安全在防暴演变

嘿伙计!我们是Mark Hillick,杰森·克拉克,大卫鲁克从防暴队的安全,我们在这里讨论如何在防暴安全计划已经发展了近4年。这是我们在一系列的安全物品的第一篇文章因此这将是更高级的,但留意的科技博客在未来所有的多汁易怒位。

在这篇文章中,我们将讨论我们的方法如何已经涉及听我们的同胞暴徒,利用骚乱的反馈机制,以提高安全栏,终于创造了一套定制的安全最佳实践。从引入安全标准,以确保我们的办公室和建设的工具,帮助保护我们的产品,我们将探讨如何骚乱方法的安全性和共享来自战场的一些事迹。

挑战

像许多安全团队,我们原本是一个团队,说:“没有。”你知道的类型 - 看门人,球队在角落里。我们的安全团队,这是任何人想从事(读凤凰城项目对于另一示例)。我们的流程通常导致阻塞球员价值,这对于伤害公司充满了玩家的使命,成为最具玩家关注的游戏公司在全球的交付。正如您可以猜到,我们的理念是不完全由内部骚乱等队经常绕过我们,因为他们没有看到,我们可以添加值其他球队接受。

除了文化上的挑战,我们在努力与消防 - 很多我们的时间是由事件响应消耗。我们也经历了如数据丢失的非常公开的安全挑战我们NA密码数据库和Marc美林的Twitter是砍死

无安全很烂,我们需要从过去的安全事件继续前进。我们希望支持我们的产品和工程团队建设踢屁股的东西的球员,这意味着它是时候重新评估我们是如何工作的。传统的安全把关作用将不允许我们推动必要的变革,并建立在防暴一个有效的安全方案;事实上,这只会进一步从防暴其余疏远我们。

我们的方法

我们的哲学原理可分为三个主要的策略:

  • 安全应该是你的公司文化的守护者。我们是由文化,而不是它的驱动器驱动。
  • 安全团队应该反馈驱动和观众关注。您的消息已与人们它会影响产生共鸣,因为如果他们不采纳你的总体目标,他们会不信任,或与您合作的过程。
  • 安全团队应该提供的选项,而不是障碍。

搞清楚什么好的安全会是什么样的骚乱是第一步。我们知道,我们必须与我们的文化对齐有我们的计划获得通过。有我们需要考虑的一些关键因素:

  • 我们分析了在那里,为什么我们未能在过去没有落入blamestorming或“但骚乱的不同”的论点。
  • 什么样的变化将会对球员和暴徒的影响最大?
  • 我们如何搞不使他们感到单挑不太安全意识的暴徒?
  • 我们应当在多大程度上尝试改变?多少是太多了?
  • 我们怎么能不雇用数百个新的人范围的安全?难道我们有一个包含谁也提倡安全的潜在冠军的球队?

这很容易使一个列表,并说“去做那件事”,但调整我们的方法和策略是反馈驱动和观众关注是不是一个一蹴而就的过程。我们的文化是基于把球员第一,而信任是一个巨大的一部分。我们相信暴徒的意图,并且让他们为玩家的自主性和奇异重点打造很酷的东西(例如重铸符文防暴直接时间报告有趣的视频支持)。信托做你做得最好用最少的干扰是一个巨大的原因是人们来上班的教派冲突。

但相信不会从高回落。如果我们想暴徒信任我们作为一个团队,这意味着我们需要去他们在哪里,了解他们在做什么,并在他们理解的语言和他们说话。为安全神谕的时代已经死了;我们需要成为开发团队的最新成员,防暴直接,合规性,对IT帮助台,和其他地方的安全应该在牌桌上的座位。

暂时嵌入专门的安全工程师到一个团队产生一定的价值,但它不是一个长期的解决方案。单是嵌入模式无法扩展,并获得一个项目的任何知识失去了其作为团队成员转移的相关性。我们需要一种方式来跟上我们的产品,这意味着优先哪里搞的,发现参与有关情况个别暴徒,并让他们更容易与我们沟通。我们需要更多地了解如何暴徒在过去被烧毁的安全,所以我们问。这是我们听到的:

  • 被告知“不”,没有理由或上下文安全原因
  • 接收冲突的指导
  • 从安全小组的感觉分离

持续改进是在防暴工程顶层值,所以我们的同胞工程师们毫不避讳地告诉我们,他们想要的东西。我们需要停止试图从视图,并注意哪些暴徒实际需要安全点力的解决方案。在我们一对一的一个会议上,我们开始问一个简单的问题:

“当你做你的工作,你有什么希望你安全了?”

这些答案将推动安全团队,工程师和非工程师如何参与暴乱横跨在未来几年。他们的回答给了我们一些现实的检查。改进点的名单初具规模。

  • 停止使用安全行话
  • 不要推出没有通知我们或给我们的上下文平台范围更改密码
  • 提供建议和指导方针提供给我们,而不是仅仅说“不”
  • 提供解决方案,而不是上市问题
  • 建立关系,让您了解从产品的角度挑战

我们有我们的工作等着我们,没有不足的地方开始。我们的谈话武装了我们的要求,我们没有考虑可扩展的工具及时名单。我们不仅限于Wireshark的Metasploit的,NMAP, 要么饱嗝儿。通过给开发人员,我们需要他们的能力,具有和开放的沟通渠道,我们能够取得真正的进展,并成为防暴一流的公民。我们所要做的就是问。

打破了我们回音室的出

安防行业是不知道在通信行业外的人是伟大的。我们倾向于责备他人是不安全的或者告诉人们如何冷静我们是因为我们粉碎了堆。我们通常会被视为球队自带的清理残局的角落。枢关注意味着更多的不仅仅是一张海报标语良好的沟通。对于我们的团队APPSEC,这意味着理解如何真正实现我们的既定目标:

“要搀扶着,他们需要建立安全的产品,为球员和暴徒的工具和知识,每一个软件工程师。”

换句话说,我们的团队APPSEC应该很容易让工程师编写的代码,是从一开始就安全。这并不一定意味着强制性的工具和培训。如果我们愿意遵循传统的做法,我们会实施强制实施代码审查,意识培训,和静态分析,但我们并没有这一点。相反,我们抓住了这是不够快,无法逃跑,坐在下来的谈话任何工程师,我们参加其他团队的站立会议,我们最终重新配置我们周围的组织的需求的路线图。在我们的单对单的,我们一直问这样的问题:“你喜欢我们在做什么?我们还能提供?”此外,我们给团队可视性的东西像我们的安全漏洞跟踪和我们的错误赏金计划,以便他们能看到自己努力的影响,无论是正面的还是负面的。

一年征求反馈和迭代上会为球队增添围绕防暴价值路线图后,我们交付暴动的首次公开谈论安全其进入对前期的努力更多的细节。你可以看到那些早期的路线图最终被检查出服用我们从今年早些时候的谈话。我们还提出了外部对我们的做法,以网络安全和如何安全利用我们的反馈推动文化BruCon安全巨星。总之,我们的工程师不想重技术提升或听到零天。他们希望我们能够跟上他们,因为我们审查他们的代码或产品,提供对数据的代码装配到暴动的安全目标,这让他们的生活更轻松写工具如何。他们学会了爱清单

我们的研究和合作的高潮走进我们的RFC库(类似IETF互联网标准),更详细地描述这里我们的同事凸轮邓恩。这是一个高科技的设计过程中,我们讨论了技术挑战,共同分享知识,同意的办法,最终想出了通过我们采用的工艺标准。

遵循RFC全部放在一起

RFC文档都在改变和引导在防暴安全前景的主要因素。通过RFC中,我们可以得到与其他球队,征求反馈意见自下而上排列,并确保我们的解决方案与全球防暴工程引起观众的共鸣。特别是三个RFC中已经对安全的防暴处的演变和安全团队本身就是一个显著的影响。

RFC0026:AWS安全

亚马逊网络服务(AWS)是建立一个产品和快速交付的球员值的简单和低摩擦的方式。但是,这同样缺乏摩擦通常会导致夜不能寐的安全团队。有我们可以规定很多规则,我们可能已经被迫团队的变化方式,但是我们并不想引起决策瘫痪或阻止他们提供新的播放器功能的能力。其结果是,我们专注于所有权努力EC2实例作为我们的第一个主要的AWS安全挑战应对。所有权归属大大方便了我们的安全事件响应,确保每一件产品,系统和服务的积极使用,其财务团队还赞赏。

使用在AWS标记功能,我们有一个解决方案,将提供内AWS基础设施和产品,权属清晰。打造对齐,并得到采纳的标签,我们结束了两个RFC文档,一个涵盖哲学“什么和为什么”的标签(RFC0026),并描述了实施细则(RFC0026a)第二。为了实现所有权归属的理念,我们写和执行自动化执法的工具。我们通过对首次执行一些考验和磨难去,导致退化的生产服务功能的联盟

这不可避免地导致一些球员的痛苦和我们的同事相当大的反馈。我们听取了这些反馈和原因分析(RCA),我们探讨,我们失败了,我们如何能够提高执行透明的根。我们反复对我们的解决方案,超指数上我们的沟通策略,并重新实现与大大改善对准和可见性的工具。我们现在已经能够满足这一目标的解决方案“知道你有什么”,也符合我们的是玩家关注和快速移动的目标。

该工具是用在烧瓶中使用Python和模块化的架构风格的AngularJS前端与一个MySQL后端。它运行安全AWS账户内,利用AssumeRole访问读取所有对象的配置内的AWS帐户。自动电子邮件通知AWS账户拥有者,并在缺乏合规性和当他们的实例将被关停的相关性,例如业主。多次通知后在约定的时间内,该工具将关闭并最终终止于AWS服务未正确标记的任何实例。它还检测导致子域名劫持,你可以了解更多关于DNS配置错误这里这里

该工具是如此的成功,我们已经在其他球队包括检查接收到的请求从工程师EBS卷。我们也有两个RFC的弥补readoption为强制所有可加标签AWS对象标记。需要注意的是,像我们的技术变化,这些哲学和文化的变化已经错开这一点很重要。你不能一下子改变一切,不管你的想法是多么伟大。如果您想了解更多关于我们的AWS的旅程,请查看我们的谈论在重:2017年发明,我们宣布,我们开源这个工具,称为云砂锅

RFC0242:Office安全

安全性的一个经常被忽视的方面是确保你有你到处玩同样的能力决策。我们的反应能力应该是无论是在数据中心或小型办公室横跨半个世界一样。我们制定了这些能力应该是什么样子的RFC0242,它描述了如何构建一个防御性的办公室,使暴徒们在一个安全和可扩展的方式提供真棒球员的经验。我们假设每一个网络被破坏,同时预防是很重要的,知名度,检测和遏制是成功的关键。

原来RFC本身是有争议的。我们花了很多时间相当服用反馈,使得调整,也许最重要的,是与暴徒彻底透明。我们费尽苦心再也回不来了包含“相信我”或“因为黑客”的回答时,周围大哥不可避免的问题弹出。由RFC在顶层范围获得通过的时间(所有暴乱),有六倍的意见作为内容线多条线路。虽然我们可能只是保持我们原来的RFC的70-80%,我们曾从事我们的同胞暴徒的欢心,不得不全公司范围内对齐。

当然,这一切都不发生在真空中。我们已经有端点工具,一个庞大的部署,数百万美元的箱子的Blinky和更新,以及供应商手册驱动的安全计划的所有饰物。里面骚乱的创造性和好奇心驱动的环境中的这些工具操作是可能的,但不是很有效。虽然这些工具给了我们一些我们所需要的能力,我们花了希望,我们有更好的选择,每一个事件的很大一部分。事实证明,有错误的工具可以是资产 - 你不得不找到或建立正确的。

在我们的安全堆栈以寻找关键的是,我们学到了一些东西。

功能应该反映你的威胁。

如果你花90%的时间处理网络钓鱼的重点不应该是网络法医齿轮 - 即使相隔抓取数据包是很酷。

标准化你的日志。
这是因为我们跟供应商的任何一个不变的要求。如果他们不能够给我们标准的日志格式(系统日志,JSON等),他们立即被从列表中删除。

你是BYOD无论你选择相信与否。

工作逐渐发生断网,我们需要保持灵活性,暴徒们可以安全地从任何地方工作。

传福音

我们三个都是工程师,正如你们许多人知道,很容易在所有的酷科技被套牢。在初期,我们意识到,要真正取得成功,我们需要把凉爽的安全的东西放在一边,获得非安全人员购买到我们的目标。我们不能每个产品团队坐在防暴,所以这是非常有价值的有暴徒谁愿意捍卫自身的团队内良好的安全习惯。我们有多种策略来帮助我们实现这一目标。从信息包装安全代码小抄甜美T​​恤,我们决定在通信应用我们的焦点转移到现实世界。我们召唤我们的艺术的一面,并创造了这个很酷的内容,以帮助参与我们的同胞暴徒。

安全代码卡

由于从我们的工程师的反馈,我们的首批产品之一是明信片上的检查表“完成的定义”。这是我们为“建议和指导”的请求响应 - 把一个清单,每个工程师的办公桌上放指日可待字面上安全最佳实践。

我们(好吧,有人比我们更艺术)创造了该安全代码基础,我们的工程师已经要求包括进一步阅读链接明信片。我们有黑默丁格的背景,因为他是我们的防暴工程文化偶像和对大裂谷的最佳发型(虽然Draven可能不同意)。我们在全球发送这些卡并收到吨的积极反馈。三年后,我们仍然看到桌子上的这些卡。

T恤

虽然卡是打算去任何人,每个人,我们想创造一些特别的暴徒是去超越,“安全冠军”如果你愿意。Gnar是我们选择的冠军,因为我们正在寻找的乡亲有较大的影响比他们可能已经预料到的。T-shirts might not work in your company - and, to be honest, it’s hard to measure their success in terms of overall improving sentiment towards the Security team - but we feel that they’ve helped increase positive engagement with our team and security in general.

当一支球队询问他们的产品进行审查,我们只找一个两个小问题安全冠军的存在是显而易见的。我们喜欢它,当暴徒安全团队可以成员回答之前在安全邮件列表或在聊天室的问题。当安全冠军来找我们,要求更换的T恤时,他们变老这是特别令人鼓舞。

下一步是什么?

当我们在过去几年回头看,我们很高兴我们做了什么和方向,我们正朝着。我们仍然有工作显著量摆在我们面前的暴动是不断变化的,但我们已经设置已经让安全成为我们的文化和我们的团队中不可或缺的一部分的音调。

展望未来,我们已经创建了一个新的RFC(RFC0650),以帮助工程师,产品所有者和开发经理了解如何更好地保护他们的产品。

它概述像传统的准则:

  • 限制访问什么是绝对必要的
  • 存储数据的最小量
  • 一贯补丁
  • 利用现有的基础设施和日志记录,身份验证和授权解决方案

以及一些不那么传统的准则,如:

  • 搞我们 - 我们要帮助和喜欢说话。说实话,我们不咬人。

这看起来很简单,但3年前他的意见会一直置若罔闻。我们与说的声誉看门人“不”。通过建立跨防暴关系,我们已经获得了信任背和安全做出我们的文化的一个基本组成部分,使我们能够在暴乱采取更具破坏性的技术和工具。我们的理解和合作,而不是吝啬接受的环境中工作。

我们在哪里何去何从?

在接下来的一年,我们将继续在提供真棒球员的经验支持我们的产品开发团队,同时进一步练级我们的防暴安检力度。我们现在有一个坚实的平台,在所有AWS对象推出的所有权归属。我们正在研究如何扩大我们的办公室安全技术。我们将提供团队和工程师更可见其代码的安全状况,并与他们需要为广大玩家创造安全的产品和服务的知识武装他们。

这是一个漫长的旅程,但看着安全团队成长和演变成暴动文化的一个重要组成部分一直是我们是巨大的自豪。这就是说,我们还没有完全结束,我们已经得到了一个令人振奋的路线图前进。

我们计划深入到一些我们在这里介绍了在以后的文章中的故事。感谢您的阅读,并请让我们知道你的想法和问题。

发贴者Hillick,杰森·克拉克和大卫·鲁克