SECURITY CHAMPIONS ONBOARDING
Security of Avito as a habit
Сообщество энтузиастов информационной безопасности в Авито
Сообщество энтузиастов информационной безопасности в Авито
Какие задачи решает SecChamp
ОБЩИЙ ПОДХОД
SC ONBOARDING
Улучшает безопасность процессов своей команды совместно с Security юнитом
Кто такой
Security Champion
Security Champion
Человек, который знает и понимает свой
продукт и юнит
продукт и юнит
Человек, который интересуется ИБ и разделяет её важность
.01
Развивает культуру ИБ в команде и, таким образом, во всем Авито
.02
.01
.02
Моделирование угроз
Планирование
Разработка
Ревью критичных изменений
Прод
СХЕМА ПРОЦЕССОВ БЕЗОПАСНОСТИ В АВИТО
SC ONBOARDING
Security involvement
Сканирование кода
на каждом коммите
на каждом коммите
Пентесты
Web Application Firewall
Внешнее сканирование
Совместное ревью рисков безопасности команды
Тестирование
В зоне Security Champion
В зоне юнита Security
Есть материалы,
которые научат
ОПЫТ И ЗНАНИЯ В ИБ ДЛЯ СТАРТА НЕ ОБЯЗАТЕЛЬНЫ
SC ONBOARDING
Есть сообщество,
которое поможет
Есть процессы,
которые помогут
Есть юнит Security,
который подскажет
0100101000100010101000111100010101001011010101010110010010101100101010101010101001010101010010010100101010100101010100100010101000010010101010010101010101
00101010101010100101010011001010101001111000100001100110010100101010101001001001010101010100001111110101010101010010101001011010100100010101001010100101010
10010010000011011101010001010101010010100100011010101001010001000100101010101010101010101010101001010101010101010100101001010101010010101001010101001010101010
00101010101010100101010011001010101001111000100001100110010100101010101001001001010101010100001111110101010101010010101001011010100100010101001010100101010
10010010000011011101010001010101010010100100011010101001010001000100101010101010101010101010101001010101010101010100101001010101010010101001010101001010101010
ПРОЦЕССЫ SecChamp
SC ONBOARDING
Запрос консультации
у юнита Security
у юнита Security
Консультация юнита Security
по вопросам о продукте
по вопросам о продукте
Помощь в реагировании на инциденты
Участие в активностях сообщества
Internal
External
Мы предлагаем
easy-to-follow процессы:
easy-to-follow процессы:
Команда может забывать про уязвимости, держи руку на пульсе
Например добавить в DoR-чеклисты вопросы по безопасности
На общих встречах рассказываем интересные кейсы, можно шарить знания коллегам
Поддержка ИБ
процессов в команде
процессов в команде
Помощь с приоритизацией задач по ИБ
Выявление в продукте возможных мест для улучшений процессов
Консультация своих коллег по команде
По любому вопросу, в любое время и в любом виде
Мы сами можем приходить
с вопросами
с вопросами
При подозрении на инцидент можем попросить расследовать причину
Митапы, Avito Seсurity Day, CTF
SECURITY CHAMPION
ПОДДЕРЖКА ИБ ПРОЦЕССОВ В КОМАНДЕ
SC ONBOARDING
Обсуждать с командой вопрос
«Что может пойти не так?»
в продуктовых инкрементах.
«Что может пойти не так?»
в продуктовых инкрементах.
У команды есть этап обсуждения реализации задач (например, встреча по грумингу) - это лучший момент вместе поштормить, как фича может повлиять на безопасность
Обсуждение на (пре)груминге
.01
В помощь:
Как отвечать на вопрос «Что может пойти не так?»
.02
Перечисление возможных атак в отношении компонентов приложения (Frontend + Backend + Бизнес-логика).
Attack Library
Описывает 6 типов угроз, в отношении каждой из них необходимо понять используемые защитные меры.
STRIDE
В рамках обсуждения может выявиться необходимость защитить фичу от новых угроз, которые стали актуальными для новой функциональности
Фиксирование action items
.03
Доп. задачи/разработка с учетом выявленных рисков
.04
.01 THREAT MODELING
.02 SECURITY INVOLVEMENT
Не стесняйтесь
В случае изменения критичной функциональности рекомендуем привлекать юнит Security - мы посмотрим на задачу и при необходимости зададим вопросы про безопасность реализации или проконсультируем как сделать надежнее
Самый распространенный вариант – несколько минут
в неделю
в неделю
Involvement – после создания задач в Jira проставить
одно поле
одно поле
Задавать вопросы, когда кажется необходимым
КАКИЕ ТРУДОЗАТРАТЫ
SC ONBOARDING
Ревью изменений
критичных файлов
критичных файлов
Ходить на встречи, предлагать
идеи в сообществе
идеи в сообществе
Моделирование угроз –
просто вопрос на (пре)груминге, грамотно набросить, промодерировать ответы, учесть
просто вопрос на (пре)груминге, грамотно набросить, промодерировать ответы, учесть
ЧТО ЕЩЕ МОЖЕТ ДЕЛАТЬ SC
SC ONBOARDING
Пополнять общую
Базу знаний безопасности и Материалы по моделированию угроз
Базу знаний безопасности и Материалы по моделированию угроз
Улучшать процессы
в команде с точки зрения безопасности
в команде с точки зрения безопасности
.01
.02
.03
Искать уязвимости в продукте
СТУПЕНИ РАЗВИТИЯ В СООБЩЕСТВЕ
SC ONBOARDING
Личные хард скиллы по ИБ
Процессы в команде
Применение и продвижение скиллов в сообществе
SC только формально назначен
и онбординг (видео) пройден
и онбординг (видео) пройден
Рекрут
Адепт
Успешно пройден тест
по онбордингу
по онбордингу
Советник
Пройден Security Gym по выбранному профилю (Golang / PHP / Frontend / Python / etc)
Пройден курс-воркшоп по Threat Modeling
Страж
Пройдены курсы/воркшопы:
- Burp/Zap 101
- Web Pentest 101 part 1
- Cryptography 101
1. Оценка рисков юнита/команды находится в актуальном состоянии
2. Чемпион внедрил и/или поддерживает процессы Threat Modeling в своей команде (остаётся след в виде досок, доков)
2. Чемпион внедрил и/или поддерживает процессы Threat Modeling в своей команде (остаётся след в виде досок, доков)
Мастер
Пройден курс:
- Web Pentest 101 part 2
Обнаружил уязвимость в продуктах Авито
ИЛИ
Рассказал доклад на общей встрече SC
ИЛИ
Рассказал доклад на общей встрече SC
Личные хард скиллы по ИБ
Процессы в команде
Применение и паблисити скиллов в коммьюнити
Личные хард скиллы по ИБ
Процессы в команде
Применение и паблисити скиллов в коммьюнити
Личные хард скиллы по ИБ
Процессы в команде
Применение и паблисити скиллов в коммьюнити
Личные хард скиллы по ИБ
Процессы в команде
Применение и паблисити скиллов в коммьюнити
Личные хард скиллы по ИБ
Процессы в команде
Применение и паблисити скиллов в коммьюнити
За поддержку внутренних процессов ИБ в команде
Церемониймейстер
Архивист
За активность в коммьюнити
ОТДЕЛЬНЫЕ АЧИВКИ
SC ONBOARDING
За обнаружение уязвимостей в продукте
Меченосец
ВЗАИМОДЕЙСТВИЕ С TUL
SC ONBOARDING
По возможности держать в курсе активностей.
Рассказывать на 1-1 / Ретро / иной площадке.
Рассказывать на 1-1 / Ретро / иной площадке.
Если SecChamp-роль не очень интересна — честно говорите TUL'у.
СОЦИАЛЬНЫЕ МОМЕНТЫ
SC ONBOARDING
Кидай новости по ИБ и задавай любые вопросы в чате #security-champions
Пиши лучше в чат, а не в личку — соберёшь больше информации
Предлагай свои идеи в тредах про безопасность и подсказывай коллегам
.01
.02
.03
ЧТО ДАЛЬШЕ?
SC ONBOARDING
Изучи полезные ссылки и задавай вопросы по непонятным моментам
Участвуй во встречах
Обсуждай вопросы и поддерживай культуру ИБ в команде
.01
.02
.03