How to 10X Your Security (without the Series D)

Мы регулярно обращаем внимание на работы и выступления экспертов, за которыми следим, и на этот раз хотим выделить Рами МакКарти, имя которого слышно на конференциях по облачной безопасности. Недавно он опубликовал материалы своего доклада под названием "How to 10X Your Cloud Security (Without the Series D)”, за интригующим заголовком которого скрывается гораздо больше, чем облака. Ключевые тезисы доклада ниже. Запись доступна по ссылке
 
Основные "философские идеи" для компаний, стремящихся к быстрому масштабированию:
 

- Занимайтесь тем, что нельзя автоматизировать, и автоматизируйте всё возможное, чтобы эффективно масштабироваться. Не нужно автоматизировать то, что можно сделать быстрее руками. Автоматизируйте те процессы, которые очевидно подвергнуться масштабированию (например, предоставление доступов).
- Масштабируйтесь только тогда, когда отработали процессы на небольшом объёме, чтобы избежать излишней нагрузки на дашборды.
- Делайте выбор в пользу guardrails, а не gatekeepers. Про эту тему мы не так давно делали отдельный пост.
- Интегрируйте безопасность в процессы разработки с самого начала, рассматривая её как партнёра, а не как отдельную структуру. Избегайте ситуации, когда безопасность становится лишь консультантом команд, так как эта модель не масштабируется. Стремитесь к shared responsibility, делая безопасность общей задачей. А ещё это единственный стратегический вариант закрыть дефицит кадров и демографический спад, если вы не ооочень большая и интересная для ширнармас компания.
- Сведите к минимуму количество инициатив по внедрению новых решений в области безопасности, не стремитесь интегрировать всё увиденное на конференциях. Лучшее враг хорошего + keep it simple никто не отменял.
- Не бойтесь использовать пробные версии и демо-версии решений от поставщиков для получения полезных инсайтов без значительных затрат. Это не исключает дальнейшее добавление вендора в шорт-лист, но позволит вам изучить новые подходы и инновации на практике.

- Security Program
- Invariants
- Vulnerability & Asset Management
- Identity & Access Management 
- Detection (Engineering)
- Deployment

- В первые 30 дней сосредоточьтесь на оценках, выстраивании отношений с коллегами и установлении baselines.
- В течение следующих 60 дней реализуйте одно заметное улучшение, которое продемонстрирует результат.
- В течение следующих 90 дней начните планировать масштабирование, создавая повторяющиеся процессы и стратегию для дальнейшего укрепления безопасности.

Security Wine (бывший - DevSecOps Wine)

How to 10X Your Security (without the Series D)

Мы регулярно обращаем внимание на работы и выступления экспертов, за которыми следим, и на этот раз хотим выделить Рами МакКарти, имя которого слышно на конференциях по облачной безопасности. Недавно он опубликовал материалы своего доклада под названием "How to 10X Your Cloud Security (Without the Series D)”, за интригующим заголовком которого скрывается гораздо больше, чем облака. Ключевые тезисы доклада ниже. Запись доступна по ссылке
 
Основные "философские идеи" для компаний, стремящихся к быстрому масштабированию:
 

- Занимайтесь тем, что нельзя автоматизировать, и автоматизируйте всё возможное, чтобы эффективно масштабироваться. Не нужно автоматизировать то, что можно сделать быстрее руками. Автоматизируйте те процессы, которые очевидно подвергнуться масштабированию (например, предоставление доступов).
- Масштабируйтесь только тогда, когда отработали процессы на небольшом объёме, чтобы избежать излишней нагрузки на дашборды.
- Делайте выбор в пользу guardrails, а не gatekeepers. Про эту тему мы не так давно делали отдельный пост.
- Интегрируйте безопасность в процессы разработки с самого начала, рассматривая её как партнёра, а не как отдельную структуру. Избегайте ситуации, когда безопасность становится лишь консультантом команд, так как эта модель не масштабируется. Стремитесь к shared responsibility, делая безопасность общей задачей. А ещё это единственный стратегический вариант закрыть дефицит кадров и демографический спад, если вы не ооочень большая и интересная для ширнармас компания.
- Сведите к минимуму количество инициатив по внедрению новых решений в области безопасности, не стремитесь интегрировать всё увиденное на конференциях. Лучшее враг хорошего + keep it simple никто не отменял.
- Не бойтесь использовать пробные версии и демо-версии решений от поставщиков для получения полезных инсайтов без значительных затрат. Это не исключает дальнейшее добавление вендора в шорт-лист, но позволит вам изучить новые подходы и инновации на практике.

 
Рами выделяет ключевые категории безопасности, которые способствуют масштабированию компании:
 

- Security Program
- Invariants
- Vulnerability & Asset Management
- Identity & Access Management 
- Detection (Engineering)
- Deployment

 
В заключении представлен план действий на первые 30-60-90 дней:

- В первые 30 дней сосредоточьтесь на оценках, выстраивании отношений с коллегами и установлении baselines.
- В течение следующих 60 дней реализуйте одно заметное улучшение, которое продемонстрирует результат.
- В течение следующих 90 дней начните планировать масштабирование, создавая повторяющиеся процессы и стратегию для дальнейшего укрепления безопасности.

 
Стоит отметить, что доклад создан на основе работы "How to 10X Your Security (Without the Series D)" (https://youtu.be/tWA_EBNsQH8?si=KYsJs41Wk7DaLFmP) Клинта Файбера, материалы которого уже не раз упоминались в нашем канале.

Вроде бы все банально. Но как часто эти идеи реализуются на практике? И что мешает их воплощению в жизнь?

#cloud #experience #management

Speaker Deck

How to 10X Your Cloud Security (Without the Series D)

I’ll summarize and distill the actionable guidance for scaling Cloud Security programs from the vast array of talks and blog posts our there. We'll blaz…

👍8❤2

hottg.com/sec_devops/632

4.61K viewsRustam Guseynov, edited  Sep 26, 2024 at 06:06