Ceux qui auraient été surnommés cyberpunks auparavant, se disent aujourd'hui plus politiquement corrects: DevSecOps. Vous vous souvenez de "tout le spectre de l'arc-en-ciel" du légendaire film "Hackers"? 1) Vert (environnement UNIX mondial); 2) orange vif (critères de protection des données informatiques selon les normes DOD); 3) une chemise rose (livre de référence IBM; surnommé cela à cause d'une stupide chemise rose sur un paysan de la couverture); 4) le livre du diable (bible UNIX); 5) livre de dragon (développement du compilateur); 6) le livre rouge (réseaux de l'administration de la sécurité nationale; connu comme le livre rouge vil, qui n'a pas sa place sur l'étagère).
Après avoir revu ce film légendaire, je me suis demandé: que liraient aujourd'hui les cyberpunks du passé, devenus DevSecOps à notre époque? Et nous avons obtenu une version mise à jour et plus moderne de ce spectre arc-en-ciel:
- Violet (manuel du pirate APT)
- Noir (cyber-non-sécurité d'entreprise)
- Rouge (Manuel de l'Armée rouge)
- Livre d'un bison (culture de la culture DevOps dans la communauté des développeurs; ainsi nommé à cause de la bête de la couverture)
- Web jaune (jaune, au sens d'actualité, une sélection de vulnérabilités du World Wide Web)
- Brown (livre du cordonnier)
- Le livre de la rétribution (Bible Safe Code Development)
1. Violet (manuel du pirate APT)
Ce livre est écrit dans un seul but: démontrer qu'il n'y a pas de systèmes sécurisés dans le monde. De plus, il est écrit du point de vue du criminel, sans aucun compromis. L'auteur démontre sans vergogne les réalités modernes de la cyber-non-sécurité, et sans dissimulation partage les détails les plus intimes du piratage APT. Sans aucune allusion à la pointe des pieds autour et autour de sujets litigieux, de peur d'attirer une attention répréhensible. Pourquoi est-ce d'un point de vue criminel sans compromis? Parce que l'auteur est sûr que ce n'est que de cette manière que nous pourrons vraiment «reconnaître notre ennemi à vue», comme Sun Tzu l'a conseillé dans son livre «L'Art de la guerre». Et parce que l'auteur est également sûr que sans cette connaissance, il est impossible de développer une protection efficace contre les cybermenaces.
Le livre décrit l'état d'esprit, les outils et les compétences du pirate APT - qui lui permettent de pirater absolument n'importe quelle organisation, quel que soit le type de système de sécurité qui y est déployé. Avec une démonstration d'exemples réels de piratage, pour la mise en œuvre desquels un budget modeste et des compétences techniques modestes suffisent largement.
Pour lutter contre les criminels traditionnels dans n'importe quel État, il existe des plans bien établis. Cependant, dans le cyberespace, les criminels intelligents sont insaisissables. Par conséquent, les dures réalités de l'ère moderne de la technologie numérique sont telles que quiconque se connecte à Internet est constamment attaqué, à la maison comme au travail. Vous n'êtes peut-être pas au courant de ce rapport, mais lorsque vous avez laissé Internet, un ordinateur, un téléphone portable, Facebook, Twitter ou quelque chose comme ça dans votre vie, vous avez ainsi rejoint la guerre. Que vous le vouliez ou non, vous êtes déjà parmi les soldats de cette guerre.
Même si vous «n'avez pas de données précieuses», vous pouvez facilement devenir une victime accidentelle. Sans oublier le fait que le criminel peut utiliser votre équipement numérique dans ses affaires sombres: piratage de mot de passe, spamming, support d'attaques DDoS, etc. Le monde d'aujourd'hui est devenu un terrain de jeu - pour ceux qui connaissent la haute technologie et qui aiment enfreindre les règles. Et la place du roi de la colline dans ce jeu est occupée par les hackers APT, dont le manifeste se résume aux mots suivants: «Nous sommes des super-héros, des invisibles et des néo de la matrice. Nous pouvons nous déplacer silencieusement et silencieusement. Manipulez tout ce que nous souhaitons. Partout où nous voulons aller. Il n'y a aucune information que nous n'avons pas pu obtenir. Nous volons avec confiance là où les autres ne peuvent que ramper. "
2. Noir (cyber-non-sécurité d'entreprise)
Le livre fournit un schéma visuel flexible pour gérer tous les aspects du programme de cybersécurité d'entreprise (CCP), dans lequel l'ensemble du CCP est divisé en 11 domaines fonctionnels et 113 aspects thématiques. Ce schéma est très pratique pour la conception, le développement, la mise en œuvre, le suivi et l'évaluation des PDA. Il est également très pratique pour la gestion des risques. Le programme est universel et facilement adaptable aux besoins des organisations de toutes tailles. Le livre souligne que l'invulnérabilité absolue est fondamentalement inaccessible. Parce qu'il a un temps de réserve illimité, un attaquant entreprenant peut enfin vaincre même la cyberdéfense la plus avancée. Par conséquent, l'efficacité du PCC n'est pas évaluée dans des catégories absolues, mais dans des catégories relatives, par deux indicateurs relatifs: la rapidité avec laquelle il vous permet de détecter les cyberattaques et la durée pendant laquelle il vous permet de restreindre l'assaut de l'ennemi. Plus ces indicateurs sont bons, plus les spécialistes à temps plein ont le temps d'évaluer la situation et de prendre des contre-mesures.
Le livre décrit en détail tous les acteurs à tous les niveaux de responsabilité. Explique comment appliquer le schéma CPC proposé pour combiner divers services, des budgets modestes, des processus d'entreprise et une cyber-infrastructure vulnérable dans un PDA rentable qui peut résister à des cyber-attaques avancées; et capable de réduire considérablement les dommages en cas de panne. Un PDA rentable, qui prend en compte le budget limité alloué pour assurer la cybersécurité et qui aide à trouver les compromis nécessaires qui sont optimaux pour votre organisation. Prise en compte des activités opérationnelles quotidiennes et des tâches stratégiques à long terme.
Lors de la première connaissance du livre, les propriétaires de petites et moyennes entreprises avec des budgets limités peuvent trouver que pour eux le programme PDA présenté dans le livre n'est pas abordable pour eux, mais en revanche est généralement inutilement lourd. Et en effet: toutes les entreprises ne peuvent pas se permettre de prendre en compte tous les éléments d'un programme CPC complet. Lorsque le directeur général est également directeur financier, secrétaire, service de support technique, un CCP à part entière n'est clairement pas pour lui. Cependant, à un degré ou à un autre, toute entreprise doit résoudre le problème de la cybersécurité, et si vous lisez attentivement le livre, vous pouvez voir que le schéma PDA présenté est facilement adaptable aux besoins de même la plus petite entreprise. Il convient donc aux entreprises de toutes tailles.
La cybersécurité est aujourd'hui un domaine très problématique. Assurer la cybersécurité commence par une compréhension approfondie de ses composants. Cette compréhension à elle seule est la première étape sérieuse vers la cybersécurité. Comprendre où commencer à fournir la cybersécurité, comment continuer et ce qu'il faut améliorer est quelques étapes plus sérieuses pour y parvenir. Ces quelques étapes sont présentées dans le livre et le schéma PDA vous permet de le faire. Elle mérite l'attention parce que les auteurs du livre - des experts reconnus en cybersécurité qui ont déjà combattu à la pointe de la cybersécurité contre les pirates informatiques d'APT - défendant les intérêts du gouvernement, de l'armée et des entreprises à différentes époques.
3. Rouge (Manuel de l'Armée rouge)
RTFM est une référence détaillée pour les représentants sérieux de l'équipe rouge. RTFM fournit la syntaxe de base pour les outils de ligne de commande de base (pour Windows et Linux). Des options originales pour leur utilisation sont également présentées, en combinaison avec des outils puissants tels que Python et Windows PowerShell. RTFM vous fera économiser beaucoup de temps et d'efforts encore et encore - éliminant le besoin de se rappeler / rechercher les nuances du système d'exploitation difficiles à retenir associées à des outils tels que Windwos WMIC, les outils de ligne de commande DSQUERY, les valeurs de clé de registre, la syntaxe du Planificateur de tâches, Windows - scripts, etc. De plus, plus important encore, RTFM aide son lecteur à adopter les techniques les plus avancées de l'Armée rouge.
4. Livre de bisons (culture de la culture DevOps dans la communauté des développeurs; ainsi nommé à cause de la bête de la couverture)
Le plus réussi du manuel existant sur la formation de la culture DevOps d'entreprise. DevOps est ici considéré comme une nouvelle façon de penser et de travailler, vous permettant de former des «équipes intelligentes». Les «équipes intelligentes» diffèrent des autres en ce que leurs membres comprennent les particularités de leur façon de penser et appliquent cette compréhension au profit d’eux-mêmes et de leur cause. Cette capacité des «équipes intelligentes» se développe à la suite de la pratique systématique de la ToM (théorie de l'esprit; la science de la conscience de soi). Le composant ToM de la culture DevOps vous permet de reconnaître vos forces - les vôtres et celles de vos collègues; vous permet d'améliorer votre compréhension de vous-même et des autres. En conséquence, la capacité des gens à coopérer et à faire preuve d'empathie augmente. Les organisations avec une culture DevOps développée sont moins susceptibles de faire des erreurs et de récupérer plus rapidement après des échecs. Les employés de ces organisations se sentent plus heureux. Et les gens heureux, comme vous le savez, sont plus productifs. Par conséquent, l'objectif de DevOps est de développer une compréhension mutuelle et des objectifs communs, vous permettant d'établir des relations de travail durables et solides entre les employés individuels et des services entiers.
La culture DevOps est une sorte de cadre propice au partage d'expériences pratiques précieuses et au développement de l'empathie entre les employés. DevOps est un tissu culturel tissé à partir de trois fils: l'exécution continue des tâches, le développement des compétences professionnelles et l'auto-amélioration personnelle. Ce tissu culturel «enveloppe» à la fois les employés individuels et des services entiers, leur permettant de se développer de manière efficace et continue de manière professionnelle et personnelle. DevOps aide à sortir de «l'ancienne approche» (la culture des reproches et la recherche des coupables) et à arriver à une «nouvelle approche» (en utilisant les inévitables erreurs non pas pour blâmer, mais pour apprendre des leçons pratiques). En conséquence, la transparence et la confiance dans l'équipe augmentent, ce qui est très bénéfique pour la capacité des membres de l'équipe à coopérer les uns avec les autres. Ceci est le résumé du livre.
5. Le web jaune (jaune, au sens d'actualité, une sélection de vulnérabilités du web)
Il y a à peine 20 ans, Internet était aussi simple qu'inutile. C'était un mécanisme bizarre permettant à une petite poignée d'étudiants et de geeks de visiter les pages d'accueil de chacun. La grande majorité de ces pages étaient consacrées à la science, aux animaux de compagnie et à la poésie.
Les défauts architecturaux et les lacunes dans la mise en œuvre du World Wide Web, que nous devons supporter aujourd'hui - sont des frais de recul historique. Après tout, c'était une technologie qui n'a jamais aspiré au statut mondial qu'elle a aujourd'hui. En conséquence, nous avons aujourd'hui une cyber-infrastructure très vulnérable: il s'est avéré que les normes, la conception et les protocoles du World Wide Web, qui étaient suffisants pour les pages d'accueil avec des hamsters dansants, sont complètement inadéquats, par exemple, pour une boutique en ligne qui traite des millions de transactions par carte de crédit chaque année.
En regardant en arrière au cours des deux dernières décennies, il est difficile de ne pas être déçu: presque tous les types d'applications Web utiles développées à ce jour ont été forcés de payer un prix sanglant pour le recul des architectes d'hier du World Wide Web. Non seulement Internet s'est révélé beaucoup plus demandé que prévu, mais nous avons également fermé les yeux sur certaines de ses caractéristiques inconfortables qui dépassaient notre zone de confort. Et ce serait bien de fermer les yeux dans le passé - nous continuons de les fermer maintenant ... De plus, même des applications Web très bien conçues et soigneusement testées ont encore beaucoup plus de problèmes que leurs homologues hors réseau.
Donc, nous avons cassé du bois de chauffage dans l'ordre. Il est temps de se repentir. Aux fins d'un tel repentir, ce livre a été écrit. Il s'agit du premier ouvrage du genre (et actuellement le meilleur du genre) qui propose une analyse systématique et approfondie de l'état de sécurité actuel des applications Web. Pour un si petit volume du livre, le nombre de nuances qui y sont discutées est tout simplement écrasant. De plus, les ingénieurs en sécurité à la recherche de solutions rapides se réjouiront de la présence de cheat sheet, qui se trouvent à la fin de chaque section. Ces feuilles de triche décrivent des approches efficaces pour résoudre les problèmes les plus urgents rencontrés par un développeur d'applications Web.
6. Brown (livre du tireur)
L'un des livres les plus intéressants publiés au cours de la dernière décennie. Son message peut se résumer comme suit: "Donnez un exploit à la personne et vous en ferez un pirate informatique pendant un jour, apprenez-lui à exploiter les erreurs - et il restera un pirate informatique à vie." En lisant The Fighter’s Diary, vous suivrez un expert en cybersécurité qui identifie les erreurs et les exploite dans les applications les plus populaires d'aujourd'hui. Tels que Apple iOS, le lecteur multimédia VLC, les navigateurs Web et même le cœur de Mac OS X. En lisant ce livre unique, vous acquerrez une connaissance technique approfondie et une compréhension de l'approche des pirates face aux problèmes insolubles; et à quel point ils sont extatiques en train de chasser les insectes.
Dans le livre, vous apprendrez: 1) comment utiliser des méthodes éprouvées pour trouver des bogues, telles que le suivi des entrées des utilisateurs et la rétro-ingénierie; 2) comment exploiter les vulnérabilités, telles que le déréférencement de pointeurs NULL, le dépassement de tampon, les failles de conversion de type; 3) comment écrire du code qui démontre l'existence d'une vulnérabilité; 4) comment informer correctement les fournisseurs des bogues identifiés dans leur logiciel. Le journal des bogues est parsemé d'exemples réels de code vulnérable et de programmes de création conçus pour faciliter le processus de recherche de bogues.
Quelle que soit la raison pour laquelle vous recherchez des insectes, que ce soit le divertissement, les gains ou le désir altruiste de faire du monde un endroit plus sûr, ce livre vous aidera à développer de précieuses compétences, car avec lui, vous regardez par-dessus l'épaule d'un combattant professionnel, sur l'écran de son moniteur , et aussi dans sa tête. Ceux qui connaissent le langage de programmation C / C ++ et l'assembleur x86 tireront le meilleur parti du livre.
7. Le livre de la rétribution (la Bible est un développement sûr du code)
Aujourd'hui, tout développeur de logiciel doit simplement avoir les compétences nécessaires pour écrire du code sécurisé. Non pas parce que c'est à la mode, mais parce que la faune du cyberespace est assez hostile. Nous voulons tous que nos programmes soient fiables. Mais ils ne le seront que si nous prenons soin de leur cybersécurité.
Nous payons toujours les péchés de cyber-non-sécurité commis par le passé. Et nous serons condamnés à les payer davantage si nous n’apprenons pas de notre riche histoire de développement de logiciels bâclé. Ce livre révèle 24 points fondamentaux - très inconfortable pour les développeurs de logiciels. Mal à l'aise dans le sens où les développeurs autorisent presque toujours de graves failles dans ces moments. Le livre fournit des conseils pratiques sur la façon d'éviter ces 24 failles graves lors du développement de logiciels et sur la façon de tester les failles existantes des logiciels déjà existants écrits par d'autres personnes. L'histoire du livre est simple, accessible et solide.
Ce livre sera une découverte précieuse pour tout développeur, quelle que soit la langue qu'il utilise. Il intéressera tous ceux qui souhaitent développer un code de haute qualité, fiable et sécurisé. Le livre montre clairement les failles les plus courantes et dangereuses pour plusieurs langages à la fois (C ++, C #, Java, Ruby, Python, Perl, PHP, etc.); ainsi que des techniques éprouvées et éprouvées pour atténuer ces défauts. Expier les péchés passés, en d'autres termes. Utilisez cette Bible au design sûr et ne péchez plus!
Les dirigeants de certaines sociétés de logiciels utilisent ce livre pour mener des formations éclair - juste avant de commencer à développer de nouveaux logiciels. Ils obligent les développeurs à lire avant de commencer à travailler les sections de ce livre qui affectent les technologies auxquelles ils doivent faire face. Le livre est divisé en quatre sections: 1) les péchés du logiciel web, 2) les péchés du développement, 3) les péchés cryptographiques, 4) les péchés du réseau.