أولئك الذين كانوا يطلق عليهم اسم cyberpunks من قبل ، يسمون أنفسهم اليوم أكثر صوابًا من الناحية السياسية: DevSecOps. تذكر "الطيف الكامل لقوس قزح" ، من الفيلم الأسطوري "القراصنة"؟ 1) الأخضر (بيئة يونيكس في جميع أنحاء العالم) ؛ 2) برتقالية زاهية (معايير حماية بيانات الكمبيوتر وفقًا لمعايير DOD) ؛ 3) قميص وردي (كتاب مرجعي IBM ؛ الملقب هذا بسبب قميص وردي غبي على فلاح من الغطاء) ؛ 4) كتاب الشيطان (الكتاب المقدس يونيكس) ؛ 5) كتاب التنين (تطوير المترجم) ؛ 6) الكتاب الأحمر (شبكات إدارة الأمن القومي ؛ المعروف باسم الكتاب الأحمر الشرير ، والذي لا مكان له على الرف).
بعد مراجعة هذا الفيلم الأسطوري مرة أخرى ، سألت نفسي: ما الذي يمكن أن يقرأه اليوم المحتالون عبر الإنترنت اليوم ، والذي أصبح DevSecOps في عصرنا؟ وحصلنا على نسخة محدثة أكثر حداثة من هذا الطيف قوس قزح:
- البنفسجي (دليل القراصنة APT)
- أسود (الإنترنت للشركات غير الأمنية)
- الأحمر (كتيب الجيش الأحمر)
- كتاب البيسون (زراعة ثقافة DevOps في مجتمع المطورين ؛ سمي بهذا الاسم بسبب الوحش من الغلاف)
- الويب الأصفر (الأصفر ، بالمعنى الموضعي ، مجموعة مختارة من نقاط الضعف في الشبكة العالمية)
- براون (كتاب الإسكافي)
- كتاب القصاص (تطوير مدونة آمنة للكتاب المقدس)
1. البنفسجي (دليل القراصنة APT)
تم كتابة هذا الكتاب لغرض واحد: لإثبات عدم وجود أنظمة آمنة في العالم. علاوة على ذلك ، هو مكتوب من وجهة نظر المجرم ، دون أي تنازلات. يوضح المؤلف بوقاحة الحقائق الحديثة المتمثلة في عدم الأمن السيبراني ، وبدون إخفاء ، يشاركنا في التفاصيل الأكثر حميمية لقرصنة APT. دون أي تلميح حول معلومات حول المواضيع المثيرة للجدل وحولها ، خوفًا من جذب الانتباه البغيض. لماذا هو من وجهة نظر جنائية لا هوادة فيها؟ لأن المؤلف متأكد من أنه بهذه الطريقة فقط يمكننا "التعرف على عدونا عن طريق البصر" ، كما نصح سون تزو في كتابه "فن الحرب". ولأن المؤلف متأكد أيضًا أنه بدون هذه المعرفة ، يستحيل تطوير أي حماية فعالة ضد التهديدات السيبرانية.
يصف الكتاب عقلية APT hacker والأدوات والمهارات - التي تسمح له بالتسلل إلى أي مؤسسة على الإطلاق ، بغض النظر عن نوع نظام الأمن الذي يتم نشره هناك. مع عرض أمثلة حقيقية للقرصنة ، والتي لتنفيذ ميزانية متواضعة والمهارات الفنية المتواضعة كافية تماما.
لمحاربة المجرمين التقليديين في أي دولة ، هناك مخططات راسخة. ومع ذلك ، في الفضاء الإلكتروني ، المجرمون الأذكياء بعيد المنال. لذلك ، فإن الحقائق القاسية للعصر الحديث للتكنولوجيا الرقمية هي أنه من يتصل بالإنترنت ، فهو يتعرض لهجوم مستمر ، سواء في المنزل أو في العمل. قد لا تكون على علم بهذا التقرير ، ولكن عندما تدع الإنترنت أو الكمبيوتر أو الهاتف المحمول أو Facebook أو Twitter أو شيء من هذا القبيل في حياتك ، فإنك بذلك انضممت إلى الحرب. سواء كنت تريد ذلك أم لا ، فأنت بالفعل من بين جنود هذه الحرب.
حتى لو لم يكن لديك "بيانات قيمة" ، يمكنك بسهولة أن تصبح ضحية عرضية. ناهيك عن حقيقة أن المجرم يمكنه استخدام أجهزتك الرقمية في شؤونه المظلمة: تكسير كلمة المرور ، والبريد العشوائي ، ودعم هجمات DDoS ، إلخ. لقد تحول العالم اليوم إلى ملعب - لأولئك الذين هم على دراية بالتكنولوجيا المتقدمة ويحبون كسر القواعد. ويشغل قراصنة APT مكان ملك التل في هذه اللعبة ، والذي يتلخص بيانه في الكلمات التالية: "نحن أبطال خارقون ، غير مرئيين ونيو من المصفوفة. يمكننا التحرك بصمت وبصمت. التلاعب بكل شيء نتمنى. أينما نريد أن نذهب. لا توجد معلومات لم نتمكن من الحصول عليها. نحن نطير بثقة حيث يمكن للآخرين الزحف فقط ".
2. أسود (الإنترنت للشركات غير الأمنية)
يوفر الكتاب نظامًا مرئيًا مرنًا لإدارة جميع جوانب برنامج الأمن السيبراني للشركات (CCP) ، حيث ينقسم CCP بالكامل إلى 11 مجالًا وظيفيًا و 113 جانبًا من الموضوعات. هذا المخطط مناسب جدًا لتصميم وتطوير وتنفيذ ورصد وتقييم أجهزة المساعد الرقمي الشخصي. كما أنها مريحة للغاية لإدارة المخاطر. هذا المخطط عالمي ويمكن توسيعه بسهولة لتلبية احتياجات المنظمات من أي حجم. يؤكد الكتاب على أن الحرمة المطلقة لا يمكن تحقيقها بشكل أساسي. نظرًا لوجود وقت غير محدود في الاحتياطي ، يمكن للمهاجم المبتكر أن يتغلب أخيرًا على أكثر أشكال الدفاع الإلكتروني تطوراً. لذلك ، يتم تقييم فعالية CCP ليس في الفئات المطلقة ، ولكن في الفئات النسبية ، من خلال مؤشرين نسبيين: مدى السرعة التي تسمح لك بها باكتشاف الهجمات السيبرانية والفترة الزمنية التي تسمح لك بها لكبح هجوم العدو. كلما كانت هذه المؤشرات أفضل ، زاد الوقت المتاح للمتخصصين بدوام كامل لتقييم الوضع واتخاذ تدابير مضادة.
يصف الكتاب بالتفصيل جميع الجهات الفاعلة على جميع مستويات المسؤولية. يشرح كيفية تطبيق مخطط تكلفة النقرة المقترح للجمع بين الإدارات المتنوعة والميزانيات المتواضعة وعمليات الشركات التجارية والبنية التحتية السيبرانية الضعيفة في PDA فعالة من حيث التكلفة يمكنها مقاومة الهجمات السيبرانية المتقدمة ؛ وقادرة على الحد بشكل كبير من الأضرار في حالة حدوث انهيار. PDA فعالة من حيث التكلفة ، والتي تأخذ في الاعتبار الميزانية المحدودة المخصصة لضمان الأمن السيبراني والتي تساعد على العثور على الحلول الوسط الضرورية التي هي الأمثل لمؤسستك. مع مراعاة الأنشطة التشغيلية اليومية والمهام الاستراتيجية طويلة الأجل.
عند التعارف لأول مرة مع الكتاب ، قد يجد أصحاب الشركات الصغيرة والمتوسطة الحجم بميزانيات محدودة أن مخطط PDA المقدم لهم في الكتاب ليس في متناولهم ، ولكن من ناحية أخرى ، عادة ما يكون ذلك مرهقًا بشكل غير ضروري. وبالفعل: ليست كل المؤسسات قادرة على تحمل جميع عناصر برنامج شامل لتكلفة النقرة. عندما يكون المدير العام أيضًا مديرًا ماليًا أو سكرتيرًا أو خدمة دعم فني ، فمن الواضح أن خيار CCP الكامل لا يناسبه. ومع ذلك ، يتعين على أي مؤسسة أن تحل مشكلة الأمن السيبراني ، بدرجة أو بأخرى ، وإذا قرأت الكتاب بعناية ، يمكنك أن ترى أن مخطط PDA المقدم قابل للتكيف بسهولة مع احتياجات أصغر المؤسسات. لذلك فهي مناسبة للشركات من جميع الأحجام.
الأمن السيبراني اليوم هو مجال إشكالي للغاية. يبدأ ضمان الأمن السيبراني بفهم شامل لمكوناته. هذا الفهم وحده هو أول خطوة جادة نحو الأمن السيبراني. إن فهم من أين نبدأ في توفير الأمن السيبراني ، وكيفية المتابعة وما الذي يجب تحسينه هو بعض الخطوات الأكثر جدية نحو ضمان ذلك. يتم تقديم هذه الخطوات القليلة في الكتاب ويسمح لك مخطط PDA بالقيام به. إنها تستحق الاهتمام لأن مؤلفي الكتاب - خبراء الأمن السيبراني المعترف بهم الذين قاتلوا في طليعة الأمن السيبراني ضد قراصنة APT - يدافعون عن المصالح الحكومية والعسكرية والشركات في أوقات مختلفة.
3. الأحمر (كتيب الجيش الأحمر)
RTFM هو مرجع مفصل للممثلين الجادين للفريق الأحمر. يوفر RTFM بناء الجملة الأساسي لأدوات سطر الأوامر الأساسية (لنظامي التشغيل Windows و Linux). ويتم أيضًا عرض الخيارات الأصلية لاستخدامها ، إلى جانب الأدوات القوية مثل Python و Windows PowerShell. سيوفر لك RTFM مجموعة كبيرة من الوقت والجهد مرارًا وتكرارًا - مما يلغي الحاجة إلى التذكر / البحث عن صعوبة تذكر الفروق الدقيقة في نظام التشغيل المرتبط بأدوات مثل Windwos WMIC وأدوات سطر الأوامر DSQUERY وقيم مفتاح التسجيل وصيغة Task Scheduler و Windows- البرامج النصية ، إلخ. بالإضافة إلى ذلك ، الأهم من ذلك ، أن RTFM تساعد قارئها على تبني أكثر تقنيات الجيش الأحمر تطوراً.
4. كتاب بيسون (زراعة ثقافة DevOps في مجتمع المطورين ؛ سمي بهذا الاسم بسبب الوحش من الغلاف)
أنجح من الدليل الحالي على تشكيل DevOps ثقافة الشركات. يُنظر إلى DevOps هنا على أنها طريقة جديدة للتفكير والعمل ، مما يتيح لك تكوين "فرق ذكية". تختلف "الفرق الذكية" عن غيرها من حيث أن أعضائها يفهمون خصوصيات طريقة تفكيرهم ويطبقون هذا الفهم لصالح أنفسهم وقضيتهم. تتطور قدرة "الفرق الذكية" نتيجة الممارسة المنهجية لـ ToM (نظرية العقل ؛ علم الوعي الذاتي). يسمح لك مكون ToM من ثقافة DevOps بالتعرف على نقاط القوة - لك وزملائك ؛ يسمح لك بتحسين فهم نفسك والآخرين. نتيجة لذلك ، تتزايد قدرة الناس على التعاون والتعاطف مع بعضهم البعض. المنظمات ذات ثقافة DevOps المتقدمة تكون أقل عرضة لارتكاب الأخطاء والتعافي بسرعة أكبر بعد الفشل. موظفو هذه المنظمات يشعرون بسعادة أكبر. والناس السعداء ، كما تعلمون ، أكثر إنتاجية. لذلك ، فإن هدف DevOps هو تطوير التفاهم المتبادل والأهداف المشتركة ، مما يتيح لك إقامة علاقات عمل طويلة الأمد وقوية بين الموظفين الأفراد والإدارات بأكملها.
ثقافة DevOps هي نوع من الإطار الذي يساعد على تبادل الخبرات العملية القيمة وتنمية التعاطف بين الموظفين. DevOps هو نسيج ثقافي منسوج من ثلاثة خيوط: الأداء المستمر للواجبات ، وتطوير الكفاءات المهنية ، وتحسين الذات الشخصي. هذا النسيج الثقافي "يغلف" كلاً من الموظفين الأفراد والإدارات بأكملها ، مما يسمح لهم بالتطور بكفاءة وبشكل مستمر بشكل احترافي وشخصي. تساعد DevOps على الابتعاد عن "النهج القديم" (ثقافة اللوم والبحث عن المذنبين) والتوصل إلى "نهج جديد" (باستخدام الأخطاء التي لا مفر منها ليس لإلقاء اللوم ، ولكن لتعلم الدروس العملية). نتيجة لذلك ، تزداد الشفافية والثقة في الفريق ، وهو أمر مفيد جدًا لقدرة أعضاء الفريق على التعاون مع بعضهم البعض. هذا هو ملخص الكتاب.
5. الويب الأصفر (الأصفر ، بالمعنى الموضعي ، مجموعة مختارة من نقاط الضعف في الشبكة العالمية)
قبل 20 عامًا فقط ، كان الإنترنت بسيطًا بلا فائدة. كانت آلية غريبة تسمح لحفنة صغيرة من الطلاب والمهوسين بزيارة الصفحات الرئيسية لبعضهم البعض. تم تكريس الغالبية العظمى من هذه الصفحات للعلوم والحيوانات الأليفة والشعر.
العيوب المعمارية وأوجه القصور في تنفيذ شبكة الويب العالمية ، والتي يتعين علينا أن نتحملها اليوم - هي رسوم الماضي المتأخر. بعد كل شيء ، كانت تقنية لا تتطلع إلى الوضع العالمي الذي تتمتع به اليوم. ونتيجة لذلك ، أصبح لدينا اليوم بنية تحتية ضعيفة للغاية للإنترنت: كما اتضح فيما بعد ، فإن المعايير والتصميم والبروتوكولات الخاصة بشبكة الويب العالمية ، والتي كانت كافية للصفحات الرئيسية ذات الهامستر الراقص ، غير كافية تمامًا ، على سبيل المثال ، لمتجر إلكتروني يعالج ملايين معاملات بطاقات الائتمان سنويًا.
إذا نظرنا إلى الوراء على مدار العقدين الماضيين ، من الصعب ألا نخيب أملك: فقد أجبر كل نوع من تطبيقات الويب المفيدة التي تم تطويرها حتى يومنا هذا على دفع ثمن دموي بعد فوات الأوان من مهندسي شبكة الويب العالمية أمس. لم يقتصر الأمر على زيادة الطلب على الإنترنت أكثر مما كان متوقعًا ، لكننا أيضًا غضنا الطرف عن بعض خصائصه غير المريحة التي تجاوزت منطقة الراحة لدينا. وسيكون من المقبول أن نغض الطرف عن الماضي - نواصل إغلاقها الآن ... علاوة على ذلك ، فحتى تطبيقات الويب المصممة جيدًا والمختبرة بعناية لا تزال تواجه مشكلات أكثر بكثير من نظيراتها من غير الشبكات.
لذلك ، حطمنا الحطب بالترتيب. حان الوقت للتوبة. لغرض هذه التوبة ، تم كتابة هذا الكتاب. هذا هو الأول من نوعه (والأفضل حاليًا من نوعه) الذي يوفر تحليلًا منهجيًا ودقيقًا لحالة الأمان الحالية لتطبيقات الويب. بالنسبة لمثل هذا الحجم الصغير نسبياً من الكتاب ، فإن عدد الفروق الدقيقة التي تمت مناقشته فيه هو مجرد عدد هائل. علاوة على ذلك ، سيبتهج مهندسو الأمن الذين يبحثون عن حلول سريعة بحضور أوراق الغش ، والتي يمكن العثور عليها في نهاية كل قسم. تصف أوراق الغش هذه الأساليب الفعالة لحل المشكلات الأكثر إلحاحًا التي يواجهها مطور تطبيقات الويب.
6. براون (كتاب المبارز)
أحد أكثر الكتب إثارة للاهتمام التي نشرت خلال العقد الماضي. يمكن تلخيص رسالتها بالكلمات التالية: "امنح الشخص استغلالًا ، وسوف تجعله مخترقًا ليوم واحد ، وعلّمه استغلال الأخطاء - وسيظل متسللًا مدى الحياة." بينما تقرأ The Fighter’s Diary ، ستتابع خبيرًا في الأمن السيبراني يقوم بتحديد الأخطاء ويستغلها في التطبيقات الأكثر شيوعًا اليوم. مثل Apple iOS ومشغل الوسائط VLC ومتصفحات الويب وحتى جوهر نظام التشغيل Mac OS X. عند قراءة هذا الكتاب الفريد ، ستكتسب معرفة تقنية وفهم عميقين لما يتعامل به المتسللون مع المشكلات المستعصية ؛ وكيف النشوة هم في عملية البحث عن الحشرات.
سوف تتعلم من الكتاب ما يلي: 1) كيفية استخدام الأساليب التي تم اختبارها بالوقت للعثور على الأخطاء ، مثل تتبع إدخال المستخدم والهندسة العكسية ؛ 2) كيفية استغلال الثغرات الأمنية ، مثل إلغاء تحديد مؤشرات NULL وتجاوز سعة المخزن المؤقت ونوع عيوب التحويل ؛ 3) كيفية كتابة التعليمات البرمجية التي توضح وجود ثغرة أمنية ؛ 4) كيفية إعلام بائعي الأخطاء بشكل صحيح في برامجهم. يوميات bugbug مليئة بأمثلة حقيقية للكود الضعيف ، وبرامج التأليف المصممة لتسهيل عملية العثور على الأخطاء.
لأي غرض من الأغراض التي تبحث عنها ، سواء كان ذلك الترفيه أو الأرباح أو الرغبة الإيثارية في جعل العالم مكانًا أكثر أمانًا ، فإن هذا الكتاب سوف يساعدك على تطوير مهارات قيّمة ، نظرًا لمساعدته ، يمكنك النظر إلى جانب مقاتل محترف ، على شاشة شاشته وكذلك في رأسه. أولئك الذين هم على دراية بلغة البرمجة C / C ++ ومجمع x86 سيحصلون على أقصى استفادة من الكتاب.
7. كتاب القصاص (الكتاب المقدس هو تطوير قانون آمن)
اليوم ، أي مطور برامج مطلوب ببساطة أن يكون لديه المهارات اللازمة لكتابة رمز آمن. ليس لأنه من المألوف ، ولكن لأن الحياة البرية للفضاء السيبراني غير ودية للغاية. كلنا نريد أن تكون برامجنا موثوقة. لكنهم لن يكونوا كذلك ما لم نعتني بأمنهم السيبراني.
نحن لا نزال ندفع ثمن خطايا عدم الأمن السيبراني التي ارتكبت في الماضي. وسنكون محكوم عليهم بالدفع مقابلهم إذا لم نتعلم من تاريخنا الغني في تطوير البرمجيات المتقلبة. يكشف هذا الكتاب عن 24 نقطة أساسية - غير مريحة للغاية لمطوري البرمجيات. غير مريح ، بمعنى أن المطورين يسمحون دائمًا بعيوب خطيرة في هذه اللحظات. يقدم الكتاب نصائح عملية حول كيفية تجنب هذه العيوب الخطيرة الأربع والعشرين عند تطوير البرامج ، وكيفية اختبار العيوب الموجودة بالفعل الموجودة في البرنامج الذي كتبه أشخاص آخرون. قصة الكتاب بسيطة وسهلة الوصول ومتينة.
سيكون هذا الكتاب اكتشافًا ذا قيمة لأي مطور ، بغض النظر عن اللغة التي يستخدمها. سيكون من مصلحة جميع المهتمين بتطوير رمز عالي الجودة وموثوق وآمن. يوضح الكتاب بوضوح العيوب الأكثر شيوعًا وخطورة للعديد من اللغات في وقت واحد (C ++ ، C # ، Java ، Ruby ، Python ، Perl ، PHP ، وما إلى ذلك) ؛ وكذلك تقنيات مجربة ومثبتة زمنياً لتخفيف هذه العيوب. تكفير عن خطايا الماضي ، وبعبارة أخرى. استخدم هذا الكتاب المقدس الآمن التصميم ولا تخطئ بعد الآن!
يستخدم قادة بعض شركات البرمجيات هذا الكتاب لإجراء تدريبات مداهمات - قبل البدء في تطوير برامج جديدة. يُلزم المطورين بالقراءة قبل البدء في العمل تلك الأقسام من هذا الكتاب والتي تؤثر على التقنيات التي يتعاملون معها. ينقسم الكتاب إلى أربعة أقسام: 1) خطايا برامج الويب ، 2) خطايا التطوير ، 3) خطايا التشفير ، 4) خطايا الشبكة.