Помнишь «весь спектр радуги» лучших книг из легендарного фильма «Хакеры»? Пересмотрев фильм еще раз, мы задались вопросом: а что бы сегодня читали киберпанки прошлого, ставшие в наше время DevSecOps’ами? И вот что у нас получилось…
 

«Радужная серия»


  • «Оранжевая книга»: критерии защиты данных компьютера по стандартам DOD.
  • «Розовая рубашка»: справочник IBM (прозвали так из-за стремной розовой рубашки на мужике с обложки).
  • «Книга дьявола»: библия UNIX.
  • «Книга дракона»: разработка компилятора.
  • «Красная книга»: сети национального управления безопасности (известна как «уродливая красная книга, которая не умещается на полке»).

Перевод фильма «Хакеры» не передает игру слов и порой искажает смысл. Ты смотрел его на английском?

Загрузка ... Загрузка ...
 

«Фиолетовая книга»: руководство APT-хакера


Tyler Wrightson. Advanced Persistent Threat Hacking: The Art and Science of Hacking Any Organizations. 2015. 434 p.

Эта книга написана ради одной-единственной цели: продемонстрировать, что в мире не существует безопасных систем. Причем написана она с позиции преступника, без компромиссов и лишней политкорректности. Автор беззастенчиво демонстрирует современные реалии кибер-не-безопасности и без утайки делится самыми интимными подробностями APT-хакерства. Такой брутальный подход к изложению материала можно понять: автор уверен, что только так мы сможем по-настоящему «узнать своего врага в лицо», как это советовал Сунь-цзы в своей книге «Искусство войны». Только мысля как хакер, безопасник сможет разработать сколь-нибудь эффективную защиту от киберугроз.

В книге описывается образ мыслей APT-хакера, инструменты и навыки — которые позволяют ему взламывать абсолютно любую организацию, вне зависимости от того, какая там развернута система безопасности. С демонстрацией реальных примеров взлома, для реализации которых вполне достаточно скромного бюджета и скромных технических навыков.

INFO

Всякий раз, когда мы читаем про «злые взломают всех, кто подключен хотя бы к сети 220 вольт», мы вспоминаем про нашу мифбрейкерскую статью Всемогущество взломщика: оцениваем реальную степень угрозы хакерских атак.

Тебе приходилось встречаться на практике с целенаправленными атаками (APT)?

Загрузка ... Загрузка ...
 

«Черная книга»: корпоративная кибер(не)безопасность


Scott Donaldson. Enterprise Cybersecurity: How to Build a Successful Cyberdefense Program Against Advanced Threats. 2015. 536 p.

В книге представлена гибкая и наглядная схема для управления всеми аспектами корпоративной программы кибербезопасности (КПК), в которой вся КПК разделена на 11 функциональных областей и на 113 предметных аспектов. Эта схема очень удобна для проектирования, разработки, внедрения, контроля и оценки КПК, управления рисками. Схема универсальна и легко масштабируется под нужды организации любых размеров. В книге подчеркивается, что абсолютная неуязвимость принципиально недостижима. Потому что, имея в запасе неограниченное время, предприимчивый злоумышленник может в конце концов преодолеть даже самую передовую киберзащиту. Поэтому эффективность КПК оценивается не в абсолютных категориях, а в относительных — двумя относительными показателями: насколько быстро она позволяет обнаруживать кибератаки и насколько долго она позволяет сдерживать натиск противника. Чем лучше эти показатели, тем больше у штатных специалистов времени на то, чтобы оценить ситуацию и принять контрмеры.

В книге подробно описаны все действующие лица на всех уровнях ответственности. Объясняется, как применять предложенную схему КПК для объединения разношерстных департаментов, скромных бюджетов, корпоративных бизнес-процессов и уязвимой киберинфраструктуры в рентабельную КПК, способную противостоять передовым кибератакам и способную значительно сокращать ущерб в случае пробоя. В рентабельную КПК, которая принимает во внимание ограниченность бюджета, выделенного на обеспечение кибербезопасности, и которая помогает находить нужные компромиссы, оптимальные именно для вашей организации. С учетом повседневной оперативной деятельности и долгосрочных стратегических задач.

При первом знакомстве с книгой владельцы малого и среднего бизнеса, имеющие ограниченные бюджеты, могут посчитать, что для них представленная в книге схема КПК, с одной стороны, не по карману, а с другой — вообще излишне громоздка. И действительно: далеко не все предприятия могут позволить себе учитывать все элементы комплексной программы КПК. Когда генеральный директор работает по совместительству также финансовым директором, секретарем и службой технической поддержки — полномасштабная КПК явно не для него. Однако в той или иной степени проблему кибербезопасности приходится решать любому предприятию, и если почитать книгу внимательно, то можно увидеть, что представляемая схема КПК легко адаптируема под нужды даже самого маленького предприятия. Так что она подходит для предприятий любых размеров.

Следует заметить, что авторы книги — признанные эксперты по кибербезопасности, которым доводилось сражаться «на передовой» против APT-хакеров, отстаивая в разное время правительственные, военные и корпоративные интересы.

Продолжение доступно только подписчикам

Вариант 1. Оформи подписку на «Хакер», чтобы читать все материалы на сайте

Подписка позволит тебе в течение указанного срока читать ВСЕ платные материалы сайта. Мы принимаем оплату банковскими картами, электронными деньгами и переводами со счетов мобильных операторов. Подробнее о подписке

Вариант 2. Купи один материал

Заинтересовала информация, но нет возможности оплатить подписку? Тогда этот вариант для тебя! Обрати внимание: этот способ покупки доступен только для материалов, опубликованных более двух месяцев назад.


13 комментария

  1. r0uly

    13.02.2018 at 19:43

    Антон, у вас классные статьи, пишите еще!

    • Антон Карев

      Антон Карев

      14.02.2018 at 01:18

      Спасибо на добром слове. Постараюсь. Плюс, половина успеха статьи. – грамотная редактура. Так что припоминайте в своих благодарностях ещё и Александра Лозовского.

  2. Башкир

    13.02.2018 at 22:05

    Ландэн зэ кэпитал оф грэйт британ!

  3. Владиславище

    13.02.2018 at 22:34

    Отличная статья с подборочкой. А можно ли что-то подобное подобрать на родном языке, с англиццким — совсем туго…

    • Антон Карев

      Антон Карев

      14.02.2018 at 01:17

      Не знаю как других, но меня на русском книги не очень впечатляют. Даже русскоязычные аналоги англоязычных первоисточников. «Книга бизона», например, имеет и русскоязычную версию, – но русскоязычный редактор делает совершенно другие акценты, и т.о. искажает первоначальный авторский смысл.

  4. ravenrs

    15.02.2018 at 08:19

    Антон, спасибо за подборку! Пополнил коллекцию своих книг.

    P.S.: «Коричневая книга»: книга «багоборца» — цена на амазоне от 103$

  5. Qb

    26.02.2018 at 11:28

    На флибусте, в т.ч. в телеграм канале есть DevOps на Русском, она выпущена издательством Питер.
    Думаю, там некоторые другие тоже можно взять на русском

    • Антон Карев

      Антон Карев

      28.02.2018 at 08:14

      На мой взгляд в русском варианте DevOps значительно искажён посыл автора, акцентирующегося на культурной составляющей DevOps-движения. В русском переводе значительно меньший акцент на культуру, – что в том числе и в русскоязычном названии книги отражается.

  6. john_

    12.03.2018 at 15:33

    Всегда так было. Перевод искажает смысл. Ничего нового.

    • Антон Карев

      Антон Карев

      15.03.2018 at 03:52

      john_, если лингвистическим буквоедством заниматься – конечно, можно ошибки в любом переводе найти. Но в данном случае, речь о другом. Хороший перевод – это когда переводчик понимает, какую идею хочет донести автор, и формулирует эту идею своими словами на целевом языке. Может быть очень неправильно с лингвистической точки зрения и с другим стилем, — но с точной расстановкой акцентов, которые автор сделал; с точной передачей авторского смысла. В книге про DevOps, именно смысл искажён.

Оставить мнение

Check Also

Хакеры скомпрометировали LabCorp, крупнейшую в США сеть диагностических лабораторий

Крупнейшая в США сеть диагностических лабораторий, LabCorp, в начале текущей недели была а…