如果您正在使用我们的平台，那么您已经从高级产品安全计划、云安全专家和专门的检测和响应团队全天候监控中获益。Auth0是一个帮助应用程序构建者更快地进行创新的平台。这意味着降低在应用程序中构建身份的复杂性，帮助您尽可能快速、安全地移动。但是，身份并不简单；实现安全协议本身是复杂的，而且在web安全中存在固有的混乱。这就是为什么Auth0已经建立了一个世界级的安全计划，也使我们的客户更容易做到这一点。我想分享更多关于我们如何运行我们的计划，以及在幕后发生了什么来保护我们所有的客户。这是我去年在安全开发者播客上接受盖伊·波德贾尼的采访时开始谈论的，今年我将更多地讨论这个问题。"在建立安全团队方面，没有成功的蓝图，但在这篇文章中，@Auth0的安全+合规高级总监邓肯•戈弗雷（Duncan Godfrey）分享了我们在Auth0创建世界级安全计划以保护世界身份的步骤。"在推特上留言建立安全团队没有成功的蓝图。你会发现不同的公司结构和不同的结构的工程和运营团队。当你反复强调他们的技能和责任的构成时，团队会有机地成长，所有这些都与你的业务特定的风险联系在一起。在安全社区中，我们与行业内的同行协作并比较笔记，这就是我所看到的。领导者根据风险在不同领域进行了优化。我们安全小组的任务是什么？为什么安全小组存在？信任是我们成功的基础，安全团队的使命是与客户以及客户的客户和合作伙伴建立和维护信任。作为一个IDaaS平台，我们认识到我们的解决方案是建立信任的基础。我们不应该成为客户的威胁载体。这使得安全程序的执行变得复杂，但同时也吸引了那些想成为身份生态系统中心的公司一员的有才华的工程师。有着无数不同的优先事项，你怎么知道该把重点放在哪里？安全与其他任何成功的业务部门没有什么不同，你无情地优先考虑你的资源，以推动你的目标。治理、风险和法规遵从性一直是安全工程的一部分，有助于我们推动我们的重点和需求。这两个控制对我们的团队来说都不是审计的一部分。任何好的安全计划的基础都是风险管理。在我们的第一次ISO27001审核中，我们将其固化为一个过程，这是我喜欢的返工和改进。无论您选择何种方法（如NIST、FAIR），将现实的风险顺序与您的所有信息资产相关联，都有助于您确定优先级并与其他业务部门进行沟通。而且，利用这一点，手游返利折扣，我们可以优先考虑我们的控制投资。Auth0销售一种安全产品，这里的工程师正在一家安全公司建立安全性。Auth0的不同之处在于，我们最关键的资产实际上是我们的业务流程、我们的逻辑、我们的API我们向客户提供的机制比直接提供我们的数据更重要（这不是一项关键资产）。我们总是做一些不同的事情，这给我们的企业增加了一些更有趣的变量，Auth0在我们的生产基础设施和我们的办公应用程序中都是云计算的；我们是远程的，我们有而且正在快速增长。@Auth0的安全与合规部高级主管邓肯•戈德弗雷说："安全与其他任何成功的业务部门没有什么不同，你无情地优先考虑你的资源来推动你的目标。"。在这篇文章中，他分享了他是如何做出选择的。"在推特上留言以及我们的个别公司的风险，我们的客户自己也要求高安全要求。这一切都推动了我们在安全方面的投资、团队的发展以及我们为自己制定的严格的合规制度。有不同的模型来定义安全工程团队的不同焦点。我一直喜欢"建设者、破坏者和捍卫者"。在使用颜色来传达注意力或能力方面也有一些标准化（与防御（蓝色）和进攻性（红色）联系最紧密）。当我讨论不同的球队时，你们会看到我们倾向于专注于防守，但这已经开始改变了。我们目前的安全工程团队结构是：产品安全云安全检测和响应安全意识产品安全团队我们的产品安全团队是一个跨职能的应用程序和产品安全团队，包括喜欢构建和破坏软件的工程师。产品安全对于不同的安全专业人员来说意味着不同的事情，它支持产品开发生命周期。这些团队的章程主要是：开发一个成熟的无摩擦安全开发生命周期（SDL或SDLC）。构建工具以自动化CI/CD管道中的安全性，并开发库以安全地包装开发人员和建筑方的核心安全功能（拥有和开发用于产品特定安全操作的库）。漏洞管理安全意识和培训它是多学科的，因为这些功能可能需要不同但重叠的技能集。支持SDL需要能够运行威胁建模练习并与开发人员一起构建良好的安全控制以应对风险的人员。构建工具和库需要软件开发工程师（SDE）来发布和管理产品代码。我们制造一种专业产品，其任务是为客户简化复杂性。所以在这个团队中有身份协议和如何滥用它们的专家。成功地处理漏洞是安全团队的一项核心能力，以保护公司免受其攻击的影响。确保一旦发现问题，应与工程团队清楚沟通并跟踪补救措施。这意味着要与内部工程团队、外部研究人员和第三方渗透公司合作。您可能注意到的一点是，我们在支持功能上投入了大量资金（例如SDL和VM）。其中一个变化已经在我们身上，我们现在正在发展我们的破坏者队伍，球队正在更多地参与具体的进攻安全测试和红队。云安全团队Auth0是云本地的，我们主要在Amazon Web服务上构建我们的产品。AWS是一个复杂的产品，具有很宽的表面积，政务大数据，它为开发人员提供了很大的构建自由度，但也提供了许多创建不必要攻击面的机会。您需要安全团队中的专家，他们了解在云中构建安全的基础设施，并且能够跟上快速变化的步伐。这就是云安全团队的职责所在，他们保护我们的云基础设施。这个团队是出于加强和保护对不断增长的AWS帐户的访问的需要而发展起来的。除此之外，创始章程是为了确保我们从AWS的每个角落收集数据，并将其用于分析。安全监控一直是我的基础安全构建块，我已经把重点放在监视、安全监控、收集日志上，全国大数据中心，并确保我们对我们所做的每件事都有良好的审计跟踪。云计算的一个优点也是潜在的缺陷是您的工作负载现在是如何广泛和动态地分布的。确保跟踪资产现在类似于一个大数据问题，这个团队提供服务来监控这些资产，而不会减慢任何人的速度。从我们的非标准网络创建图表，并提供丰富的数据用于分析。当人们想到安全工程师时，他们会想到运行防火墙或在路由器上进行配置的人等等。但事实上，你在云环境中不再是这样操作的，这也不是你可以操作的方式。从理论上讲，每个人都在编写软件，所以安全软件工程师们在构建安全服务时，好评返现卡，会有更多的基础设施运营人员加入到团队中，以帮助他们扩展这些服务。随着团队的发展，他们也能够为开发人员构建工具，以便能够安全地访问和部署到云。构建工具来提供短暂的访问在这里是一个巨大的胜利，作用域短期访问凭证成为我们环境中的标准。检测和响应检测和响应（DR）团队的章程是威胁检测和事件响应（IR）。这支队伍是我们的保险单，他们是危机中的冷静头脑。他们训练有素，能够解决棘手的问题，并能合作解决问题。这也是安全团队为业务所做工作的核心，在我们的流行病规划期间，这一点更为关注。随着公司的成长，淘客单，你可以投资一支IR团队。这并不是说，在你有一个专门的团队之前，你不必处理事故，但在你达到这一点之前，这很可能是安全团队内部的共同责任。这意味着，拥有专家也是安全组织的一个主要压力释放点，尤其是对于那些不自然被IR的肾上腺素所吸引的人来说。我们在建设我们的安全运营中心时采取了混合方法