因为你暴躁的安全问题，你的日子屈指可数了。在黑帽演讲中，摇滚音乐会的灯光和音响效果预示着安全工程师来自拉斯维加斯广场，并告诉我们文化是组织中自动化和安全的关键杠杆。“如果加强安全是每个人的工作，你将走向更有生产力的文化”，在这种文化中，风险是共享的，合作是有价值的，使者不会被视为射击。

是造福于人。

当世界正在经历网络安全技能的巨大短缺时，这意味着瓶颈信息安全团队的结束，他们在整个组织中的膝盖反映和穿“不”的尖叫声就像黑板上的钉子。“我们不再是局外人，”他说。“我们现在在社区和组织内部，我们需要考虑如何最好地利用这个机会来提高安全性。”

不是“不”，而是以“是”开头。

找到让安全人员承担责任的方法，并确保失败被视为一种学习体验，而不是一种指责游戏，这是在整个组织中扩展安全性的最佳方式。

“我们需要以‘是’开始参与世界，”他补充道。“它让谈话继续下去。这是合作和建设性的。它说，‘我想解决你的问题，让它变得安全’，并带来真正的变化和真正的影响。

“不要说‘不’，而要从‘是’开始。”

发展合作是未来成功的关键。

说“是”意味着对DevSecOps说“是”。软件正在吞噬世界和安全。戴认为，在文化和技术层面将安全融入DevOps非常重要。防守者人数超过人数，需要用软件来扩充防守能力。“当对手的资源和人员比你多的时候，软件自动化可以成为一个力量倍增器。”

在Square，安全工程师必须像其他人一样编写代码，他告诉黑帽人群。“因为安全团队编写的代码与公司其他部门的代码相同，所以有更多的合作和共情。”

他说，成功的发展合作文化中一个经常被忽视的组成部分不仅应该建立可靠性，而且应该建立可观察性。如果没有严格的反馈回路来衡量自动化的成功，事情就会发生得很快。他认为，只关注可靠性就像“建了一个银行金库，然后在停车场放弃了它”。

信息安全团队不能保证他们看不到的东西。是的，确保受挫的DevOps工程师不会决定在随机云实例上使用公司数据，并确保在DevOps流程的每一步都建立了安全性，并且不会在之后被束缚。

企业安全就像跳伞。

跳伞员戴头作伟说，跳伞员会跳伞，企业安全专业人员可以从50年来降落伞的增量安全改进中学到很多。他举了比尔布斯的例子，比尔布斯是跳伞安全的传奇先驱，也是“疯狂的科学家”，他发明了许多安全功能，今天在世界各地使用。

他指出，没有人监督这些变化。当Booth问“怎样才能更安全地从飞机上跳下来？”没有谦虚的安全专家说：“你考虑过吗？”

当然，这个比喻远非完美；和安全不一样。一般来说，敌对的跳伞者不会试图在半空中撕毁你的降落伞。然而，这个比喻值得深思。企业如何才能让乍一看似乎不安全的活动——跳出飞机——但进一步思考可能没有看起来那么危险？人类往往高估了恐怖主义或零日的风险，低估了花园品种的风险，如心脏病或文件填充攻击。

安全团队的存在是为了实现业务，而不是相反。第一项工作应该是仔细考虑所涉风险的真实性质以及如何降低这些风险。

缺乏同理心和编码技能。

如果戴佐为是正确的，正如我们所怀疑的那样，这意味着未来的网络安全专业人员需要更好的编码技能，更关键的是，需要更多的软技能。在安全战壕里，同情、沟通和理解一直供不应求，很明显，这种传统文化现在已经适应了“保护一切”的使命。

使用软件自动化安全功能非常简单。创造地震文化变革，安全是每个人的责任，安全团队比过去更善良、更温和、更理解？有点棘手。

版权说明： 本文版权归原作者所有，转载文章仅为传播更多信息之目的，如作者信息标记有误，请第一时间联系我们修改或删除，多谢。

标签：