Aqueles que já haviam sido chamados de cyberpunks antes, hoje se dizem mais politicamente corretos: DevSecOps. Lembra-se de "todo o espectro do arco-íris", do lendário filme "Hackers"? 1) Verde (ambiente mundial UNIX); 2) laranja brilhante (critérios de proteção de dados do computador de acordo com os padrões do DOD); 3) uma camisa rosa (livro de referência da IBM; apelidado disso por causa de uma camisa rosa estúpida em um camponês da capa); 4) o livro do diabo (bíblia UNIX); 5) livro do dragão (desenvolvimento do compilador); 6) o livro vermelho (redes da administração de segurança nacional; conhecido como o livro vermelho vil, que não tem lugar na prateleira).
Depois de rever mais uma vez este lendário filme, perguntei-me: o que leriam os ciberpunks do passado hoje, que se tornaram DevSecOps em nossos dias? E temos uma versão mais moderna e atualizada desse espectro do arco-íris:
- Violet (manual do hacker APT)
- Preto (cibernética não corporativa)
- Vermelho (Manual do Exército Vermelho)
- Livro de um bisonte (cultivo da cultura DevOps na comunidade de desenvolvedores; assim chamado por causa da besta da capa)
- Teia amarela (amarela, no sentido de tópica, uma seleção de vulnerabilidades da internet)
- Marrom (livro do sapateiro)
- O Livro de Retribuição (Desenvolvimento do Código de Segurança da Bíblia)
1. Violeta (manual do hacker APT)
Este livro foi escrito com um único objetivo: demonstrar que não existem sistemas seguros no mundo. Além disso, está escrito do ponto de vista do criminoso, sem compromissos. O autor demonstra descaradamente as realidades modernas da cibersegurança e, sem ocultação, compartilha os detalhes mais íntimos dos hackers do APT. Sem qualquer indício de contornar e contornar tópicos controversos, por medo de atrair atenção repreensível. Por que é do ponto de vista intransigente do crime? Porque o autor tem certeza de que somente dessa maneira podemos realmente "reconhecer nosso inimigo pela vista", como Sun Tzu recomendou em seu livro "The Art of War". E porque o autor também tem certeza de que, sem esse conhecimento, é impossível desenvolver qualquer proteção eficaz contra ameaças cibernéticas.
O livro descreve a mentalidade, ferramentas e habilidades do hacker do APT - que permitem invadir absolutamente qualquer organização, independentemente do tipo de sistema de segurança implantado lá. Com uma demonstração de exemplos reais de hackers, para cuja implementação um orçamento modesto e habilidades técnicas modestas são suficientes.
Para combater criminosos tradicionais em qualquer estado, existem esquemas bem estabelecidos. No entanto, no ciberespaço, criminosos inteligentes são ilusórios. Portanto, as duras realidades da era moderna da tecnologia digital são tais que, quem se conecta à Internet, está sob constante ataque, tanto em casa quanto no trabalho. Você pode não estar ciente deste relatório, mas, quando deixou a Internet, um computador, um telefone celular, o Facebook, o Twitter ou algo assim em sua vida, entrou na guerra. Quer você queira ou não, você já está entre os soldados desta guerra.
Mesmo se você "não tiver dados valiosos", poderá facilmente se tornar uma vítima acidental. Sem mencionar o fato de que o criminoso pode usar seu equipamento digital em seus assuntos obscuros: quebra de senha, spam, suporte a ataques DDoS, etc. O mundo hoje se transformou em um playground - para quem é versado em alta tecnologia e gosta de quebrar as regras. E o lugar do rei da colina neste jogo é ocupado por hackers da APT, cujo manifesto se resume às seguintes palavras: “Somos super-heróis, invisíveis e Neo da Matrix. Podemos nos mover silenciosamente e silenciosamente. Manipule tudo o que desejamos. Para onde queremos ir. Não há informações que não possamos obter. Voamos com confiança onde outros podem apenas rastejar ".
2. Preto (cibersegurança não corporativa)
O livro fornece um esquema visual flexível para gerenciar todos os aspectos do programa corporativo de segurança cibernética (PCC), no qual todo o PCC é dividido em 11 áreas funcionais e 113 aspectos do assunto. Este esquema é muito conveniente para o design, desenvolvimento, implementação, monitoramento e avaliação de PDAs. Também é muito conveniente para gerenciamento de riscos. O esquema é universal e facilmente escalável para as necessidades de organizações de qualquer tamanho. O livro enfatiza que a invulnerabilidade absoluta é fundamentalmente inatingível. Por ter tempo ilimitado em reserva, um invasor empreendedor pode finalmente superar até a mais avançada defesa cibernética. Portanto, a eficácia do PCC é avaliada não em categorias absolutas, mas em categorias relativas, por dois indicadores relativos: a rapidez com que permite detectar ataques cibernéticos e por quanto tempo permite conter o ataque do inimigo. Quanto melhores esses indicadores, mais tempo para os especialistas em tempo integral avaliarem a situação e tomarem contramedidas.
O livro descreve em detalhes todos os atores em todos os níveis de responsabilidade. Explica como aplicar o esquema de CPC proposto para combinar diversos departamentos, orçamentos modestos, processos corporativos corporativos e infraestrutura cibernética vulnerável em um PDA econômico que pode suportar ataques cibernéticos avançados; e capaz de reduzir significativamente os danos em caso de avaria. Um PDA econômico, que leva em conta o orçamento limitado alocado para garantir a segurança cibernética e ajuda a encontrar os compromissos necessários que são ideais para sua organização. Levando em consideração as atividades operacionais diárias e as tarefas estratégicas de longo prazo.
Após o primeiro contato com o livro, os proprietários de pequenas e médias empresas com orçamentos limitados podem descobrir que, para eles, o esquema de PDA apresentado no livro não é acessível para eles, mas, por outro lado, geralmente é desnecessariamente pesado. E de fato: nem todas as empresas podem se dar ao luxo de levar em consideração todos os elementos de um programa abrangente de CPC. Quando o diretor geral também é diretor financeiro, secretário, serviço de suporte técnico, claramente um PCC de pleno direito não é para ele. No entanto, em um grau ou outro, qualquer empresa precisa resolver o problema de segurança cibernética e, se você ler o livro com atenção, poderá ver que o esquema de PDA apresentado é facilmente adaptável às necessidades da empresa mais pequena. Por isso, é adequado para empresas de todos os tamanhos.
Hoje, a cibersegurança é uma área muito problemática. Garantir a segurança cibernética começa com uma compreensão abrangente de seus componentes. Somente esse entendimento é o primeiro passo sério em direção à segurança cibernética. Entender por onde começar a fornecer segurança cibernética, como continuar e o que melhorar são alguns passos mais sérios para garantir isso. Estas poucas etapas são apresentadas no livro e o esquema do PDA permite que você o faça. Merece atenção, já que os autores do livro são reconhecidos especialistas em segurança cibernética que já lutaram na vanguarda da segurança cibernética contra hackers da APT, defendendo interesses governamentais, militares e corporativos em momentos diferentes.
3. Vermelho (Manual do Exército Vermelho)
RTFM é uma referência detalhada para representantes sérios da equipe vermelha. O RTFM fornece a sintaxe básica para as ferramentas básicas de linha de comando (para Windows e Linux). E também são apresentadas opções originais para seu uso, em combinação com ferramentas poderosas como Python e Windows PowerShell. O RTFM economizará um monte de tempo e esforço repetidamente - eliminando a necessidade de lembrar / procurar as difíceis nuances do sistema operacional associadas a ferramentas como Windwos WMIC, ferramentas de linha de comando DSQUERY, valores de chave de registro, valores de chave de registro, sintaxe do Agendador de tarefas, Windows- Além disso, o RTFM ajuda o leitor a adotar as técnicas mais avançadas do Exército Vermelho.
4. Livro Bison (cultivo da cultura DevOps na comunidade de desenvolvedores; assim chamado por causa da besta da capa)
O manual de maior sucesso existente na formação da cultura corporativa de DevOps. Aqui, o DevOps é visto como uma nova maneira de pensar e trabalhar, permitindo que você forme "equipes inteligentes". As “equipes inteligentes” diferem dos outros porque seus membros entendem as peculiaridades de seu modo de pensar e aplicam esse entendimento em benefício de si mesmos e de sua causa. Essa capacidade de "equipes inteligentes" se desenvolve como resultado da prática sistemática de ToM (Teoria da Mente; a ciência da autoconsciência). O componente ToM da cultura DevOps permite que você reconheça seus pontos fortes - o seu e seus colegas; permite melhorar a compreensão de si e dos outros. Como resultado, a capacidade das pessoas de cooperar e simpatizar umas com as outras está aumentando. As organizações com uma cultura DevOps desenvolvida têm menos probabilidade de cometer erros e se recuperam mais rapidamente após falhas. Os funcionários dessas organizações se sentem mais felizes. E as pessoas felizes, como você sabe, são mais produtivas. Portanto, o objetivo do DevOps é desenvolver um entendimento mútuo e objetivos comuns, permitindo estabelecer relações de trabalho fortes e de longo prazo entre funcionários individuais e departamentos inteiros.
A cultura DevOps é um tipo de estrutura que propicia o compartilhamento de valiosa experiência prática e o desenvolvimento de empatia entre os funcionários. O DevOps é um tecido cultural tecido a partir de três linhas: desempenho contínuo de tarefas, desenvolvimento de competências profissionais e auto-aperfeiçoamento pessoal. Esse tecido cultural "envolve" funcionários individuais e departamentos inteiros, permitindo que eles se desenvolvam de maneira eficiente e contínua, profissional e pessoalmente. O DevOps ajuda a se afastar da “abordagem antiga” (a cultura de censuras e a busca pelos culpados) e a chegar a uma “nova abordagem” (usando os erros inevitáveis não por culpar, mas por aprender lições práticas). Como resultado, a transparência e a confiança na equipe aumentam, o que é muito benéfico para a capacidade dos membros da equipe cooperarem entre si. Este é o resumo do livro.
5. A teia amarela (amarela, no sentido de tópica, uma seleção de vulnerabilidades da web)
Apenas 20 anos atrás, a Internet era tão simples quanto inútil. Era um mecanismo bizarro que permitia que um pequeno punhado de estudantes e nerds visitassem as páginas uns dos outros. A grande maioria dessas páginas foi dedicada à ciência, animais de estimação e poesia.
Falhas arquitetônicas e deficiências na implementação da World Wide Web, que temos de aturar hoje - são taxas de retrospectiva histórica. Afinal, era uma tecnologia que nunca aspirava ao status global que possui hoje. Como resultado, hoje temos uma infraestrutura cibernética muito vulnerável: os padrões, o design e os protocolos da World Wide Web, suficientes para páginas domésticas com hamsters dançantes, são completamente inadequados, por exemplo, para uma loja online que processa milhões de transações de cartão de crédito anualmente.
Olhando para as últimas duas décadas, é difícil não ficar desapontado: quase todo tipo de aplicativo Web útil desenvolvido até hoje foi forçado a pagar um preço sangrento pela retrospectiva dos arquitetos da World Wide Web de ontem. Não apenas a Internet apresentou uma demanda muito maior do que o esperado, mas também fizemos vista grossa para algumas de suas características desconfortáveis que iam além da nossa zona de conforto. E tudo bem, nós fecharíamos nossos olhos no passado - continuamos a fechá-los agora ... Além disso, mesmo aplicativos da Web muito bem projetados e cuidadosamente testados ainda têm muito mais problemas do que seus colegas não pertencentes à rede.
Então, quebramos a lenha em ordem. É hora de se arrepender. Para o propósito de tal arrependimento, este livro foi escrito. Este é o primeiro livro do gênero (e atualmente o melhor do gênero) que fornece uma análise sistemática e completa do estado atual de segurança dos aplicativos da web. Para um volume relativamente pequeno do livro, o número de nuances discutidas nele é simplesmente esmagador. Além disso, os engenheiros de segurança que procuram soluções rápidas se alegrarão com a presença de dicas, que podem ser encontradas no final de cada seção. Estas folhas de dicas descrevem abordagens eficazes para resolver os problemas mais prementes enfrentados por um desenvolvedor de aplicativos da web.
6. Brown (livro do esgrimista)
Um dos livros mais interessantes publicados na última década. Sua mensagem pode ser resumida nas seguintes palavras: "Dê à pessoa uma exploração e você a tornará um hacker por um dia, ensinará a explorar erros - e ele permanecerá um hacker por toda a vida". Ao ler o Diário do lutador, você seguirá um especialista em segurança cibernética que identifica erros e os explora nos aplicativos mais populares da atualidade. Como o Apple iOS, o VLC-media player, os navegadores da web e até o núcleo do Mac OS X. Ao ler este livro exclusivo desse tipo, você obterá profundo conhecimento técnico e entendimento sobre o que os hackers abordam para problemas intratáveis; e quão extasiados eles estão no processo de caçar insetos.
No livro, você aprenderá: 1) como usar métodos testados pelo tempo para encontrar bugs, como rastrear entrada do usuário e engenharia reversa; 2) como explorar vulnerabilidades, como desreferenciamento de ponteiros NULL, estouro de buffer, falhas de conversão de tipo; 3) como escrever código que demonstre a existência de uma vulnerabilidade; 4) como notificar corretamente os fornecedores sobre os bugs identificados em seus softwares. O diário de bugs está repleto de exemplos reais de código vulnerável e programas de autoria criados para facilitar o processo de localização de bugs.
Para qualquer finalidade que você procura por bugs, seja entretenimento, ganhos ou o desejo altruísta de tornar o mundo um lugar mais seguro, este livro o ajudará a desenvolver habilidades valiosas, porque, com essa ajuda, você olha por cima do ombro de um idiota profissional na tela do monitor. , e também em sua cabeça. Aqueles que estão familiarizados com a linguagem de programação C / C ++ e o x86 assembler tirarão o máximo proveito do livro.
7. O Livro de Retribuição (A Bíblia é Desenvolvimento de Código Seguro)
Hoje, qualquer desenvolvedor de software é simplesmente obrigado a ter as habilidades necessárias para escrever um código seguro. Não porque está na moda, mas porque a vida selvagem do ciberespaço é bastante hostil. Todos queremos que nossos programas sejam confiáveis. Mas eles não serão assim, a menos que cuidemos de sua segurança cibernética.
Ainda estamos pagando pelos pecados da cibersegurança cometidos no passado. E estaremos condenados a pagar mais por eles, se não aprendermos com nossa rica história de desenvolvimento de software desleixado. Este livro revela 24 pontos fundamentais - muito desconfortável para desenvolvedores de software. Desconfortável no sentido de que os desenvolvedores quase sempre permitem falhas sérias nesses momentos. O livro fornece dicas práticas sobre como evitar essas 24 falhas graves ao desenvolver software e como testar falhas existentes, software já existente, escrito por outras pessoas. A história do livro é simples, acessível e sólida.
Este livro será uma descoberta valiosa para qualquer desenvolvedor, independentemente do idioma que ele usa. Será de interesse para todos os interessados em desenvolver código de alta qualidade, confiável e seguro. O livro demonstra claramente as falhas mais comuns e perigosas para várias linguagens ao mesmo tempo (C ++, C #, Java, Ruby, Python, Perl, PHP, etc.); bem como técnicas testadas e comprovadas para mitigar essas falhas. Expiar pecados passados, em outras palavras. Use esta Bíblia de design seguro e não peque mais!
- – . , , . : 1) -, 2) , 3) , 4) .