Diejenigen, die früher als Cyberpunks bezeichnet worden wären, nennen sich heute politisch korrekter: DevSecOps. Erinnern Sie sich an "das ganze Spektrum des Regenbogens" aus dem legendären Film "Hackers"? 1) Grün (weltweite UNIX-Umgebung); 2) leuchtendes Orange (Computer-Datenschutzkriterien gemäß DOD-Standards); 3) ein rosa Hemd (IBM Nachschlagewerk; Spitzname wegen eines dummen rosa Hemdes auf einem Bauern vom Umschlag); 4) das Buch des Teufels (Bibel UNIX); 5) Drachenbuch (Compilerentwicklung); 6) das Rote Buch (Netzwerke der nationalen Sicherheitsverwaltung; bekannt als das abscheuliche Rote Buch, das keinen Platz im Regal hat).
Nachdem ich diesen legendären Film noch einmal durchgesehen hatte, fragte ich mich: Was würden Cyberpunks der Vergangenheit heute lesen, die in unserer Zeit zu DevSecOps geworden sind? Und wir haben eine aktualisierte, modernere Version dieses Regenbogenspektrums erhalten:
- Violett (APT Hacker Handbuch)
- Schwarz (Cyber-Nicht-Sicherheit von Unternehmen)
- Rot (Red Army Handbook)
- Buch eines Bisons (Kultivierung der DevOps-Kultur in der Community der Entwickler; so genannt wegen des Tieres vom Cover)
- Gelbes Netz (gelb im Sinne von aktuell, eine Auswahl von Schwachstellen des World Wide Web)
- Brown (Buch des Schuster)
- Das Buch der Vergeltung (Bible Safe Code Development)
1. Violett (APT Hacker Handbuch)
Dieses Buch wurde für einen einzigen Zweck geschrieben: um zu demonstrieren, dass es keine sicheren Systeme auf der Welt gibt. Darüber hinaus ist es aus Sicht des Verbrechers ohne Kompromisse geschrieben. Der Autor demonstriert schamlos die modernen Realitäten der Cyber-Nicht-Sicherheit und teilt ohne Verschleierung die intimsten Details des APT-Hacking. Ohne einen Hinweis darauf, auf Zehenspitzen um und um umstrittene Themen herumzugehen, aus Angst, verwerfliche Aufmerksamkeit zu erregen. Warum ist es aus kompromisslos krimineller Sicht? Denn der Autor ist sich sicher, dass wir nur so unseren Feind wirklich am Sehen erkennen können, wie Sun Tzu in seinem Buch „The Art of War“ geraten hat. Und weil der Autor auch sicher ist, dass es ohne dieses Wissen unmöglich ist, einen wirksamen Schutz gegen Cyber-Bedrohungen zu entwickeln.
Das Buch beschreibt die Denkweise, Tools und Fähigkeiten des APT-Hackers, die es ihm ermöglichen, sich in absolut jede Organisation zu hacken, unabhängig davon, welche Art von Sicherheitssystem dort eingesetzt wird. Mit einer Demonstration realer Beispiele für Hacking, für deren Umsetzung ein bescheidenes Budget und bescheidene technische Fähigkeiten völlig ausreichen.
Um traditionelle Kriminelle in jedem Staat zu bekämpfen, gibt es gut etablierte Systeme. Im Cyberspace sind intelligente Kriminelle jedoch schwer fassbar. Daher sind die harten Realitäten der modernen Ära der digitalen Technologie so, dass jeder, der sich mit dem Internet verbindet, sowohl zu Hause als auch bei der Arbeit ständig angegriffen wird. Sie kennen diesen Bericht vielleicht nicht, aber wenn Sie das Internet, einen Computer, ein Mobiltelefon, Facebook, Twitter oder ähnliches in Ihr Leben lassen, sind Sie dem Krieg beigetreten. Ob Sie es wollen oder nicht, Sie gehören bereits zu den Soldaten dieses Krieges.
Selbst wenn Sie „keine wertvollen Daten haben“, können Sie leicht ein versehentliches Opfer werden. Ganz zu schweigen von der Tatsache, dass der Kriminelle Ihre digitalen Geräte in seinen dunklen Angelegenheiten verwenden kann: Knacken von Passwörtern, Spam, Unterstützung für DDoS-Angriffe usw. Die heutige Welt hat sich zu einem Spielplatz entwickelt - für diejenigen, die sich mit Hochtechnologie auskennen und es lieben, die Regeln zu brechen. Und der Platz des Königs des Hügels in diesem Spiel wird von APT-Hackern eingenommen, deren Manifest sich auf die folgenden Worte beschränkt: „Wir sind Superhelden, Unsichtbare und Neo aus der Matrix. Wir können uns leise und leise bewegen. Manipulieren Sie alles, was wir wünschen. Wohin wir auch wollen. Es gibt keine Informationen, die wir nicht bekommen konnten. Wir fliegen sicher dorthin, wo andere nur kriechen können. "
2. Schwarz (Corporate Cyber-Non-Security)
Das Buch bietet ein flexibles visuelles Schema für die Verwaltung aller Aspekte des Corporate Cybersecurity-Programms (CCP), bei dem die gesamte CCP in 11 Funktionsbereiche und 113 Themenaspekte unterteilt ist. Dieses Schema ist sehr praktisch für das Design, die Entwicklung, Implementierung, Überwachung und Bewertung von PDAs. Es ist auch sehr praktisch für das Risikomanagement. Das Schema ist universell und leicht an die Bedürfnisse von Organisationen jeder Größe skalierbar. Das Buch betont, dass absolute Unverwundbarkeit grundsätzlich unerreichbar ist. Da ein unternehmungslustiger Angreifer unbegrenzte Zeit in Reserve hat, kann er endlich selbst die fortschrittlichste Cyber-Verteidigung überwinden. Daher wird die Wirksamkeit der KPCh nicht in absoluten, sondern in relativen Kategorien anhand von zwei relativen Indikatoren bewertet: Wie schnell können Sie Cyber-Angriffe erkennen und wie lange können Sie den Angriff des Feindes eindämmen. Je besser diese Indikatoren sind, desto mehr Zeit haben Vollzeitspezialisten, um die Situation einzuschätzen und Gegenmaßnahmen zu ergreifen.
Das Buch beschreibt detailliert alle Akteure auf allen Verantwortungsebenen. Erläutert, wie das vorgeschlagene CPC-Schema angewendet werden kann, um verschiedene Abteilungen, bescheidene Budgets, Geschäftsprozesse von Unternehmen und anfällige Cyber-Infrastrukturen zu einem kostengünstigen PDA zu kombinieren, der fortgeschrittenen Cyber-Angriffen standhält. und in der Lage, den Schaden im Falle eines Ausfalls erheblich zu reduzieren. Ein kostengünstiger PDA, der das begrenzte Budget berücksichtigt, das zur Gewährleistung der Cybersicherheit bereitgestellt wird, und der dabei hilft, die für Ihr Unternehmen optimalen Kompromisse zu finden. Berücksichtigung der täglichen operativen Aktivitäten und langfristigen strategischen Aufgaben.
Bei der ersten Bekanntschaft mit dem Buch stellen Eigentümer kleiner und mittlerer Unternehmen mit begrenztem Budget möglicherweise fest, dass das in dem Buch vorgestellte PDA-System für sie nicht erschwinglich ist, andererseits jedoch im Allgemeinen unnötig umständlich ist. Und tatsächlich: Nicht alle Unternehmen können es sich leisten, alle Elemente eines umfassenden CPC-Programms zu berücksichtigen. Wenn der Generaldirektor auch Finanzdirektor, Sekretär und technischer Support ist, ist eine vollwertige KPCh eindeutig nichts für ihn. Bis zu dem einen oder anderen Grad muss jedoch jedes Unternehmen das Problem der Cybersicherheit lösen. Wenn Sie das Buch sorgfältig lesen, können Sie feststellen, dass das vorgestellte PDA-Schema leicht an die Bedürfnisse selbst des kleinsten Unternehmens angepasst werden kann. So ist es für Unternehmen jeder Größe geeignet.
Cybersicherheit ist heute ein sehr problematischer Bereich. Die Gewährleistung der Cybersicherheit beginnt mit einem umfassenden Verständnis ihrer Komponenten. Dieses Verständnis allein ist der erste ernsthafte Schritt in Richtung Cybersicherheit. Zu verstehen, wo mit der Bereitstellung von Cybersicherheit begonnen werden soll, wie fortgefahren werden kann und was verbessert werden kann, ist ein paar ernstere Schritte, um dies sicherzustellen. Diese wenigen Schritte werden im Buch vorgestellt, und das PDA-Schema ermöglicht es Ihnen, dies zu tun. Es verdient Aufmerksamkeit, da die Autoren des Buches anerkannte Cybersicherheitsexperten sind, die jemals an der Spitze der Cybersicherheit gegen APT-Hacker gekämpft haben und zu unterschiedlichen Zeiten Regierungs-, Militär- und Unternehmensinteressen verteidigten.
3. Rot (Red Army Handbook)
RTFM ist eine detaillierte Referenz für ernsthafte Vertreter des roten Teams. RTFM bietet die grundlegende Syntax für die grundlegenden Befehlszeilentools (für Windows und Linux). In Kombination mit leistungsstarken Tools wie Python und Windows PowerShell werden auch originelle Optionen für ihre Verwendung vorgestellt. Mit RTFM sparen Sie immer wieder viel Zeit und Mühe. Sie müssen sich nicht mehr an die schwer zu merkenden Betriebssystemnuancen erinnern / suchen, die mit Tools wie Windwos WMIC, DSQUERY-Befehlszeilentools, Registrierungsschlüsselwerten, Taskplaner-Syntax und Windows verbunden sind. Skripte usw. Noch wichtiger ist, dass RTFM dem Leser hilft, die fortschrittlichsten Techniken der Roten Armee anzuwenden.
4. Bison-Buch (Kultivierung der DevOps-Kultur in der Entwicklergemeinschaft; so genannt wegen des Tieres vom Cover)
Das erfolgreichste der bestehenden Handbücher zur Bildung der DevOps-Unternehmenskultur. Hier wird DevOps als eine neue Art des Denkens und Arbeitens angesehen, mit der Sie „intelligente Teams“ bilden können. „Intelligente Teams“ unterscheiden sich von anderen darin, dass ihre Mitglieder die Besonderheiten ihrer Denkweise verstehen und dieses Verständnis zum Nutzen ihrer selbst und ihrer Sache anwenden. Diese Fähigkeit von „intelligenten Teams“ entwickelt sich aus der systematischen Praxis von ToM (Theory of Mind; Wissenschaft des Selbstbewusstseins). Mit der ToM-Komponente der DevOps-Kultur können Sie Stärken erkennen - Ihre und Ihre Kollegen. ermöglicht es Ihnen, das Verständnis für sich selbst und andere zu verbessern. Infolgedessen nimmt die Fähigkeit der Menschen zu, miteinander zu kooperieren und sich in sie hineinzuversetzen. Unternehmen mit einer entwickelten DevOps-Kultur machen seltener Fehler und erholen sich nach Fehlern schneller. Die Mitarbeiter dieser Organisationen fühlen sich glücklicher. Und glückliche Menschen sind, wie Sie wissen, produktiver. Daher ist es das Ziel von DevOps, ein gegenseitiges Verständnis und gemeinsame Ziele zu entwickeln, damit Sie langfristige und enge Arbeitsbeziehungen zwischen einzelnen Mitarbeitern und ganzen Abteilungen aufbauen können.
Die DevOps-Kultur ist eine Art Rahmen, der dazu beiträgt, wertvolle praktische Erfahrungen auszutauschen und Empathie zwischen den Mitarbeitern zu entwickeln. DevOps ist ein kulturelles Gefüge, das aus drei Fäden besteht: kontinuierliche Erfüllung von Aufgaben, Entwicklung beruflicher Kompetenzen und persönliche Selbstverbesserung. Dieses kulturelle Gefüge „umhüllt“ sowohl einzelne Mitarbeiter als auch ganze Abteilungen und ermöglicht ihnen, sich beruflich und persönlich effizient und kontinuierlich weiterzuentwickeln. DevOps hilft dabei, sich vom „alten Ansatz“ (der Kultur der Vorwürfe und der Suche nach Schuldigen) zu lösen und zu einem „neuen Ansatz“ zu gelangen (indem die unvermeidlichen Fehler nicht zum Beschuldigen, sondern zum Lernen praktischer Lektionen verwendet werden). Infolgedessen steigt die Transparenz und das Vertrauen in das Team, was sich sehr positiv auf die Fähigkeit der Teammitglieder auswirkt, miteinander zu kooperieren. Dies ist die Zusammenfassung des Buches.
5. Das gelbe Netz (gelb, im Sinne von aktuell, eine Auswahl von Schwachstellen des World Wide Web)
Noch vor 20 Jahren war das Internet so einfach wie nutzlos. Es war ein bizarrer Mechanismus, der es einer kleinen Handvoll Studenten und Geeks ermöglichte, die Homepages des anderen zu besuchen. Die überwiegende Mehrheit dieser Seiten war Wissenschaft, Haustieren und Gedichten gewidmet.
Architektonische Mängel und Mängel bei der Implementierung des World Wide Web, die wir heute in Kauf nehmen müssen, sind Gebühren für den historischen Rückblick. Immerhin war es eine Technologie, die nie den globalen Status anstrebte, den sie heute hat. Infolgedessen verfügen wir heute über eine sehr anfällige Cyber-Infrastruktur: Wie sich herausstellte, sind die Standards, das Design und die Protokolle des World Wide Web, die für Homepages mit tanzenden Hamstern ausreichten, beispielsweise für einen Online-Shop, der jährlich Millionen von Kreditkartentransaktionen abwickelt, völlig unzureichend.
Rückblickend auf die letzten zwei Jahrzehnte ist es schwer, nicht enttäuscht zu werden: Fast jede Art von nützlicher Webanwendung, die bis heute entwickelt wurde, musste im Nachhinein der gestrigen Architekten des World Wide Web einen blutigen Preis zahlen. Das Internet war nicht nur viel gefragter als erwartet, sondern wir haben auch einige seiner unangenehmen Eigenschaften ignoriert, die über unsere Komfortzone hinausgingen. Und es wäre in Ordnung, in der Vergangenheit ein Auge zuzuwenden - wir schließen sie jetzt weiter ... Darüber hinaus haben selbst sehr gut gestaltete und sorgfältig getestete Webanwendungen immer noch viel mehr Probleme als ihre Nicht-Netzwerk-Gegenstücke.
Also haben wir Brennholz in Ordnung gebracht. Es ist Zeit zu bereuen. Zum Zweck dieser Reue wurde dieses Buch geschrieben. Dies ist das erste seiner Art (und derzeit das beste seiner Art), das eine systematische und gründliche Analyse des aktuellen Sicherheitsstatus von Webanwendungen bietet. Für einen so relativ kleinen Band des Buches ist die Anzahl der darin diskutierten Nuancen einfach überwältigend. Darüber hinaus freuen sich Sicherheitsingenieure, die nach schnellen Lösungen suchen, über das Vorhandensein von Spickzettel, die am Ende jedes Abschnitts zu finden sind. Diese Spickzettel beschreiben effektive Ansätze zur Lösung der dringendsten Probleme, mit denen ein Webanwendungsentwickler konfrontiert ist.
6. Brown (Buch des Fechters)
Eines der interessantesten Bücher, die im letzten Jahrzehnt veröffentlicht wurden. Ihre Botschaft kann mit den folgenden Worten zusammengefasst werden: "Geben Sie der Person einen Exploit, und Sie werden sie für einen Tag zum Hacker machen, sie lehren, Fehler auszunutzen - und er wird ein Hacker fürs Leben bleiben." Während Sie The Fighter's Diary lesen, folgen Sie einem praktizierenden Cybersicherheitsexperten, der Fehler identifiziert und in den beliebtesten Anwendungen von heute ausnutzt. Wie Apple iOS, VLC-Media Player, Webbrowser und sogar der Kern von Mac OS X. Wenn Sie dieses einzigartige Buch dieser Art lesen, erhalten Sie tiefes technisches Wissen und Verständnis darüber, wie Hacker mit hartnäckigen Problemen umgehen. und wie begeistert sie sind, wenn sie nach Insekten suchen.
Aus dem Buch lernen Sie: 1) wie Sie bewährte Methoden zum Auffinden von Fehlern verwenden, z. B. das Verfolgen von Benutzereingaben und das Reverse Engineering; 2) wie Schwachstellen ausgenutzt werden können, wie z. B. Dereferenzierung von NULL-Zeigern, Pufferüberlauf, Fehler bei der Typkonvertierung; 3) wie man Code schreibt, der das Vorhandensein einer Sicherheitsanfälligkeit demonstriert; 4) wie man Anbieter korrekt über in ihrer Software identifizierte Fehler benachrichtigt. Das Bugbug-Tagebuch ist mit echten Beispielen für anfälligen Code und Authoring-Programmen übersät, die das Auffinden von Bugs erleichtern sollen.
Für welchen Zweck auch immer Sie nach Fehlern suchen, sei es Unterhaltung, Einkommen oder der altruistische Wunsch, die Welt sicherer zu machen, dieses Buch hilft Ihnen dabei, wertvolle Fähigkeiten zu entwickeln, denn mit seiner Hilfe schauen Sie einem professionellen Trottel auf dem Bildschirm seines Monitors über die Schulter und auch in seinem Kopf. Diejenigen, die mit der Programmiersprache C / C ++ und dem x86-Assembler vertraut sind, werden das Beste aus dem Buch herausholen.
7. Das Buch der Vergeltung (Die Bibel ist eine sichere Codeentwicklung)
Heutzutage muss jeder Softwareentwickler lediglich über die Fähigkeiten verfügen, sicheren Code zu schreiben. Nicht weil es in Mode ist, sondern weil die Tierwelt des Cyberspace ziemlich unfreundlich ist. Wir alle möchten, dass unsere Programme zuverlässig sind. Dies wird jedoch nicht der Fall sein, wenn wir uns nicht um ihre Cybersicherheit kümmern.
Wir zahlen immer noch für die Sünden der Cyber-Nicht-Sicherheit, die in der Vergangenheit begangen wurden. Und wir werden dazu verdammt sein, sie weiter zu bezahlen, wenn wir nicht aus unserer reichen Geschichte schlampiger Softwareentwicklung lernen. Dieses Buch enthüllt 24 grundlegende Punkte - sehr unangenehm für Softwareentwickler. Unbequem in dem Sinne, dass Entwickler in diesen Momenten fast immer schwerwiegende Fehler zulassen. Das Buch enthält praktische Tipps, wie Sie diese 24 schwerwiegenden Fehler bei der Entwicklung von Software vermeiden und auf vorhandene Fehler testen können, die bereits von anderen Personen geschrieben wurden. Die Geschichte des Buches ist einfach, zugänglich und solide.
Dieses Buch ist ein wertvoller Fund für jeden Entwickler, unabhängig von der Sprache, die er verwendet. Es wird für alle von Interesse sein, die an der Entwicklung von qualitativ hochwertigem, zuverlässigem und sicherem Code interessiert sind. Das Buch zeigt deutlich die häufigsten und gefährlichsten Fehler für mehrere Sprachen gleichzeitig (C ++, C #, Java, Ruby, Python, Perl, PHP usw.). sowie bewährte und bewährte Techniken zur Minderung dieser Mängel. Mit anderen Worten, Sühne für vergangene Sünden. Verwenden Sie diese Bibel mit sicherem Design und sündigen Sie nicht mehr!
Die Führungskräfte einiger Softwareunternehmen verwenden dieses Buch, um Blitz-Schulungen durchzuführen - kurz bevor sie mit der Entwicklung neuer Software beginnen. Sie verpflichten die Entwickler, vor Beginn der Arbeit die Abschnitte aus diesem Buch zu lesen, die sich auf die Technologien auswirken, mit denen sie sich befassen müssen. Das Buch ist in vier Abschnitte unterteilt: 1) die Sünden der Web-Software, 2) die Sünden der Entwicklung, 3) kryptografische Sünden, 4) Netzwerksünden.