11月8日,我开始新的首席信息安全官Grafana实验室。bob电竞频道在我前五周,我见过大约100真正了不起的人;学习和吸收早期经验对我们工作场所文化;开始工作小组对我们的2022年计划(bug赏金增值;和有助于解决我们的第一次0天。
在所有这一切,我也做了很多的思考。我深信在理解背后的“为什么”情况之前什么或如何。所以的第一件事我一直关注我们将寻求创建的值在外面的安全团队和支持。
文化是关键。在Grafanabob电竞频道实验室,我们有一些非常独特的文化价值观。我不是指的“独特的语句,我们这里有一些价值,或多或少,渴望。“我的意思是独特的现实和结果。文化,到目前为止,似乎是对的影响,包括通过不良经历比如团队一起来管理我们最近0天. *
作为我们的基础,我认为我们有一个机会去做一些令人惊叹的和新的安全Grafana实验室。bob电竞频道
让我们做事专注于通过真正的创新,同时也无情地从别人偷窃的最佳实践。我们的错误和繁琐的东西过去10年的网络安全。* *我们这个团队结构和运作方式完全不同。* * *
关于文化,我们可以,out-GitLab GitLab ? * * * *
智慧,因为我们在建立一个新的安全功能Grafana,我们应该有一个宣言。
博士TL;我们的安全宣言
- 偏差采取行动——做“现在”和“完善后,“实验无畏地,反复测试,快速迭代和失败。
- 使所有权,建立问责制——关键DevOps值的所有权和责任无法在没有实现规模经营,这是我们的工作。
- 服务于用户——不要指望一个工程师登录安全工具;把对他们的见解来驱动的结果。
- 分享公开和默认透明度——Grafana不可思议的文化自治,透明度,和协作。总是使用hivemind。
- 准确的数据,可操作的见解——如果你有50000个结果,你没有。帮助团队理解关注什么,什么时候,为什么。
- 美丽的经历——我们的工具和过程的“完成”的定义包括“这火花快乐吗?”
- 下Dogfood和开源——解决安全规模是一个可观测性问题。构建我们的解决方案和bob彩票中奖计划Grafana堆栈,支持开源社区。(不要使用开源没有试图给回来了!)
- 运营效益驱动合规——安全第一,然后遵从性。
- 安全是一个产品的功能——如果我们解决一个问题,为什么我们不也为用户和客户提供专业的解决方案吗?
- 最小可行的安全控制——总是实施必要的安全控制,只能实现必要的安全控制。
偏差采取行动
即使是小或低成熟度变化现在可以从根本上提高我们的安全姿势和我们的流程和控制的有效性。而我们的“完成”的定义和标准MVP都会雄心勃勃的(见下文)我们不会让这妨碍增量地交付价值,快速迭代,。
我们将实验无畏地不担心失败。我们将测试和实现选定的工具和流程的方式让我们迅速成长和成熟,但也不能快速和低成本。我们想要的“现在”和”后,“我们接受速度有时意味着返工或失去工作。走,走,走。
使所有权,建立问责制
我们坚信风险只能拥有有意义时所拥有的优势,但我们也认识到,人们需要专家的帮助感到安全和能够做出有效的与安全相关的选择和取舍。我们将转移责任的执行任何控制边缘或最终用户只要适当,与支持使它容易满足做出任何承诺。我们将继续不断地开放,从最终用户的反馈和输入一个“有效控制”。
我们将积极支持和开发自主和engineer-led设计通过关注权力下放和创建自助服务工具,过程和经验。浮出水面的风险,建议,建议优先考虑基于可靠,很大程度上与创建自动化测试和推荐安全发展铺平道路和CI / CD,我们将协助工程师和业主确保他们的服务。
我们将采用众包的设计指南和定义通过开放,内部讨论和乐意接受批评,输入,和帮助那些有激情的Grafanista或支持我们的技能。我们将开发、支持和宣传有用,有用和有效的方法来设计和威胁建模,将帮助团队设计缺省安全特性和服务中使用它们。
我们将同意SLOs和kpi关键安全控制与相关业主来帮助他们管理的同意定义“足够好。“我们将创建系统监控对这些SLOs一致性和服务输出回他们生活的主人,支持分布式问责。我们将帮助人们没有我们感到安全做出重要的决定。
服务于用户
安全是唯一的非功能性需求,工程师和研发团队。我们不希望工程师和服务/风险所有者登录安全工具以达到我们共同的目标。我们将抽象用户从底层工具和可操作的数据和服务工程师和业主在日常系统的见解。我们将尽可能下dogfood Grafana堆栈来实现这一目标。我们的主要目的是让工程师们从来没有登录安全特定的工具——除非他们想,在这种情况下,我们想要确保他们总是在需要时访问。
分享公开和默认透明度
我们承认我们不是一切的专家和输入Grafanistas最好的办法是实现安全的平衡,速度,和创新。
我们将承诺诚实、开放、务实的讨论任何Grafanista可以发表评论,批评或建议解决问题我们面临或行动。bob彩票中奖计划每当我们开始一个新的项目或计划做出重大改变,我们将提供一个机会,鼓励开放的讨论我们的计划。
我们将定期发布和更新的列表项目我们正在他们的目标和意图是什么,什么是我们的进步。我们邀请不断根据这个列表和开放的反馈。
我们创建一个新的安全控制或定义的“足够好”,我们将尝试听听定义在固定力量(我设定的界限。e规定,合规、顾客期望和合同承诺)和自己的理解景观(循证)的威胁。讨论后,我们承诺不同意和承诺,只要你做的。
尽可能我们将使我们的配置文件,可用元数据或生成数据只读工程师和其他相关的角色。我们相信,通过模糊的安全不安全,工程师可以更快地解决问题,如果他们可以看到底层结构。我们相信安全数据生成将是有用的其他团队,尽可能将努力使这个可用性和可组合性和适当的。
准确的数据,可操作的见解
内,我们将致力于提供的功能是什么状态的艺术,最高的质量和最相关的数据可能用户每当我们安全控制数据驱动的方法。我们将提供这些数据,工程师在一个清晰的和可组合格式。我们创建的见解,风险,从这个数据或建议,我们将让他们可行的和有意义的。我们将拥有和保持一个有状态的视图Grafana这样的安全问题和漏洞,一个工程师提供反馈,反馈是保留和采取行动。(即。,我们应该只需要一个漏洞标记为“假阳性”定义一段时间后,不管有多少不同的工具识别漏洞,等等)。
美丽的经历
Grafana的成功部分是由于这样的事实:我们的产品是如此简单和可爱的使用。bob手机app官网他们引发喜悦。我们最终想要的过程、关系和工具安全团队支持和创造来做同样的事情。我们将保持我们的流程、护栏和工具轻,性能,和有意义的。尽可能我们将投资并适当地优先考虑和处理内部客户和产品和用户体验团队以确保更改我们促进Grafana至少是无形的,如果不是积极愉快的最终用户。
下Dogfood和开源
我们相信,最终安全是另一个可观测性问题。我们将尝试解决所有安全问题通过一个可观测性镜头,通常采取复杂的异构数据集和代表优雅,可组合方法来帮助业主同意和管理风险与安全SLOs。我们将下dogfood无情地做到这一点。
开源软件是现代大规模安全的核心。我们将消耗和贡献开源项目,以及理想Grafana伞下创造自己的新项目。有效,我们将利用开源或企业版本的开源工具。我们将发布我们的胶水代码集成,警报和mixin允许用户和客户利用我们成功如果他们感兴趣。
运营效益驱动合规
除非一个给定的遵从性驱动的控制带来了精神错乱的收入(这本身将帮助实现我们的价值声明)我们将关注安全措施和方法大幅提高运营效率和产品真正的安全,组织。bob手机app官网这反过来会做大部分工作使我们顺从的姿势。在合规控制存在的原因,我们将努力降低运营成本的控制之外的安全接近于零。合规作为一种机制来验证我们的存在控制实现和表达这些准确的客户,这是至关重要的,但将被视为一个用户需要在多。
安全是一个产品的功能
安全不应该是一个企业的解决方案;我们是一个大帐篷哲学。同时我们要挑出最好的品种似乎使孤立和market-grabbing平台的供应商,我们将建立在这些对自己和各种规模的用户。当我们成熟的我们将其产品安全改进和功能开发的方法,把所有安全需求(客户、内部用户、最先进的风险容忍度,合规、和监管)作为用户需求。
最小可行的安全控制(MVSC)
我们将讨论并达成一致的一组风险偏好和相关目标。合成Grafanistas的需求后,客户,我们威胁景观、商业野心,和遵从性法规,我们致力于实现所需的最小可行的安全控制来实现我们的目标。当我们成熟,我们将寻求利用零信任模型只适用于严格的(和有时不可避免地限制)的限制,他们特别需要。
的上下文中不同意和承诺,“我们将继续开放合作的挑战和讨论什么是“最小可行的”对于任何给定的情况下,环境,行动,或上下文。
我们不希望维持或支持一个安全控制,它不提供有效的安全成果或使收入。安全控制是剧院没有理由或者只会带来噪音,我们将改善这种控制或删除它。
结论
这是雄心勃勃的,但它是一个蒸馏的总结我的经验和个人偏见。我认为这是令人兴奋的,我们可以现实在Grafana实验室。bob电竞频道
我提到过,安全团队招聘吗?:-)
*警告- - - - - -我只在这里六周,但我不认为这是一个蜜月效果。我很确定这是难以置信的。
* *任何面试候选人的主要的事情我问是否他们已经取得了很多相关的错误之前和他们是否会继续在有意识地避免过去的。
* * *Privilege-aware声明——我们是现金充裕的和快速增长的scaleout没有包袱。我们有一个高比例的技术技能和工程security-literate和security-engaged精明的人。我们已经实施的值自组织、自主和分布式所有权。我不知道每个人都有这种运气。
* * * *意味着爱。我们是超级粉丝GitLab的方法。我婴儿床/偷无情地从他们的手册。