Internet Security Threat Report 2014
As empresas devem implantar programas de recompensas bug, phish seu pessoal e lançar ataques contra suas redes inteligentes, diz Zane Lackey.
O oficial de segurança SignalSciences agora chefe percorreu a experiência de construção e adaptação da equipe de segurança da Etsy.
Lackey ( zanelackey ) e seus colegas, que deixou o bazar moderno para SignalSciences encontrados, teve que lidar com as consequências de segurança quando Etsy começou a empurrar a produção de 30 vezes por dia sob a implantação contínua e fundiu desenvolvimento e operações do modelo.
"A mudança fundamental é que as vulnerabilidades ocorrem em todas as metodologias, mas em contínua implantação não existe tal coisa como um tapa-out-of-band", disse Lackey em uma palestra proferida na sede Duo de segurança em os EUA.
"Quantas pessoas vivem ao longo dos dias de fora dos remendos da banda? Lá vai o seu fim de semana, certo?
"Você está apenas empurrando produção e você faz isso 20 ou 30 vezes por dia. Quando que a vulnerabilidade vem é mundo-final, é apenas mais um dia."
Lackey em políticas de segurança
Implantação contínua significa segurança contínua e permitiu pequena mudança estabelece a ser empurrado para fora com confiança. Para este fim, Etsy introduziu bandeiras metragens, ramp-ups que permitem que partes do código a ser implantado para determinados usuários e testes A / B, que permitem que os usuários para determinar as características que mais gostam.
Ele disse que as equipes de segurança deve se concentrar em incentivos para atrair as unidades de negócios, ou estar preparado para ser abaixou. Regra número um era não ser "um empurrão" para desenvolvedores quando foi encontrado falhas de segurança estúpidas ou código ruim.
"Não seja um idiota", disse Lackey. "Guarde-o para mais bebidas ... no momento em que são idiota para um desenvolvedor, você perdê-los e todos os seus pares, e você nunca pode saber que você fez."
Trade-offs também são importantes. Nem todo bug precisava ser pintada como o mundo termina, e as que eram de ameaça mínima não deve ficar no caminho da produção. Falhas menores devem ser colocados em uma lista de tarefas, o que irá manter os desenvolvedores do lado.
A vulnerabilidades e seu impacto deve ser explicada em linguagem desenvolvedores entender, não na segurança jargão técnico deliberadamente, acrescentou.
Etsy distribuiu propinas para os desenvolvedores que relatam falhas, incluindo cartões de presente e T-shorts que ele disse que trabalhou "chocantemente bem".
A abordagem nem-ser-um-idiota foi mais longe ainda com a recomendação de que as equipes de segurança tomar "o golpe de falso-positivo" e apenas os desenvolvedores de aproximação com as vulnerabilidades verificadas. Enquanto isso apareceu para colocar o peso de organizar erros reais das tantas outras mais falsas, assegurou que os desenvolvedores não seria simplesmente bateu apagar e-mails de segurança.
Ele aconselhou todas as organizações a considerar fortemente recompensas de bugs, acrescentando que um hall da fama era mais importante do que recompensas monetárias.
Do Etsy bug recompensa mesmo antes oficial de lançamento em setembro de 2012 , obteve o seu primeiro relatório de bug dentro de 13 minutos.
"Quando alguém tem um erro de fim de mundo, você descobre através de um e-mail de entrada, em vez de Pastebin", disse Lackey.
Testes de penetração, ou "simulações de ataque", como prefere Lackey, deve imitar diferentes tipos de ataques, incluindo os atacantes qualificados que utilizam ferramentas personalizadas para manter a calma persistente dentro de uma rede em comparação com aqueles que em voz alta esmagar e agarrar dados e sair.
Ele distingue entre testes e simulação como sendo a primeira simples enumeração de vulnerabilidades que provam compromisso era possível, e este último com base na necessidade de mostrar onde os mecanismos de detecção deve ser colocado.
Alguns objetivo de seus atacantes é um sucesso completo e grab - tão rápido e tão alto quanto eles podem pegar o banco de dados e ir ... O objetivo de todo outro é apenas para manter a persistência e não vai mesmo atuar em qualquer tipo de objetivo por seis meses, ou anos. ", disse ele." Simular as duas coisas ".
Atacantes em simulações devem ser encorajados a usar zero-dias, mas manter o contato com os desenvolvedores para o caso de uma caixa de alvo específico pode ser de produção.
Os ataques executados pelo Etsy correu mais de três ou quatro iterações, ao invés de uma única instância, devido ao fato de que os agressores irão possuir caixas quase que imediatamente. O aumento das iterações também proporcionou melhor inteligência para defensores.
Mais detalhes estão na palestra de Lackey.
Nenhum comentário:
Postar um comentário