Mereka yang sebelumnya dijuluki sebagai cyberpunks, sekarang menyebut diri mereka lebih benar secara politis: DevSecOps. Ingat "seluruh spektrum pelangi," dari film legendaris "Hackers"? 1) Hijau (lingkungan UNIX di seluruh dunia); 2) oranye terang (kriteria perlindungan data komputer sesuai dengan standar DOD); 3) kemeja merah muda (buku referensi IBM; dijuluki ini karena kemeja merah muda bodoh pada petani dari sampul); 4) kitab iblis (bible UNIX); 5) buku naga (pengembangan kompiler); 6) buku merah (jaringan administrasi keamanan nasional; dikenal sebagai buku merah keji, yang tidak memiliki tempat di rak).
Setelah meninjau sekali lagi film legendaris ini, saya bertanya pada diri sendiri: apa yang akan dibaca oleh cyberpunks masa lalu hari ini, yang telah menjadi DevSecOps di zaman kita? Dan kami mendapatkan versi terbaru dari spektrum pelangi yang diperbarui ini:
- Violet (manual peretas APT)
- Hitam (cyber-non-keamanan perusahaan)
- Merah (Buku Pegangan Tentara Merah)
- Book of a bison (budidaya budaya DevOps di komunitas pengembang; dinamakan demikian karena binatang buas dari sampulnya)
- Web kuning (kuning, dalam arti topikal, pilihan kerentanan web di seluruh dunia)
- Brown (buku tukang sepatu)
- Buku Retribusi (Pengembangan Kode Aman Alkitab)
1. Violet (manual peretas APT)
Buku ini ditulis untuk satu tujuan: untuk menunjukkan bahwa tidak ada sistem yang aman di dunia. Selain itu, ditulis dari sudut pandang penjahat, tanpa kompromi. Penulis tanpa malu menunjukkan realitas modern dari cyber-non-security, dan tanpa menyembunyikan berbagi detail paling intim dari peretasan APT. Tanpa sedikit pun berjingkat-jingkat di sekitar dan sekitar topik yang kontroversial, karena takut menarik perhatian yang tercela. Mengapa dari sudut pandang kriminal tanpa kompromi? Karena penulis yakin bahwa hanya dengan cara ini kita dapat benar-benar "mengenali musuh kita dengan melihat", seperti yang disarankan Sun Tzu dalam bukunya "The Art of War". Dan karena penulis juga yakin bahwa tanpa pengetahuan ini tidak mungkin untuk mengembangkan perlindungan yang efektif terhadap ancaman cyber.
Buku ini menjelaskan pola pikir, alat, dan keterampilan peretas APT - yang memungkinkannya meretas organisasi apa pun, apa pun sistem keamanan yang digunakan di sana. Dengan demonstrasi contoh nyata peretasan, untuk implementasi yang anggarannya sederhana dan keterampilan teknis yang sederhana sudah cukup.
Untuk memerangi penjahat tradisional di negara bagian mana pun, ada skema yang sudah mapan. Namun, di dunia maya, penjahat pintar sulit dipahami. Oleh karena itu, kenyataan pahit dari era modern teknologi digital adalah sedemikian rupa sehingga siapa pun yang terhubung ke Internet, ia berada di bawah serangan konstan, baik di rumah maupun di tempat kerja. Anda mungkin tidak mengetahui laporan ini, tetapi ketika Anda membiarkan Internet, komputer, ponsel, Facebook, Twitter, atau sesuatu seperti itu masuk ke dalam hidup Anda, Anda ikut perang. Apakah Anda mau atau tidak, Anda sudah berada di antara para prajurit perang ini.
Bahkan jika Anda “tidak memiliki data berharga,” Anda dapat dengan mudah menjadi korban yang tidak disengaja. Belum lagi fakta bahwa penjahat dapat menggunakan peralatan digital Anda dalam urusannya yang gelap: peretas kata sandi, spamming, dukungan untuk serangan DDoS, dll. Dunia saat ini telah berubah menjadi taman bermain - bagi mereka yang berpengalaman dalam teknologi tinggi dan suka melanggar aturan. Dan tempat raja bukit dalam game ini ditempati oleh peretas APT, yang manifestonya bermuara pada kata-kata berikut: “Kami adalah pahlawan super, tidak terlihat dan Neo dari Matriks. Kita bisa bergerak diam dan diam. Memanipulasi semua yang kita inginkan. Kemana pun kita ingin pergi. Tidak ada informasi yang tidak bisa kami dapatkan. Kami terbang dengan percaya diri di mana orang lain hanya bisa merangkak. "
2. Hitam (cyber-non-security perusahaan)
Buku ini menyediakan skema visual yang fleksibel untuk mengelola semua aspek dari program cybersecurity perusahaan (CCP), di mana seluruh PKC dibagi menjadi 11 area fungsional dan 113 aspek subjek. Skema ini sangat nyaman untuk desain, pengembangan, implementasi, pemantauan dan evaluasi PDA. Ini juga sangat nyaman untuk manajemen risiko. Skema ini bersifat universal dan mudah disesuaikan dengan kebutuhan organisasi dalam berbagai ukuran. Buku ini menekankan bahwa kekebalan mutlak pada dasarnya tidak mungkin tercapai. Karena memiliki waktu tak terbatas sebagai cadangan, penyerang yang giat akhirnya dapat mengatasi pertahanan cyber yang paling canggih sekalipun. Oleh karena itu, efektivitas PKC dievaluasi bukan dalam kategori absolut, tetapi dalam relatif, dengan dua indikator relatif: seberapa cepat memungkinkan Anda untuk mendeteksi serangan cyber dan berapa lama memungkinkan Anda untuk menahan serangan musuh. Semakin baik indikator-indikator ini, semakin banyak waktu untuk spesialis penuh waktu untuk menilai situasi dan mengambil tindakan balasan.
Buku ini menjelaskan secara rinci semua aktor di semua tingkat tanggung jawab. Menjelaskan bagaimana menerapkan skema BPK yang diusulkan untuk menggabungkan beragam departemen, anggaran sederhana, proses bisnis perusahaan dan infrastruktur cyber yang rentan ke dalam PDA yang hemat biaya yang dapat menahan serangan cyber lanjutan; dan mampu secara signifikan mengurangi kerusakan jika terjadi kerusakan. PDA hemat biaya, yang memperhitungkan anggaran terbatas yang dialokasikan untuk memastikan keamanan siber dan yang membantu menemukan kompromi yang diperlukan yang optimal untuk organisasi Anda. Memperhatikan kegiatan operasional harian dan tugas strategis jangka panjang.
Setelah berkenalan dengan buku tersebut, pemilik usaha kecil dan menengah dengan anggaran terbatas mungkin menemukan bahwa bagi mereka skema PDA yang disajikan dalam buku itu tidak terjangkau bagi mereka, tetapi di sisi lain pada umumnya tidak rumit. Dan memang: tidak semua perusahaan mampu memperhitungkan semua elemen program BPK yang komprehensif. Ketika direktur umum juga seorang direktur keuangan, sekretaris, layanan dukungan teknis, PKC yang lengkap jelas bukan untuknya. Namun, pada tingkat tertentu, perusahaan mana pun harus menyelesaikan masalah keamanan siber, dan jika Anda membaca buku dengan seksama, Anda dapat melihat bahwa skema PDA yang disajikan mudah disesuaikan dengan kebutuhan bahkan perusahaan terkecil sekalipun. Jadi sangat cocok untuk perusahaan dari semua ukuran.
Keamanan dunia maya saat ini adalah bidang yang sangat bermasalah. Memastikan keamanan siber dimulai dengan pemahaman komprehensif tentang komponen-komponennya. Pemahaman ini saja merupakan langkah serius pertama menuju keamanan siber. Memahami di mana mulai menyediakan keamanan siber, bagaimana melanjutkan dan apa yang harus ditingkatkan adalah beberapa langkah lebih serius untuk memastikannya. Beberapa langkah ini disajikan dalam buku ini dan skema PDA memungkinkan Anda melakukannya. Dia layak mendapat perhatian karena penulis buku - mengakui ahli keamanan siber dunia yang pernah berjuang di garis depan keamanan siber dunia melawan peretas APT - membela kepentingan pemerintah, militer dan perusahaan pada waktu yang berbeda.
3. Merah (Buku Pegangan Tentara Merah)
RTFM adalah referensi terperinci untuk perwakilan serius tim merah. RTFM menyediakan sintaks dasar untuk alat-alat baris perintah dasar (untuk Windows dan Linux). Dan juga opsi orisinal untuk penggunaannya disajikan, dikombinasikan dengan alat-alat canggih seperti Python dan Windows PowerShell. RTFM akan menghemat banyak waktu dan upaya lagi dan lagi - menghilangkan kebutuhan untuk mengingat / mencari nuansa sistem operasi yang sulit diingat yang terkait dengan alat-alat seperti Windwos WMIC, alat baris perintah DSQUERY, nilai kunci registri, nilai kunci registri, sintaks Penjadwal Tugas, Windows- skrip, dll. Selain itu, yang lebih penting, RTFM membantu pembacanya untuk mengadopsi teknik Tentara Merah yang paling canggih.
4. Buku Bison (budidaya budaya DevOps di komunitas pengembang; dinamakan demikian karena binatang buas dari sampulnya)
Yang paling sukses dari manual yang ada tentang pembentukan budaya DevOps perusahaan. Di sini DevOps dipandang sebagai cara berpikir dan bekerja yang baru, memungkinkan Anda untuk membentuk "tim pintar". “Tim pintar” berbeda dari yang lain dalam hal anggota mereka memahami kekhasan cara berpikir mereka dan menerapkan pemahaman ini untuk kepentingan diri mereka sendiri dan tujuan mereka. Kemampuan "tim pintar" ini berkembang sebagai hasil praktik sistematis dari ToM (Theory of Mind; ilmu kesadaran diri). Komponen ToM dari budaya DevOps memungkinkan Anda mengenali kekuatan - milik Anda dan kolega Anda; memungkinkan Anda untuk meningkatkan pemahaman tentang diri sendiri dan orang lain. Akibatnya, kemampuan orang untuk bekerja sama dan berempati satu sama lain semakin meningkat. Organisasi dengan budaya DevOps yang dikembangkan cenderung membuat kesalahan dan lebih cepat pulih setelah kegagalan. Karyawan dari organisasi ini merasa lebih bahagia. Dan orang-orang yang bahagia, seperti yang Anda tahu, lebih produktif. Oleh karena itu, tujuan DevOps adalah untuk mengembangkan saling pengertian dan tujuan bersama, memungkinkan Anda untuk membangun hubungan kerja jangka panjang dan kuat antara karyawan individu dan seluruh departemen.
DevOps-culture adalah semacam kerangka kerja yang kondusif untuk berbagi pengalaman praktis yang berharga dan mengembangkan empati antara karyawan. DevOps adalah kain budaya yang dirajut dari tiga utas: kinerja tugas yang berkelanjutan, pengembangan kompetensi profesional dan peningkatan diri pribadi. Struktur budaya ini "menyelimuti" baik karyawan perorangan dan seluruh departemen, memungkinkan mereka untuk secara efisien dan terus-menerus mengembangkan secara profesional dan pribadi. DevOps membantu untuk melepaskan diri dari “pendekatan lama” (budaya celaan dan mencari yang bersalah) dan sampai pada “pendekatan baru” (menggunakan kesalahan yang tidak terhindarkan bukan untuk menyalahkan, tetapi untuk belajar pelajaran praktis). Akibatnya, transparansi dan kepercayaan pada tim meningkat, yang sangat bermanfaat bagi kemampuan anggota tim untuk saling bekerja sama. Ini adalah ringkasan dari buku ini.
5. Web kuning (kuning, dalam arti topikal, pilihan kerentanan web di seluruh dunia)
Hanya 20 tahun yang lalu, Internet sesederhana yang tidak berguna. Itu adalah mekanisme aneh yang memungkinkan segelintir kecil siswa dan Geeks untuk mengunjungi halaman beranda masing-masing. Sebagian besar halaman semacam itu dikhususkan untuk sains, hewan peliharaan, dan puisi.
Kelemahan dan kekurangan arsitektur dalam implementasi World Wide Web, yang harus kita hadapi hari ini - adalah biaya untuk tinjauan sejarah. Bagaimanapun, itu adalah teknologi yang tidak pernah bercita-cita untuk status global yang dimilikinya saat ini. Akibatnya, saat ini kami memiliki infrastruktur cyber yang sangat rentan: ternyata, standar, desain, dan protokol World Wide Web, yang cukup untuk laman beranda dengan hamster yang menari, benar-benar tidak memadai, misalnya, untuk toko online yang memproses jutaan transaksi kartu kredit setiap tahun.
Melihat ke belakang selama dua dekade terakhir, sulit untuk tidak kecewa: hampir setiap jenis aplikasi web berguna yang dikembangkan hingga hari ini telah dipaksa untuk membayar harga berdarah untuk melihat ke belakang dari arsitek kemarin World Wide Web. Tidak hanya Internet ternyata jauh lebih laris daripada yang diharapkan, tetapi kami juga menutup mata terhadap beberapa karakteristik tidak nyamannya yang melampaui zona nyaman kami. Dan akan baik-baik saja untuk menutup mata di masa lalu - kita terus menutupnya sekarang ... Selain itu, bahkan aplikasi web yang dirancang dengan sangat baik dan diuji dengan hati-hati masih memiliki banyak masalah lebih dari rekan-rekan non-jaringan mereka.
Jadi, kami memecahkan kayu bakar secara berurutan. Saatnya bertobat. Untuk tujuan pertobatan semacam itu, buku ini ditulis. Ini adalah yang pertama dari jenisnya (dan saat ini yang terbaik dari jenisnya) buku yang menyediakan analisis sistematis dan menyeluruh tentang kondisi keamanan aplikasi web saat ini. Untuk volume buku yang relatif kecil, jumlah nuansa yang dibahas di dalamnya sangat banyak. Selain itu, teknisi keamanan yang mencari solusi cepat akan bersukacita di hadapan lembar cheat, yang dapat ditemukan di akhir setiap bagian. Lembar contekan ini menjelaskan pendekatan yang efektif untuk memecahkan masalah paling mendesak yang dihadapi oleh pengembang aplikasi web.
6. Brown (buku pemain anggar)
Salah satu buku paling menarik yang diterbitkan selama dekade terakhir. Pesannya dapat diringkas dalam kata-kata berikut: "Beri orang itu eksploitasi, dan Anda akan menjadikannya seorang hacker selama satu hari, ajari dia untuk mengeksploitasi kesalahan - dan ia akan tetap menjadi hacker seumur hidup." Saat Anda membaca The Fighter's Diary, Anda akan mengikuti pakar keamanan siber yang mempraktikkan yang mengidentifikasi kesalahan dan mengeksploitasinya dalam aplikasi paling populer saat ini. Seperti Apple iOS, VLC-media player, browser web dan bahkan inti dari Mac OS X. Dengan membaca buku unik ini dari jenisnya, Anda akan memperoleh pengetahuan teknis yang mendalam dan pemahaman tentang apa yang pendekatan peretas untuk masalah yang sulit diselesaikan; dan betapa senangnya mereka dalam proses berburu bug.
Dari buku ini Anda akan belajar: 1) cara menggunakan metode yang telah teruji waktu untuk menemukan bug, seperti melacak input pengguna dan merekayasa balik; 2) bagaimana cara mengeksploitasi kelemahan, seperti dereferencing dari NULL-pointer, buffer overflow, jenis kelemahan konversi; 3) cara menulis kode yang menunjukkan adanya kerentanan; 4) cara memberi tahu vendor bug yang diidentifikasi dalam perangkat lunak mereka dengan benar. Buku harian bugbug dipenuhi dengan contoh nyata kode rentan, dan program penulisan dirancang untuk memfasilitasi proses menemukan bug.
Untuk tujuan apa pun yang Anda cari bug, baik itu hiburan, penghasilan, atau keinginan altruistik untuk menjadikan dunia tempat yang lebih aman, buku ini akan membantu Anda mengembangkan keterampilan yang berharga, karena dengan bantuannya, Anda melihat ke balik bahu seorang bogger profesional, di layar monitornya. , dan juga di kepalanya. Mereka yang terbiasa dengan bahasa pemrograman C / C ++ dan assembler x86 akan mendapatkan yang terbaik dari buku ini.
7. Buku Retribusi (Alkitab adalah Pengembangan Kode Aman)
Saat ini, setiap pengembang perangkat lunak hanya perlu memiliki keterampilan untuk menulis kode aman. Bukan karena itu modis, tetapi karena satwa liar di dunia maya sangat tidak ramah. Kita semua ingin program kita dapat diandalkan. Tapi mereka tidak akan seperti itu kecuali kita menjaga keamanan siber mereka.
Kami masih membayar untuk dosa cyber-non-keamanan yang dilakukan di masa lalu. Dan kita akan ditakdirkan untuk membayar mereka lebih lanjut jika kita tidak belajar dari sejarah pengembangan perangkat lunak yang ceroboh. Buku ini mengungkapkan 24 poin mendasar - sangat tidak nyaman bagi pengembang perangkat lunak. Tidak nyaman dalam arti bahwa pengembang hampir selalu membiarkan kekurangan serius pada saat-saat ini. Buku ini memberikan tips praktis tentang cara menghindari 24 kelemahan serius ini saat mengembangkan perangkat lunak, dan cara menguji kelemahan yang ada yang sudah ada yang ditulis oleh orang lain. Kisah buku ini sederhana, mudah diakses, dan solid.
Buku ini akan menjadi temuan berharga bagi pengembang mana pun, terlepas dari bahasa yang ia gunakan. Ini akan menarik bagi semua orang yang tertarik dalam mengembangkan kode berkualitas tinggi, andal, dan aman. Buku ini dengan jelas menunjukkan kekurangan paling umum dan berbahaya untuk beberapa bahasa sekaligus (C ++, C #, Java, Ruby, Python, Perl, PHP, dll.); serta teknik yang telah teruji waktu dan terbukti dengan baik untuk mengurangi kekurangan ini. Menebus dosa masa lalu, dengan kata lain. Gunakan Alkitab desain-aman ini dan jangan berbuat dosa lagi!
Para pemimpin beberapa perusahaan perangkat lunak menggunakan buku ini untuk melakukan pelatihan kilat - sesaat sebelum mulai mengembangkan perangkat lunak baru. Mereka mewajibkan pengembang untuk membaca sebelum mulai mengerjakan bagian-bagian dari buku ini yang memengaruhi teknologi yang harus mereka tangani. Buku ini dibagi menjadi empat bagian: 1) dosa perangkat lunak web, 2) dosa pembangunan, 3) dosa kriptografi, 4) dosa jaringan.