保证作为养育：现代软件播客

“这是一个战区。谈到IT安全时，我们正在争夺我们的生活，我们必须为我们的敌人带来尽可能的武器。“

如今，从安全专业人士那里听到这种说法已经很常见了。但是战争不是一个很简单的比喻吗?当然，当今的IT安全形势具有挑战性。但如果我们对坏人发动一场IT安全战争，我们就不会赢。

也许是时候了一个新的比喻。如果不是将我们的安全实践与罢工迫在眉睫的战斗进行比较，我们将安全视为养育人员 - 作为资源的东西，而不是障碍，因为该组织的整体成功是什么？

这是新的遗物现代软件播客的最新集的前提，拥有特殊的客人Esteban Gutierrez.，新遗物信息安全总监。Esteban在该领域拥有20多年的经验，他加入了我和我的共同主持人，新的遗物开发者福音师Tori Wieldt.，讨论其创新的信息安全方法。（Esteban指出，他的谈话从诺拉·萨姆拉兰的工作基础，关于养育文化。了解更多原始博客文章请关注她即将出版的新书。)

您可以在此处收听完整集，或通过订阅自动下载所有剧集新的遗物现代软件播客在iTunes上，或者无论您播放播客。在下面阅读我们对谈话的完整成绩单，以清楚地编辑：

新遗物是嵌入式播客中所附论坛的主机。但是，表达的内容和意见是参与者的内容和观点，不一定反映新遗物的观点。通过托管播客，新的遗物不一定采用，保证，批准或支持其中引用的信息，视图或产品。亚博最新版直播

Kevin Mitnick让我这样做！

弗雷德里克•保罗:Esteban，在我们深入了解有关养育的安全的想法之前，您能否在信息安全中告诉我们您的背景？你在新遗物中的角色是什么，你在加入我们之前做了什么？

Esteban Gutierrez：我是信息安全总监，我有两支在我的工作中工作：产品安全团队和基础设施和运营安全团队。

产品安全团队专注于我们产品安全的所有方面，包括向客户开发，部署和交付。基础设施和运营安全团队确实侧重于我们的其余环境：我们的所有IT环境，我们的企业环境，办公网络，客户端计算机，类似的笔记本电脑以及WhatNot - 以及基础设施的基础架构。

就像很多技术中的人一样，我在一个非常年轻的时候得到了一台电脑，然后用东西玩弄。我觉得这是一个Timex Sinclair 1000.然后我搬到了一个Commodore 64.。

前进到大学：我正在致力于语言学和心理学学位，我实际上使用了Web的开始，为大量的研究和与其他研究人员分享了我的数据。

就安全性而言，我猜你可以说我在1995年开始。我在加利福尼亚州南加州的ISP工作了一个名字之后下村谁来惊呼他抓住了凯文梅内克。这引起了我对这个领域的好奇，我从系统管理转到了安全领域。

弗雷德里克:所以，凯文米塔尼克负责你进入安全领域？棒极了。

Esteban：我没有告诉他。

“安全作为战争？”是什么问题

弗雷德里克:大多数人将信息安全视为战争 - 作为战斗。那有什么问题？我们不是想对抗坏人吗？

Esteban：我看到将信息安全视为战争的两个问题。一个是，我们在制定战争中使用的对手认为最终导致将每个人视为潜在的敌人。

其次，我们将其视为一种零和游戏，即我们可以通过完成某些任务或过程而获胜:只要我们能够修补所有的服务器，我们便能够做到这一点。只要我们堵住所有漏洞，就没事了。只要我们找到所有的安全漏洞并解决它们，我们就没事。然而，所有这些都剥夺了企业本身的生计和增长。

战争文化是秘密对手和紧迫性之一，对吗？需要对敌人进行紧急行动。When you’re focused on all those processes alone, then you’re really just working on the security controls, or the firewalls, or just building out more and more roadblocks to what people care about: doing the work, getting the business out the door, deploying applications, and getting services to customers.

tori：所以你告诉我我们不能赢？那是我听到的吗？

Esteban：我很欣赏你想赢的欲望，但我猜你也想有一个真正好的生意。你想在工作中获得乐趣。你想要像我们在New Relic所做的那样制作优秀的软件，你不需要为了做到这一点而获胜。你需要做的是确保你所做的为了制作优秀的软件所做的事情是受保护的，这样你就能真正确保你可以安全地生产产品，并将产品推出市场。

弗雷德里克:所以，获胜的想法并没有真正有意义。如果你赢得了infoSecurity战斗，但失去了成为成功公司和成功的软件的更大问题，那不是让你有什么？

完美的防火墙是一根钢丝钳，但是......

Esteban：这根本没有得到你的任何东西。完美的防火墙是刀具，对吗？但是如果您没有企业来保护安全性，则在做什么是什么？

弗雷德里克:我认为这是一个非常关键的问题。所以，你正试图采取不同的方法。您正在尝试让信息安全被视为启动器，而不是阻塞者。

Esteban：这是正确的。它主要以一种方式代表我的团队所代表的方式：关系管理是他们最重要的工作。如果我们没有与人们关心的东西，那么哪些团队关心或者企业关心的事情，那么我们真的不知道我们的目标是什么。我们真的不知道我们要保护什么。

弗雷德里克:为了形容，你已经提出了战争隐喻：安全成为养育。这来自哪里？

Esteban：就像我之前提到的那样，我有一个语言学背景。在远见之后，我在隐喻上做了一些工作以及隐喻思维影响你如何感知世界以及你过着你的生活的方式。我刚注意到，有如此多的Warlike思维专注于DMZS等事情，以及堡垒服务器，以及入侵监控，并杀死链条。

我们使用的很多流程工具都是非常战斗或战争的重点。这似乎只是这样没有让我们在任何地方。我仍然认为它不会让我们到任何地方。人们忽略了安全政策和指导，因为它经常妨碍他们想要做的事情。如果我们专注于阻止，拦截和否定行为，这对人们今天做的大部分工作至关重要，那么信息安全是一种障碍 - 不是资源。

我喜欢带来的是：人们试图完成的是什么？这是什么企业试图做什么？人们关心的是什么？现在，让我们弄清楚我们需要做些什么来保护这些东西。

作为养育的安全性在与业务联系并与人们联系起来需要很多工作。它真的是为了使用安全来保护业务的生产力和增长。这是为了让人们对他们做重要的事情来实现安全和安全。这是为了确保安全性与人们试图实现的价值联系。

信息安全中总有风险

tori：这听起来像是一个非常有趣的方法。但是，与看起来更普遍的方式相比，有风险吗？

Esteban：这种方法本身是不完整的。对我来说，它更多的是一种驱动其他过程、技术和改变的哲学。最终，我们仍然需要担心一个有决心的攻击者，或者某个对公司或业务有敌意的人。但就安全的日常事务而言，就我们与他人的日常工作而言，无论是在公司内部还是在我们自己的生活中，我们不需要把它当做一场战争。

弗雷德里克:这方面如何在现实世界中发挥作用？它如何改变安全团队的日常做法？

Esteban：就像我前面提到的那样，对关系的强烈关注：与工程团队联系和花费时间，与构成业务的人。我们必须了解他们正在努力做什么以及他们是如何做的，因此我们可以了解他们的故事和他们的日常生活。所以，它是关于连接和建立关系。

我们还必须专注于获取数据的可见性，并了解环境中发生的安全环境。我们需要了解每天发现的新安全漏洞或孔的影响，并了解这些配置如何导致稍后会出现问题。然后我们需要对我们拥有和传达相关问题的可见性来非常透明。

当我们理解有一个安全问题或带有软件或代码的错误时，我们喜欢与这些团队共度时光，以实际展示如何利用它。我们不想教他们它是如何运作的，而且还要对他们所做的其他事情的影响。

许多传统的安全团队倾向于对他们发现的漏洞保密。他们不想让人们知道，因为他们害怕人们会滥用它们。但是，我们的做法却发生了180度的逆转:我们实际上喜欢与人们分享信息，这样他们就能确切地知道事情是如何运作的。我们发现这是吸引人们关心安全的最好方式。

弗雷德里克:除了改变安全团队的规则之外，安全作为一种培养如何改变公司其他人的事情?在这种环境下，其他员工必须如何改变他们处理安全问题的方式?

Esteban：我们看到它对文化的影响的一种方式是，人们更认真地对待它。他们实际上对安全性很感兴趣，经常带着他们在自己的软件或其他软件中发现的bug或问题来找我们。可以公平地说，在工程组织中，我们有相当多的人在他们自己的权利方面是安全专家，但他们决定把主要精力放在编程上，我认为这很酷。

真正的安全就是关系

tori：所以，如果我是一个专业的安全人员，我听到这个，我会说，“是的，我受够了那种对抗模式。”你能推荐一些方法来帮助他们的组织过渡到一个更具培育性的方法吗?

Esteban：它真的是关于连接和关系。但是为了做点什么，你需要数据和可见性和透明度。您必须测量环境的不同方面，并获得大量的可视性来弄清楚与软件开发实践等事物发生的事情，分析工具的错误数以及发布漏洞的漏洞的影响。

我们花了很多时间构建了可见性，然后转化为仪表板或报告团队实际关心的可见性。我们希望向人们展示环境中发生的事情，我们认为透明度实际上有助于安全的最关键部分作为养育：持有人们负责任，特别是让人们持有他们自己责任。

在一天结束时，我认为人们实际上会关心安全性。他们想做什么是正确的。They just want to make sure that it is the right thing and not just for the business or for some security standard or best practice, but that it’s actually the right security thing for them, and they can’t do that without the information that we give them.

新的遗物如何支持安全性作为养育

弗雷德里克:我们还居住在一个安全作为养育的世界中是一种广泛的方法吗？你如何描述这种过渡的新遗物的位置？

Esteban：我相信我们在那里。在有很大的安全团队的地方，很多铭刻在有很大的安全团队，很多人和很多资金上专注于管理IT安全的人，那么很多思考。当我来到New Relic时，我接受了这份工作，因为我和Shaun Gordon，我们的VP和首席安全官员。他的焦点一直是透明度，我发现这又凝聚得很好，我的思想正在进行中。

目前，业界有很多相关的努力，这些努力都在推动安全程序的发展，这些安全程序关注于访问控制，关注于让人们根据他们想做的事情和对这些设备的信任来获取他们需要的数据或信息。例如，查看用户焦点模型，或者零信任网络， 或者谷歌的超越努力。

还有一些其他公司在类似的路径上。etsy是一个很大的人 - 我们看了很多的做法，他们有一些很好的工具，专注于类似的安全方法。

当我听了以后，我自己关于养育的想法真的凝固了Lew Cirne，我们的创始人和首席执行官，谈谈场外会议。他对新的遗物对知名度和数据的方法进行了讲话，以及确保我们可以在合适的时间向人们提供合适的信息，以提出有效的业务决策。

在我的脑海里，我看到这正是安全所需要的：我们实际上需要为人们提供合适的信息，以便他们可以做出关于安全的正确决定。

弗雷德里克:棒极了。你在谈论的是带来新的遗物哲学关于安全领域的重要性吗？

Esteban：这觉得真的太好了，但我认为它实际上很好地锻炼身体。

与DevSecOps的完美配合

tori：我对Devops特别感兴趣，我只是想听听你的救主和Securi泰。我们都谈到了剩下的转移安全性，我们采用了这句话DevSecOps反映这种转变。您如何看待在那里发生的事情以及如何与保管有关的是什么？

Esteban：我觉得这很棒。我认为Devsecops绝对符合养育哲学。特别是因为它专注于数据和透明度等事情，并且在真正连接到工程团队正在努力做什么。部署生命周期，编码，拉出请求 - 所有这些东西都是我们想要做的事情的成分。我们不得不理解人们如何工作，但他们是什么他们的工作上。

DevSecops的另一个方面涉及自动化和工具。和信息安全的养育文化方法实际上依赖于自动化依赖于自动化来构建可见性 - 将数据转化和转换为需要它的人员和可操作的信息。

tori：我喜欢这个，因为我认为我们都意识到在这一生意中，你不能做到这一切 - 无论它是什么，自动化所有的东西，或跟踪世界上的所有数据，或插入每个可能的安全孔。你必须做重要的东西，对吗？

Esteban：一旦您进入由数百或数千个容器组成的环境，这些传统的安全实践(即使只是简单的补丁)就不能很好地扩展，这些容器部署的时间很短，以解决服务激增的问题。

弗雷德里克:您是否对可能想要移动到更培育的模型并远离战争模型的公司有任何建议？

Esteban：一个例子是一个非常棒的GitHub回购听诊器。这是一个实际上让我们非常快速地评估笔记本电脑的安全状态的工具，我们可以转身并用于决定我们应该提供多少访问环境 - 我们是否应该让它vpn进入生产中网络或只是让它可以访问电子邮件。这是基于类似修补的东西，它运行多长时间，在那时有多少用户使用该系统，依此类推。

你如何衡量安全成功？

弗雷德里克:在向新的安全方法过渡的过程中，您如何判断成功?哪些关键绩效指标能够帮助您了解将安全视为培养的做法是否有效?

Esteban：这是一个非常好的问题，而且我一直在花很多时间思考最近，因为我们试图在那种方向发展我们的做法。我认为，其中一些KPIS将附加到用户或业务在部署的事物方面的故事附加，从门口获得门外，或者可能是诸如类似的乐队和速度最低可销售特征或冲刺工作。有需要我们作为信息安全团队，跟上这些事情，以便我们可以不断了解人们想要做的事情，并还会评估并给予他们所需的信息。

对于新的遗物，有一些KPI有关我们可以做多少评论，我们可以访问多少库存，而且我的意思是我的意思是数字资产，例如在那里的系统或容器或服务器的数量。一个大措施是我们在人们在做什么以及技术环境本身的情况下了解了多少能见度。

还有一些与安全本身相关的KPI。我们专注于的一个是平均检测时间（MTTD.）：我们如何迅速检测到环境中的问题，然后转身向可以采取行动的人提供那个智慧？它依赖于库存和可见性等事物，因为那么我们可以寻找环境中的偏差。Then we can turn around and give that to folks who can then say either, “Okay, I think this is a problem we need to work on,” or “Actually, no, that’s not a big issue to our environment, so we can take some more time on that.”

InfoSecurity是如何提升孩子

弗雷德里克:还有其他您想分享安全性的盗窃案吗？

Esteban：由于养育的安全对我来说很重要，因为有很多不同的原因。我有一个14岁的女儿，我越想提出她，我需要做些什么来保护和使她能够发展和发展，并成为一个成年人，越少就是采取传统男性化的方法 -坐在门廊上用霰弹枪吸引我。

一方面，这种方法似乎删除了她的很多代理商。（在那里有一个主题，使团队能够做到他们需要做的事情。）对我的女儿来说很重要，并了解她需要做的事情。我想帮助她培养那些做那些事情的技能和知识，但我想以安全的方式做到这一点 - 让她在她的生活中举行举动时思考风险。

如果您喜欢您所听到的，请务必订阅新的遗物现代软件播客iTunes.那SoundCloud.， 或者缝纫机。

注意：现代软件播客的介绍音乐是由此提供的audionautix.。