2018年，为了支持我们的世界级安全愿景，LogMeIn领导层决定投入一个完整的团队来照顾和不断提高LastPass的安全。我们的团队是为了最大限度地利用公司标准，通过为其他产品提供一个很好的例子来提高LogMeIn的安全性。

建立一个专门的、多功能的安全团队

该团队最初由LastPass工程师组成，他们对安全性充满热情，以确保实际的领域知识，并确保我们能够在问题解决和缓解方面采取行动。随着团队的壮大，我们增加了安全专家团队，以引入攻击者心态。我们能够把两个世界的最好的东西结合在一起——进攻和防守都体现在一支球队里。从一开始，团队就在地理上分布，以覆盖全球更多的工作时间。

该团队围绕多个主题建立，并专注于内部和外部客户的满意度。外部客户包括LastPass用户和我们在Bugcrowd上接触的安全研究人员。我们努力让他们感到更安全，与我们和我们的产品建立信任，并让他们对提供的服务感到满意。我们的内部客户包括工程、产品、销售、市场、公关和客户关怀组织，他们都在为LastPass服务提供支持。我们为他们提供服务，让他们在任何安全问题出现时都能依靠。

改进我们的BugCrowd程序

我们的第一个改进目标是我们的公共bug赏金计划。我们现在有一个专门的团队，而不是在个人或团队之间轮换负责安全问题。这使我们能够改进响应时间，在内部遵循更标准化的流程，并更公开地交流。我们还能够改善与安全研究人员的关系。如果需要，我们能够参与提交验证的早期阶段，并且能够以一种涉众能够理解的方式更快地在内部提高对任何传入问题的意识。

我们的安全工程师也能够迅速采取行动，开始修复或缓解工作，但我们也准备提供完整的背景，让其他团队的工程师参与进来，并在需要的地方协调共同努力，以尽快修复问题。专门的团队还能够识别系统性问题，并推动努力解决根本原因，而不仅仅是解决孤立的问题。

最后但并非最不重要的是，最近我们更新了Bugcrowd项目的描述和范围，以根据去年的经验教训和研究人员的评论为研究人员提供更多的指导。我们还改进了内部安全活动，在研究人员发现之前减少了攻击表面和身份问题。

培养一个有安全意识的工程组织

根据我们的经验，实现强大的安全性需要不同的思维方式，并且意味着在工程组织中传播知识。

在内部，我们开始为我们的工程师提供更多的成长机会，包括培训如何获得攻击者的心态，学习更多关于安全最佳实践的知识，以及内化从身份管理领域学到的经验教训。作为一个快速发展的工程组织，我们也有责任确保每个人，包括新员工，从一开始就了解安全最佳实践。我们的团队致力于定期与整个LastPass和LogMeIn工程组织在不同的论坛上分享经验教训。我们不仅分享我们的安全团队的内部知识，而且还包括通过我们的bug赏金计划从世界各地的研究人员那里收集的最佳实践。

除了提高人们对安全性的认识，我们还积极地帮助我们的工程师将安全性焦点引入软件开发的每个阶段，从计划到发布，作为我们标准化的安全性开发生命周期实践的一部分。由于我们的专业安全工程师与所有LastPass工程师共享相同的领域知识，并在相同的代码基础上工作，因此安全设计审查会议更加富有成效和有趣。我们的工程团队主动要求我们的团队进行审查，看看我们可以一起找到什么。

威胁建模和安全审查会议保持专业，甚至增添一些乐趣。我们使用特权升级纸牌游戏进行威胁建模。我们确保我们有一个建设性的氛围，我们一起分解一个解决方案，包括最初计划和执行代码的工程师。每个人都想找到能够赢得游戏的问题。

在网络安全问题中，人的因素总是被提到。我认为这只是一个问题，如果你没有分配足够的时间和精力来提高意识和培训人们。此外，为工程师提供合理有效的流程支持——并教育他们为什么——将激励他们遵循这些要求，而不是寻找可能导致更大问题的漏洞。有了一个专门的安全工程团队，我们能够不断改进流程，并根据人们的反馈和需求帮助他们。

作为建立一个专注于安全性的成熟工程组织的结果，我们在维护世界级安全性方面更加有效。通过提供客户可以信任的安全解决方案来保护他们的业务和家庭数据，从而让客户满意，这仍然是我们的使命。BOB体育输的钱还能要回来吗

费伦茨库恩是LogMeIn的LastPass安全工程经理。他专注于领导一个专门的安全团队，负责监督遵从性和渗透测试，产品的安全评估，并将核心SDL的关键支柱集成到开发生命周期中。Ferenc已经在LogMeIn工作了5年，拥有开发多个LogMeIn产品的经验。