onenote组织知识体系_如何提升组织的安全专业知识-白红宇

onenote组织知识体系_如何提升组织的安全专业知识

阅读量：2533 次

发布时间：2019-05-11

本文共 4408 字，大约阅读时间需要 14 分钟。

onenote组织知识体系

如今，IT安全对每个公司都至关重要。用联邦调查局前局长罗伯特·穆勒（Robert Mueller）的话说：“只有两种类型的公司：被黑客入侵的公司和将要被黑客入侵的公司。”

同时，IT安全也在不断发展。我们都知道我们需要跟上网络安全和安全工具的最新趋势，但是我们如何做到这一点而又不牺牲我们继续推进业务重点的能力呢？

您的组织中没有一个人可以独自处理所有安全工作。您的整个开发和运营团队将需要提高对安全工具和最佳实践的认识，就像他们都需要在开源和敏捷软件交付方面建立技能一样。有许多最佳实践可以通过基础和中级教育，主题专家和知识共享来帮助您提高公司的整体安全专业知识。

基础教育：年度网络安全教育和安全联系信息

在IBM，我们每个人每年都完成一次在线网络安全培训课程。我也建议将其作为其他公司的最佳做法。在线培训是基础课程，并不假定任何人都有技术背景。主题包括社会工程，网络钓鱼和鱼叉攻击，有问题的网站，病毒和蠕虫等等。我们将学习如何避免可能使我们自己或我们的系统面临风险的情况，如何识别企图破坏安全性的迹象以及如何在发现可疑事件后报告问题。此在线教育旨在以较低的人均成本提高组织的整体安全意识和就绪状态。这项教育的一个很好的副作用是，这种基础知识可以应用于我们的个人生活，我们也可以与家人和朋友分享我们学到的知识。

除了一般的网络安全教育之外，所有员工还应接受有关数据安全和隐私法规以及如何遵守这些法规的年度培训。

最后，我们可以通过在包括Slack在内的重要位置共享指向其网站的链接，并设置建议的匹配项来确保找到我们的内部网站，从而确保人们对我们的网站的正确访问，从而轻松地找到了公司安全事件响应团队：

中级教育：从您的工具中学习

安全专业知识的另一个重要来源是通过预构建的安全工具。例如，我们已经设置了一组自动化安全性测试，这些测试使用IBM AppScan针对我们的Web服务运行，并且其生成的报告包括有关其发现的漏洞，威胁的严重性，如何确定您的应用程序是否为恶意软件的背景知识。易受此漏洞影响，以及如何解决问题（带有代码示例）。

同样，的免费将扫描您的开源Node.js模块，并报告发现的任何已知漏洞。此工具还会生成教育性审计报告，其中包括威胁的严重性，易受攻击的程序包和带有漏洞的版本，不具有漏洞，依赖项的替代程序包或版本，以及指向有关该漏洞的更多详细信息的链接。这是npm审核报告的示例：

High	正则表达式拒绝服务
Package	极小值
Dependency of	gulp [dev]
Path	gulp>乙烯基fs> glob流> minimatch
More info

任何良好的网络级安全工具都将为您提供有关该工具阻止的攻击类型以及如何识别可能的攻击的信息。该信息可从在线营销材料以及工具的控制台中获得，并报告您是否可以访问这些信息。

您的每个开发团队或团队都应至少有一位主题专家，他们花时间阅读并完全了解与您相关的漏洞报告。这通常是技术负责人，但也可能是对学习更多有关安全性感兴趣的任何人。您的本地主题专家将能够在将来的开发和部署过程中更早地发现类似的安全漏洞。

使用上面的npm审核示例，阅读并理解此报告中的安全建议＃118的开发人员将更有可能在将来查看代码时注意到可能允许正则表达式拒绝服务的更改。团队的主题专家还应该培养确定哪些漏洞报告实际上不适用于其特定项目所需的技能。

中级教育：会议

我们不要忘记参加与安全性相关的会议，例如。会议为团队成员提供了一种集中精力学习几天并带回该领域最新想法的好方法。我们可以向其他从业者学习的会议“走廊”也是有价值的信息来源。尽管我们大多数人不喜欢被“出售”，但会议的赞助商大厅是休闲检查新安全工具以查看您以后可能会对哪些工具进行评估的好地方。

如果您的组织足够大，请让您的DevOps和安全工具供应商来找您！如果您已经购买了一些很棒的工具，但是采用的步伐并不理想，那么许多供应商将很乐意为您的团队提供一些额外的实践培训。扩大他们的工具的使用符合他们的最大利益（使您更有可能继续为他们的服务付费并增加您的许可数量），就像最大化您从这些工具中获得的价值最大化符合您的最大利益一样。重新付款。我们最近在我们最大的站点（拥有数千名IT专业人员的站点）主办了 + DevSecOps峰会。就像在技术会议上一样，有十几个供应商赞助了每个活动，现场参观，设置了展位并进行了会议演讲。我们也有一些自己的演示者，他们对DevOps和安全性最佳实践非常满意，我们的公司信息安全办公室，敏捷教练，现场技术支持和内部工具链团队设立了展位。每个站点都有数百名与会者。这对我们的技术社区非常有用，因为我们可以专注于已经购买的工具，了解公司中其他团队如何使用它们，并建立联系以在将来互相帮助。

当您派人参加会议时，重要的是要设定期望他们会回来并与团队分享他们所学到的知识的期望。我们通常通过非正式的棕色袋午餐学习来做到这一点，鼓励人们以互动的方式讨论新想法。

主题专家和知识共享：安全工程协会

在IBM Digital Business Group中，我们采用了描述的squad模型，并对其进行了调整以使其适用于我们。行会模型的一个有时被遗忘的方面是行会。公会是英才中心，围绕一个主题或技能集，有来自许多班子的成员。公会成员共同学习，彼此以及更广泛的团队分享最佳实践，并努力提高技术水平。如果您想建立自己的安全工程公会，那么以下是过去建立公会时对我有用的一些技巧：

步骤1：刊登广告并招募

您的同事很忙，所以对于他们中的许多人来说，一个安全的行业协会可能感觉就像他们不得不在一周之内完成的另一件事，而无需编写代码。从一开始就很重要的是，公会的价值主张将使其成员以及整个组织受益。

Zane Lackey给了我一些很好的建议：讲出真相很重要。他说，过去，安全措施可能更阻碍完成工作。您的安全工程协会需要专注于使工程团队的生活更轻松，更高效的方法。您需要找到使更多与安全相关的繁忙工作自动化的方法，并使您的开发团队更加自给自足，因此您不必在开发过程的后期依赖安全性“门”或障碍。

以下是一些可能会吸引人们加入您的公会的事情：

了解安全漏洞以及如何解决这些漏洞

成为主题专家

参与渗透测试

评估和试用新的安全工具

在您的简历中添加“安全工程协会”

以下是一些其他公会招聘技巧：

直接与您的安全专家联系，并请他们加入：安全架构师，网络安全管理员，公司安全部门的人员，等等。

聘请外部发言人，可以使人们对安全工程感到兴奋。将其作为“由安全工程协会赞助”的广告进行宣传，并在演讲之前和之后为希望加入您的行会的人收集姓名和联系信息。

获得该计划的行政支持。也许您的一位副总裁将写一篇博客文章，以颂扬安全工程技能的优点，并要求人们加入行会（或者您可以为她或他起草博客文章，以进行编辑和发布）。如果时间允许，您可以将该博客文章与外部扬声器广告结合起来。

要求您的管理团队从每个班子中提名一个人加入行会。如果您迫切需要快速改善安全状况，则此强制性方法非常重要。

步骤2：建立团队

公会会议应采取行动。保持议程很重要，这样人们才能知道您计划在每次会议中讨论的内容，但请在会议结束时留出时间让成员提出他们要讨论的任何话题。另外，请务必记下操作项，并为每个操作项分配一个所有者和一个目标日期。最后，保留会议记录并在每次会议后发送简短摘要。

最初的几项公会会议是您最佳的机会，可以通过一些团队建设向右脚出发。我喜欢进行一些设计思考练习，让您的团队成员分享他们对公会任务陈述的想法，对他们的最爱进行投票，然后利用这些想法来编写简单而有趣的任务陈述。任务说明应包括三个组成部分：世卫组织将受益，行会将做什么以及魔兽世界因素。这项练习本身很有价值，因为您可以了解人们为什么决定首先自愿成为行会的一部分，以及他们希望实现的目标。

从一开始我想做的另一件事就是问人们他们希望作为公会实现的目标。行会应该一起学习，玩得开心，并做真正的工作。一旦您有了这些想法，就开始将所有者和目标日期放到那些目标旁边。