这篇文章的一个版本出现在 TFIR.
他们说变化是生活中唯一不变的东西,但2020年确实给全世界的许多人带来了考验。全球性的COVID-19大流行病迫使我们思考--在深层次上--我们如何联系。自我隔离、社交疏远--这些是我们在物理世界中做出的一些适应,尽管我们中的许多人花了这么多时间在网上,但当涉及到沟通和(如果可能的话)工作时,没有任何其他选择,这是一个相当不同的场景。这既是一个悲剧,也是一个觉醒。
像许多科技公司一样,灵活的工作方式对我们来说并不新鲜,在家工作是工作的好处之一。甚至在2009年的 "早期",我就在比利时为硅谷的公司进行远程工作。那时的技术还不太先进,但仍然是可以做到的。然而,即使对现在的我们来说,在进一步通知之前,让每个团队成员都在家工作也是一种调整。我已经看到许多公司也做出了这样的决定,包括许多在管理远程劳动力方面不像其他公司那样准备充分的公司。
无论这种不适是来自于一种新的工作方式的未知性,还是有点不信任,又或者是不 "相信 "远程工作,我发现那些对远程工作有抵触情绪的公司往往在吸引顶尖人才、保持全球影响力方面落伍,坦率地说,与时俱进。目前的危机让许多人别无选择,只能点燃远程工作队伍,因为另一种选择是在混乱的经济环境中完全关闭业务。
如果我们能从这场悲剧中得到一个积极的启示,那就是人们将看到数字劳动力的好处,以及一个团队在不在一起的情况下可以通过无数种方式进行联系。而网络安全行业是一个能够真正从无处不在、永远在线的工作方式中蓬勃发展的行业。
攻击者并没有进入封锁状态--他们非常活跃,利用这场危机,利用全世界的恐慌和不确定性,对医疗设施进行网络攻击。在这样的情况下,看到网络攻击的激增并不牵强,尤其是勒索软件。毕竟,在不稳定的经济时期,这是一种偷窃行为,以求得生存。这并不意味着它没有问题,事实是,我们仍然可以在任何有互联网连接的地方工作、训练和对抗网络攻击。
未来是灵活的,这就是我们--以及整个网络安全行业--如何让它在现在和未来发挥作用。
随处可得的产品具有普遍性和价值
在任何形式的强制隔离情况出现之前,全球团队仍然必须找到一种在需要时进行协作的方法。负担得起的电话会议与滚石乐队在同一年首次亮相(1964年,也就是--毫无疑问,那些早期采用者也有同样的问题,"你在吗?"不,你先走吧 "的问题,尽管我们可以通过视频看到对方)。)
2020年,数字通信技术在价值几万亿美元的信息和通信技术行业中占有巨大的比重,云原生、移动和社交平台主导并取代了传统的技术。像Slack、Zoom和Discord这样的创新使我们比以往任何时候都更有联系,特别是在工作中。而沟通只是故事的一个方面。
只要有互联网连接,在任何地方都可以按需获得数字服务,满足基本需求--无论是连接、娱乐、生产力--都是我们灵活的未来的一部分。作为客户本身,我们寻求超级个性化,作为企业,我们寻求提供个人的数字体验,无论从哪里访问,都具有相同的质量,毫不妥协。
在每个行业,每天都有基于网络的应用程序被创建,以简化流程,彻底改变我们现有的生活和工作方式,并解决我们可能没有意识到的问题。我们还远远没有达到网络安全工具和培训的顶峰,这些工具和培训可以按需访问,对用户有吸引力和有用,对企业有实际好处。
开发人员欣赏他们日常工作的灵活性,而我们专注于实用、有趣的安全编码培训,以及工作流程的整合,是以这些终端用户为中心设计的。工具应该是即拿即用的,以便毫不费力,有价值的培训不会被视为苦差事。在网络安全行业如此广阔的竞争环境下,在多个攻防领域进行创新的时机已经成熟,即使每个人都在家里,像DevSecOps这样的安全第一的方法论仍然可以蓬勃发展。这是关于协作,以及为团队的每个成员提供一套经过深思熟虑的工具,以有效地完成他们的工作,无论他们的物理位置如何。
在你最需要的时候进行训练(或当你想改变你的一天时)。
弹性工作的一个好处是,在你在家履行职责的日子里,你的办公室通勤时间被抹去了。对一些人来说,这可能是赢回了大约两个小时的高质量、专注的时间。在一个理想的世界里,所有的员工在正常的工作时间内都有时间学习和发展他们的技能,而这在正确的远程环境中可以更容易驾驭。这对你的远程超级明星是有益的,他们可以通过进一步的学习感到挑战和支持。
由于网络安全形势瞬息万变,频繁的培训是必须的,以跟上可能影响组织的潜在威胁。而根据企业需求定制的全面、可衡量的培训是朝着正确方向迈出的一大步。这些是设计Secure Code Warrior 平台的一些核心因素;我们希望培训可以在任何地方,在你需要的时候,以用户选择的开发语言和框架进行访问。
开发人员与安全的关系很紧张,在很多方面,他们没有得到足够具体的照顾,无法正确地参与安全最佳实践。按需提供的游戏化培训可以帮助他们赢得胜利,无论他们身在何处;这对于确保离岸团队和供应商表现出足够的安全意识也是必不可少的,特别是在参与组织软件的任何类型的修补时。
当涉及到留住你的最佳和最忠诚的人才时,让你的同僚参与并通过培训提高技能,这将有助于组织(更不用说他们自己的职业生涯),是一种非常有效的胶水......在我们面临持续的网络安全技能短缺时,这是一个绝对必要的。
远程工作团队可以被赋予权力,提高生产力和安全性
这是一个相当老派的立场,即为了提高生产力,你必须从九点到五点都在办公室。然而,如此多的公司(甚至一些新的、令人兴奋的公司)仍然以这种观念在运作。在他们自己的劳动力中存在着一种深深的不信任感,好像仅仅是在家工作的建议就会让他们想象他们的团队穿着内衣玩游戏,而不是做他们的工作。
要么就是他们根本没有采取可行的远程工作。
自然,团队成员确实需要通过展示产出来证明他们能够在家里保持生产力,然而,你需要给你的同僚以最好的机会,让他们在远离办公室的地方取得成功。问问你自己。
- 他们有足够的硬件吗?
- 你是否真正实施了我们之前谈到的那些很棒的沟通工具?
- 你是否已经确保每一位经理都与他们的团队进行签到并以数字方式存在,并定期举行站立会议?
- 你是否想过用生产力工具来跟踪项目,并帮助给团队中的每个成员指明方向、设定目标并在他们完成任务时获得成就感?
在目前的环境下,许多企业面临着一个决定,是进行远程操作还是完全关闭。一些选择转向远程劳动力的企业可能没有做好所有的准备,有可能会有一些问题需要解决......但房间里的大象是,这些企业很可能也将自己暴露在一些安全风险中。
避免远程工作环境中的安全失误
有几个威胁载体需要考虑,因为员工很可能在自己的网络上,而且可能使用一系列设备访问公司账户,每个设备都有自己的安全需求,可能是也可能是没有的。
在远程工作的情况下,每个人往往会收到更多的电子邮件,此外还必须对各种登录、系统和设置进行整理。社会设计的攻击和恶意软件很容易从内部安全范围之外的一堆设备中漏网。这并不是放弃远程工作的理由,这是一个从实践中学习的黄金机会,并使其在未来尽可能的强大。而在以安全为重点的组织中,当涉及到每个人的安全最佳实践时,这是一个审计流程和 "吃自己的狗粮 "的好机会。
说到失误,评估你的远程工作空间是否有任何潜在的威胁也很重要......主要是对你的自尊心,比如这对可怜的夫妇。这个故事的寓意是:如果你在进行视频通话,确保每个人都穿着裤子。
网络攻击不会因为我们处于危机之中而停止
看到COVID-19在世界各地的影响令人深感不安,现在比以往任何时候都更应该团结起来,在这场全球健康危机中考虑其他人。问题是,攻击者正在积极利用这种普遍的恐惧和混乱,也许是出于将食物放在桌上的绝望。在这个时候,我们作为一个社会是非常脆弱的。
医疗机构,包括一个疫苗测试中心,已经受到勒索软件和DDoS攻击,更不用说那些试图利用分心和过度工作的金融和政府组织,对他们发起网络钓鱼和恶意软件活动。另一个迫在眉睫的威胁围绕着疫苗本身;据报道,特朗普政府曾向一家德国公司提供大笔资金,用于开发供美国专用的COVID-19疫苗。疫苗数据可能是目前地球上最有价值的信息,这对攻击者来说将是一个非常有吸引力的赏金。
这是一个非常及时的提醒,当我们自我隔离物理病毒的真实威胁时,我们的数字心跳也在受到攻击。安全意识在每个组织中都是最重要的,应该在每个层面上提供充分的培训--甚至像强制使用密码管理工具和学习如何发现钓鱼邮件这样的措施也是有帮助的。
而当涉及到开发人员时,他们是保护企业内部积极产生的代码的第一道防线,他们可以成为你的AppSec团队的宝贵资产,通过关闭常见漏洞所产生的后门来避免网络攻击带来的进一步痛苦。
具有数字创新能力的公司可以经受更大的风暴
大规模封锁的一个极其不幸的副产品是经济衰退,迫使许多人在受影响最严重的部门失去了工作。这一切来得相当突然,而且是我们许多人在有生之年可能没有经历过的一种经历。
虽然不是每一个数字原生企业都是经济衰退的自动克星(远非如此),但就其性质而言,从事数字业务的公司在即使是最左翼的情况出现时,也会更加灵活、适应和可持续。
我们的公司可以通过远程劳动力有效地运行,这对我们宝贵的团队和他们支持的客户也是一个额外的保护层。我们认为可行的安全代码培训是现代企业的重要组成部分,如果我们被选中,我们可以根据需要提供和转移。许多公司由于其销售的产品或服务的性质,没有同样的奢侈,但对他们来说,调查流程在哪里可以被数字化,面向未来,甚至在最传统的空间中尽可能地按需使用,可能是一个积极的惊喜。
寻找新的连接方式是一种积极的挑战,而不是一种阻碍
这有点戏剧性,但我想起了《侏罗纪公园》中的一句名言,伊恩-马尔科姆博士说,"生活会有办法"。它确实如此,这在我们公司范围内转向远程工作时非常明显。以前没有太多的互动的团队,在进进出出的饮水机聊天中发现了共同的兴趣,在线办公游戏,以及一个共同的全球办公室Spotify播放列表。总有一种方法可以建立一种有意义的关系,我的建议是让团队探索并有机地成长。
对于我们的客户来说,看到他们致力于磨练开发人员的安全编码技能,已经超越了任何远程工作的障碍,这已经很了不起了。他们一直在利用我们的tournaments 功能,虽然这些通常是亲自操作,有点大张旗鼓,但他们的虚拟版本一直在推动健康的参与,友好的竞争,以及从通常以单独的方式完成的日常活动中分散注意力的优秀(生产)。就像电子游戏现在是一个比以前更多的社会活动一样,这种类型的在职培训不仅推动了与课程材料的联系,也推动了彼此之间的联系。而且,任何人都可以在任何地方参加这种培训。作为一个安全怪胎,我肯定是有偏见的,但是,这是一个很好的时机,可以帮助培养开发人员对安全编码的热爱。他们都是等待中的安全超级英雄,现在是时候以最有趣的方式加强你的前线了。