Всем привет!
И еще один потрясный доклад с сессии AppSec California, 2019! На этот раз от RIOT Games (тех самых, что придумали League of Legendsи убили DotA)!
Автор рассказывает, как они определяли приоритеты развития в достаточно сложных условиях: большое количество команд (порядка 80), территориальная распределенность, крайне сильная независимость и автономность команд, а также невозможность использования подхода «top down» применительно к Security.
Началось все с того, что ребята решили некоторое время наблюдать за работой команд. На основании этих наблюдений удалось определить собственную модель зрелости, которая состоит из 4-ух уровней:
🍭 Level 1: «Absence» – ИБ отсутствует
🍭 Level 2: «Reactive» – ИБ «держится» на 1-ом человеке
🍭 Level 3: «Proactive» – ИБ – это уже практически постоянная практика
🍭 Level 4: «Proactive mindset» – ИБ это часть приложения, однако, практики этих команд не получится «перенести» на уровни ниже, т.к. Security является частью их жизни и она "естественна" для них
После анализа собранной информации (более 80 команд) был получен ожидаемый вывод – около 90% команд находятся на уровне 1 и 2.
Что RIOT сделали потом? Потом они взяли данные по Bug Bounty, BB (данные по количеству, выплатам, времени на устранение и т.д.) и провели корреляцию с уровнями команд! Получилась следующая картина:
🍭 Level 1 – BB avg pay: $ 1x; BB avg time to fix high risk: 1x
🍭 Level 2 – BB avg pay: $ 0,8x; BB avg time to fix high risk: 0,65x
🍭 Level 3 – BB avg pay: $ 0,65x; BB avg time to fix high risk: 0,45x
🍭 Level 4 – BB avg pay: $ 0,55x; BB avg time to fix high risk: 0,3x
Кроме Bug Bounty RIOT проанализировали количество запросов на Security Review, с которыми к ним приходили команды. И опять весьма предсказуемый результат: Level 1 практически не обращался за помощью, а Level 4 – разработчики сами проводили Security Code Review и обращались к Sec, как к еще одной «паре глаз» для формирования более точного результата.
Что тут интересного – спросите вы? Нам понравилось, что такой подход показал количественное подтверждение тезисам, что а) безопасность – это важно, б) безопасность может позволять экономить и в) можно реализовать безопасность даже в условиях agile и распределенности.
А что же сделали RIOT с этим знанием? Они определили стратегию – переход с уровня 3 на уровень 4 достаточно сложен (effort + cost / value), поэтому они пришли к выводу, что необходимо «подтянуть» команды Level 1 и 2 до Level 3. Как именно они решили это сделать – смотрите видео, time code ~ 22 минута ☺️
На наш взгляд это крайне интересный и познавательный доклад, поэтому рекомендуем Вам с ним ознакомиться ☺️ Надеемся, что вам он понравится также как и нам!
И еще один потрясный доклад с сессии AppSec California, 2019! На этот раз от RIOT Games (тех самых, что придумали League of Legends
Автор рассказывает, как они определяли приоритеты развития в достаточно сложных условиях: большое количество команд (порядка 80), территориальная распределенность, крайне сильная независимость и автономность команд, а также невозможность использования подхода «top down» применительно к Security.
Началось все с того, что ребята решили некоторое время наблюдать за работой команд. На основании этих наблюдений удалось определить собственную модель зрелости, которая состоит из 4-ух уровней:
🍭 Level 1: «Absence» – ИБ отсутствует
🍭 Level 2: «Reactive» – ИБ «держится» на 1-ом человеке
🍭 Level 3: «Proactive» – ИБ – это уже практически постоянная практика
🍭 Level 4: «Proactive mindset» – ИБ это часть приложения, однако, практики этих команд не получится «перенести» на уровни ниже, т.к. Security является частью их жизни и она "естественна" для них
После анализа собранной информации (более 80 команд) был получен ожидаемый вывод – около 90% команд находятся на уровне 1 и 2.
Что RIOT сделали потом? Потом они взяли данные по Bug Bounty, BB (данные по количеству, выплатам, времени на устранение и т.д.) и провели корреляцию с уровнями команд! Получилась следующая картина:
🍭 Level 1 – BB avg pay: $ 1x; BB avg time to fix high risk: 1x
🍭 Level 2 – BB avg pay: $ 0,8x; BB avg time to fix high risk: 0,65x
🍭 Level 3 – BB avg pay: $ 0,65x; BB avg time to fix high risk: 0,45x
🍭 Level 4 – BB avg pay: $ 0,55x; BB avg time to fix high risk: 0,3x
Кроме Bug Bounty RIOT проанализировали количество запросов на Security Review, с которыми к ним приходили команды. И опять весьма предсказуемый результат: Level 1 практически не обращался за помощью, а Level 4 – разработчики сами проводили Security Code Review и обращались к Sec, как к еще одной «паре глаз» для формирования более точного результата.
Что тут интересного – спросите вы? Нам понравилось, что такой подход показал количественное подтверждение тезисам, что а) безопасность – это важно, б) безопасность может позволять экономить и в) можно реализовать безопасность даже в условиях agile и распределенности.
А что же сделали RIOT с этим знанием? Они определили стратегию – переход с уровня 3 на уровень 4 достаточно сложен (effort + cost / value), поэтому они пришли к выводу, что необходимо «подтянуть» команды Level 1 и 2 до Level 3. Как именно они решили это сделать – смотрите видео, time code ~ 22 минута ☺️
На наш взгляд это крайне интересный и познавательный доклад, поэтому рекомендуем Вам с ним ознакомиться ☺️ Надеемся, что вам он понравится также как и нам!