Следующая новость
Предыдущая новость

От киберпанка до DevSecOps. 7 книг, ради которых DevSecOps-инженеру стоит выучить английский

13.02.2018 12:55
От киберпанка до DevSecOps. 7 книг, ради которых DevSecOps-инженеру стоит выучить английский

Содержание статьи

  • «Радужная серия»
  • «Фиолетовая книга»: руководство APT-хакера
  • «Черная книга»: корпоративная кибер(не)безопасность
  • «Красная книга»: справочник «красноармейца»
  • «Книга бизона»: культивирование DevOps-культуры в сообществе разработчиков
  • «Желтая паутина»: классическая подборка уязвимостей всемирной паутины
  • «Коричневая книга»: книга «багоборца»
  • «Книга возмездия»: библия безопасной разработки кода

Помнишь «весь спектр радуги» лучших книг из легендарного фильма «Хакеры»? Пересмотрев фильм еще раз, мы задались вопросом: а что бы сегодня читали киберпанки прошлого, ставшие в наше время DevSecOps’ами? И вот что у нас получилось…

«Радужная серия»

  • «Оранжевая книга»: критерии защиты данных компьютера по стандартам DOD.
  • «Розовая рубашка»: справочник IBM (прозвали так из-за стремной розовой рубашки на мужике с обложки).
  • «Книга дьявола»: библия UNIX.
  • «Книга дракона»: разработка компилятора.
  • «Красная книга»: сети национального управления безопасности (известна как «уродливая красная книга, которая не умещается на полке»).

Перевод фильма «Хакеры» не передает игру слов и порой искажает смысл. Ты смотрел его на английском?

  • Да, конечно!
  • Нет, но теперь посмотрю
  • Лучше потрачу время на книгу

От киберпанка до DevSecOps. 7 книг, ради которых DevSecOps-инженеру стоит выучить английский Загрузка …

«Фиолетовая книга»: руководство APT-хакера

От киберпанка до DevSecOps. 7 книг, ради которых DevSecOps-инженеру стоит выучить английский

Tyler Wrightson. Advanced Persistent Threat Hacking: The Art and Science of Hacking Any Organizations. 2015. 434 p.

Эта книга написана ради одной-единственной цели: продемонстрировать, что в мире не существует безопасных систем. Причем написана она с позиции преступника, без компромиссов и лишней политкорректности. Автор беззастенчиво демонстрирует современные реалии кибер-не-безопасности и без утайки делится самыми интимными подробностями APT-хакерства. Такой брутальный подход к изложению материала можно понять: автор уверен, что только так мы сможем по-настоящему «узнать своего врага в лицо», как это советовал Сунь-цзы в своей книге «Искусство войны». Только мысля как хакер, безопасник сможет разработать сколь-нибудь эффективную защиту от киберугроз.

В книге описывается образ мыслей APT-хакера, инструменты и навыки — которые позволяют ему взламывать абсолютно любую организацию, вне зависимости от того, какая там развернута система безопасности. С демонстрацией реальных примеров взлома, для реализации которых вполне достаточно скромного бюджета и скромных технических навыков.

От киберпанка до DevSecOps. 7 книг, ради которых DevSecOps-инженеру стоит выучить английский

INFO

Всякий раз, когда мы читаем про «злые взломают всех, кто подключен хотя бы к сети 220 вольт», мы вспоминаем про нашу мифбрейкерскую статью Всемогущество взломщика: оцениваем реальную степень угрозы хакерских атак.

Тебе приходилось встречаться на практике с целенаправленными атаками (APT)?

  • Нет, кому я нужен
  • Да, я был жертвой атаки
  • Да, я их сам выполнял

От киберпанка до DevSecOps. 7 книг, ради которых DevSecOps-инженеру стоит выучить английский Загрузка …

«Черная книга»: корпоративная кибер(не)безопасность

От киберпанка до DevSecOps. 7 книг, ради которых DevSecOps-инженеру стоит выучить английский

Scott Donaldson. Enterprise Cybersecurity: How to Build a Successful Cyberdefence Program Against Advanced Threats. 2015. 536 p.

В книге представлена гибкая и наглядная схема для управления всеми аспектами корпоративной программой кибербезопасности (КПК), в которой вся КПК разделена на 11 функциональных областей и на 113 предметных аспектов. Эта схема очень удобна для проектирования, разработки, внедрения, контроля и оценки КПК, управления рисками. Схема универсальна и легко масштабируется под нужды организации любых размеров. В книге подчеркивается, что абсолютная неуязвимость принципиально недостижима. Потому что, имея в запасе неограниченное время, предприимчивый злоумышленник может в конце концов преодолеть даже самую передовую киберзащиту. Поэтому эффективность КПК оценивается не в абсолютных категориях, а в относительных — двумя относительными показателями: насколько быстро она позволяет обнаруживать кибератаки и насколько долго она позволяет сдерживать натиск противника. Чем лучше эти показатели, тем больше у штатных специалистов времени на то, чтобы оценить ситуацию и принять контрмеры.

В книге подробно описаны все действующие лица на всех уровнях ответственности. Объясняется, как применять предложенную схему КПК для объединения разношерстных департаментов, скромных бюджетов, корпоративных бизнес-процессов и уязвимой киберинфраструктуры в рентабельную КПК, способную противостоять передовым кибератакам и способную значительно сокращать ущерб в случае пробоя. В рентабельную КПК, которая принимает во внимание ограниченность бюджета, выделенного на обеспечение кибербезопасности, и которая помогает находить нужные компромиссы, оптимальные именно для вашей организации. С учетом повседневной оперативной деятельности и долгосрочных стратегических задач.

При первом знакомстве с книгой владельцы малого и среднего бизнеса, имеющие ограниченные бюджеты, могут посчитать, что для них представленная в книге схема КПК, с одной стороны, не по карману, а с другой — вообще излишне громоздка. И действительно: далеко не все предприятия могут позволить себе учитывать все элементы комплексной программы КПК. Когда генеральный директор работает по совместительству также финансовым директором, секретарем и службой технической поддержки — полномасштабная КПК явно не для него. Однако в той или иной степени проблему кибербезопасности приходится решать любому предприятию, и если почитать книгу внимательно, то можно увидеть, что представляемая схема КПК легко адаптируема под нужды даже самого маленького предприятия. Так что она подходит для предприятий любых размеров.

Следует заметить, что авторы книги — признанные эксперты по кибербезопасности, которым доводилось сражаться «на передовой» против APT-хакеров, отстаивая в разное время правительственные, военные и корпоративные интересы.

Продолжение статьи доступно только подписчикам

Cтатьи из последних выпусков журнала можно покупать отдельно только через два месяца после публикации. Чтобы читать эту статью, необходимо купить подписку.

Подпишись на журнал «Хакер» по выгодной цене!

Подписка позволит тебе в течение указанного срока читать ВСЕ платные материалы сайта, включая эту статью. Мы принимаем оплату банковскими картами, электронными деньгами и переводами со счетов мобильных операторов. Подробнее о подписке

1 год

6190 р.

Экономия 1400 рублей!

1 месяц

720 р.

25-30 статей в месяц

Уже подписан?

Источник

Последние новости