam in mod demonstrabil riscurile sau vulnerabilitatile. (Daca nu ne plac raspunsurile, schimbam planul mai degraba decat mai tarziu.)

3. Considerati ca excelenta operationala este obiectivul nostru principal si colectati indicatori cheie de performanta pentru a masura cum ne descurcam.

4. Favorizati planurile care ii fac pe oameni sa se miste mai degraba decat sa astepte. Executarea impotriva unui set mic de imbunatatiri iterative care implica alte echipe si parti interesate ne permite sa ne concentram asupra problemelor actuale la indemana.

Acest program tactic nu este lipsit de o strategie generala de succes programatic – am constatat ca atunci cand executati cu succes un plan tactic, oamenii recunosc ca aceasta este o abordare strategica in sine.

Fii consultativ

Conducerea unei organizatii de securitate care implica revizuirea produselor si tehnologiilor ar trebui sa fie condusa ca o consultanta. Nucleul in acest sens este definirea unui set de principii de functionare; la LinkedIn, suntem ghidati de urmatoarele:

1. Ar trebui sa fim usor de gasit si sa ne implicam – ar trebui sa simtim ca vorbiti cu un consilier care este intotdeauna disponibil pentru a va oferi indrumari.

2. Ar trebui sa fim constienti de timpul colegilor nostri si sa fim flexibili in ceea ce priveste documentarea si pregatirea – atata timp cat avem informatii pentru a determina urmatorii pasi, ar trebui sa ne straduim sa fim agili.

3. Indrumarile noastre ar trebui sa fie clare, de inteles si sa aiba o probabilitate rezonabila de executare.

4. Ar trebui sa-i asistam pe clientii nostri sa ajunga la solutii, inclusiv sa strangem indrumari de la asistenta juridica, asistenta pentru clienti, inginerie si altele.

5. Ar trebui sa fim pasionati, dar practici – lucrul cu noi nu ar trebui sa ne simtim ca o judecata sau o pedeapsa.

Raspunsul este esential

Eficacitatea si reputatia unei organizatii de securitate este cel mai frecvent evaluata prin modul in care acestea raspund la incidente si bug-uri de securitate. Daca faci lucrurile bine, oamenii vor vedea rar programul tau de evaluare si cum functioneaza. Totusi, raspunsul la incidentul AppSec este mai mult decat simpla gestionare rapida a vulnerabilitatilor care apar.

Elementul esential al abordarii noastre este un manual usor care ofera un cadru pentru a ne ghida echipa in procesul de raspuns. Acesta nu este un document de 100 de pagini pe care nimeni nu il citeste sau actualizeaza vreodata; este practic si previzibil, cu un cadru pentru clasificarea erorilor si a echipelor de implicat in rezolutie.

O alta piesa pe care multe echipe o rateaza este comunicarea. Furnizarea unei surse centralizate de informatii pentru toate persoanele implicate necesita coordonare. Comunicarea trebuie sa curga si catre altii din organizatie in afara incidentului, cum ar fi managementul, PR si uneori legal. Pastrati aceasta comunicare consecventa, directa si optimista.

Am publicat exemple ale acestor elemente ale playbook-ului si ale diapozitivelor complete ale prezentarii noastre la https://lnkd.in/getstuffdone; https://lnkd.in/bugtable; https://lnkd.in/CritTemplate

Aveti in vedere programele Bounty? Concentrati-va pe relatii

Inainte de a lua in considerare orice tip de program de recompensa cu erori, trebuie mai intai sa luati in considerare parametrii de gestionare a rapoartelor de vulnerabilitate externe. Aceasta include crearea de sabloane pentru raspunsuri, stabilirea SLA-urilor interne pentru a raspunde, crearea de acorduri cu echipele de ingineri si dezvoltatori pentru SLA-uri pentru rezolvare si un tabel clar de erori cu severitatea lor.

Am creat programul nostru avand in vedere cercetatorii – apreciem sa lucram cu persoane dedicate practicilor coordonate de divulgare si le angajam intr-o relatie mai profunda si reciproc plina de satisfactii. Sugestia noastra: incepeti cu un grup de oameni in care aveti incredere.

Ganduri suplimentare cu privire la abordarea si experienta noastra despre programul nostru privat de recompense pentru bug-uri pot fi gasite in postarea noastra de anunt de Cory.

Note de inchidere

Multumiri mari tuturor participantilor care au venit sa asculte discutia noastra. Ulterior, am primit cateva intrebari extraordinare din partea publicului, inclusiv cum sa ne extindem abordarea tactica fata de companiile mai mici si mai mari decat LinkedIn.

Cu companiile mai mici, cheia este sa generati cerere pentru serviciile dvs. Executarea buna si demonstrarea succesului vor genera cerere, permitandu-va sa adaugati resurse (personal, instrumente, capabilitati) cu mai mare usurinta.

Organizatiile mai mari prezinta o problema unica a nevoii de a acoperi terenuri semnificative fara a dubla sau tripla echipa de securitate. Concentrati-va pe o abordare directionata, alegand parti ale organizatiei despre care credeti ca prezinta cel mai mare risc. Castigurile din aceste zone vizate va vor permite sa va deplasati lateral in cadrul organizatiei si sa continuati sa va mariti pozitia.

A avea o abordare usoara, tactica, masurabila si adaptabila este cheia unui program de succes in organizatii de orice dimensiune.

In sfarsit, as dori sa le multumesc lui Black Hat si Comitetului de evaluare. A fost o ocazie excelenta de a ne impartasi gandurile si opiniile catre comunitatea de securitate mai mare.