那些以前曾被称为网络朋克的人,今天称自己在政治上更正确:DevSecOps。 还记得传奇电影《黑客》中的“彩虹的整个光谱”吗? 1)绿色(全球UNIX环境); 2)亮橙色(根据DOD标准的计算机数据保护标准); 3)一件粉红色的衬衫(IBM参考书;之所以昵称,是因为封面上的农民身上有愚蠢的粉红色衬衫); 4)恶魔之书(圣经UNIX); 5)龙书(编译器开发); 6)红皮书(国家安全局的网络;被称为卑鄙的红皮书,在书架上没有位置)。
在再次回顾了这部传奇电影之后,我问自己:过去的网络朋克今天会读什么,在我们时代已成为DevSecOps? 我们得到了这个彩虹光谱的更新,更现代的版本:
-紫罗兰色(APT黑客手册)
-黑色(公司网络非安全性)
-红色(红军手册)
-野牛一书(在开发人员社区中培养DevOps文化;由于封面上的野兽而得名)
-黄色网页(从局部意义上讲,黄色是万维网上的一系列漏洞)
-布朗(鞋匠之书)
-报应(圣经安全代码开发)
1.紫罗兰色(APT黑客手册)
编写此书仅出于一个目的:证明世界上没有安全的系统。 而且,它是从罪犯的角度写的,没有任何妥协。 作者毫不客气地展示了网络非安全的现代现实,并且在不隐瞒的情况下分享了APT骇客的最亲密细节。 毫无争议地围绕争议性话题,因为害怕引起应有的重视。 为什么从坚定的犯罪角度来看呢? 正如孙子在他的《孙子兵法》中所建议的那样,因为作者确信只有这样,我们才能真正“以视觉识别敌人”。 并且因为作者还确信,没有这些知识,就不可能针对网络威胁制定任何有效的保护措施。
这本书描述了APT黑客的思想,工具和技能-不管他在那里部署了哪种安全系统,这都使他能够入侵任何组织。 通过演示黑客的真实示例,仅需适度的预算和适度的技术技能即可实施。
为了与任何州的传统罪犯作斗争,有完善的计划。 但是,在网络空间中,精明的犯罪分子难以捉摸。 因此,现代数字技术的严酷现实使得无论谁连接到Internet,无论在家里还是在办公室,他都受到不断的攻击。 您可能不知道此报告,但是当您将Internet,计算机,移动电话,Facebook,Twitter或类似的东西放到您的生活中时,您便加入了这场战争。 无论您是否想要,您已经在这场战争的士兵中。
即使您“没有有价值的数据”,您也很容易成为偶然的受害者。 更不用说犯罪分子可以在暗处使用您的数字设备的事实:密码破解,垃圾邮件,支持DDoS攻击等。 对于那些精通高科技和热爱打破规则的人们来说,今天的世界已经变成了一个游乐场。 在这场比赛中,山丘之王的位置被APT黑客占据,他们的宣言归结为以下几句话:“我们是黑客帝国中的超级英雄,隐形人和Neo。 我们可以无声无息地行动。 操纵我们想要的一切。 无论我们要去哪里。 没有我们无法获得的信息。 我们充满信心地飞向别人只能爬的地方。”
2.黑色(公司网络非安全性)
本书提供了灵活的可视化方案来管理公司网络安全计划(CCP)的各个方面,其中整个CCP分为11个功能领域和113个主题领域。 该方案对于PDA的设计,开发,实施,监视和评估非常方便。 风险管理也非常方便。 该方案是通用的,可以轻松扩展以适应任何规模的组织的需求。 该书强调,绝对无敌是根本无法实现的。 由于拥有无限的保留时间,因此进取的攻击者甚至可以克服最先进的网络防御。 因此,CCP的有效性不是通过绝对的类别来评估的,而是通过两个相对的指标来评估的:相对而言,它使您能够检测到网络攻击的速度以及可以抑制敌人的攻击有多长时间。 这些指标越好,专职专家就有更多时间评估情况并采取对策。
这本书详细描述了各级责任者。 说明如何应用拟议的CPC方案将各种部门,适度的预算,公司业务流程和易受攻击的网络基础设施组合成可承受高级网络攻击的具有成本效益的PDA; 并能够在发生故障时大大减少损坏。 具有成本效益的PDA,它考虑到为确保网络安全而分配的有限预算,并有助于找到最适合您的组织的必要折衷方案。 考虑到日常运营活动和长期战略任务。
初次接触本书时,预算有限的中小企业的所有者可能会发现,书中提出的CPC方案一方面负担不起,但另一方面却不必要地麻烦。 的确如此:并非所有企业都能负担得起全面CPC计划的所有要素。 当总经理同时还是财务总监,秘书,技术支持服务时,成熟的中共显然不适合他。 但是,某种程度上,任何企业都必须解决网络安全问题,如果您仔细阅读本书,您会发现,提出的PDA方案很容易适应甚至最小的企业的需求。 因此它适合各种规模的企业。
今天的网络安全是一个非常棘手的领域。 确保网络安全首先要全面了解其组成部分。 仅此一项了解是迈向网络安全的第一步。 了解从何处开始提供网络安全,如何继续以及如何改进是确保网络安全的一些更重要的步骤。 书中介绍了这几个步骤,而PDA方案使您可以做到。 值得一提的是,由于本书的作者是公认的网络安全专家,他们曾在网络安全的最前沿对付APT黑客,在不同时期捍卫政府,军事和企业利益。
3.红色(红军手册)
RTFM是红色团队认真代表的详细参考。 RTFM提供了基本命令行工具的基本语法(适用于Windows和Linux)。 并结合其强大的工具(例如Python和Windows PowerShell),介绍了其使用的原始选项。 RTFM可以一次又一次地为您节省大量时间和精力-无需记住/搜索与诸如Windwos WMIC,DSQUERY命令行工具,注册表项值,任务计划程序语法,Windows-此外,更重要的是,RTFM帮助其读者采用最先进的红军技术。
4.野牛书(在开发人员社区中培养DevOps文化;之所以这样命名,是因为封面上的野兽如此命名)
现有的关于企业DevOps文化形成的手册中最成功的。 在这里,DevOps被视为一种新的思维和工作方式,使您可以组建“智能团队”。 “聪明的团队”与其他团队的不同之处在于,他们的成员了解自己的思维方式的特殊性,并将这种理解应用于自身和事业的利益。 “智能团队”的这种能力是通过ToM(心理理论;自我意识科学)的系统实践而发展的。 DevOps文化的ToM组件使您能够认识到自己和同事的优势; 让您增进对自己和他人的了解。 结果,人们相互合作和同情的能力正在增强。 具有发达的DevOps文化的组织不太可能犯错误,并且在失败后可以更快地恢复。 这些组织的员工感到更快乐。 如您所知,快乐的人更有生产力。 因此,DevOps的目标是发展相互理解和共同目标,使您能够在个人员工与整个部门之间建立长期而牢固的工作关系。
DevOps文化是一种框架,它有助于分享宝贵的实践经验并在员工之间发展同理心。 DevOps是一种文化结构,由三个方面编织而成:连续履行职责,发展专业能力和个人自我完善。 这种文化结构“包裹”了个人员工和整个部门,从而使他们能够有效,持续地发展专业和个人。 DevOps有助于摆脱“旧方法”(责备的文化和寻求罪恶感),而成为“新方法”(使用不可避免的错误不是指责,而是为了学习实践课程)。 结果,增加了团队的透明度和信任度,这对于团队成员彼此合作的能力非常有益。 这是这本书的摘要。
5.黄色的网络(从局部意义上来说,黄色是万维网的一些漏洞)
就在20年前,互联网简直就是无用之举。 这是一种奇特的机制,允许少数学生和怪胎访问彼此的主页。 这些页面中的绝大多数致力于科学,宠物和诗歌。
我们今天必须忍受的是,在实施万维网时存在架构缺陷和缺陷,这是历史事后的代价。 毕竟,它是一种从未渴望达到当今全球地位的技术。 结果,今天我们有了一个非常脆弱的网络基础设施:事实证明,对于一个每年处理数百万笔信用卡交易的在线商店而言,足以容纳带有跳舞仓鼠的主页的万维网标准,设计和协议是远远不够的。
回顾过去的二十年,令人失望的是:迄今为止开发的几乎所有有用的Web应用程序都被迫为昨天的万维网架构师的事后付出了惨痛的代价。 不仅互联网的需求量超出了预期,而且我们对超出我们舒适范围的某些不舒适特征视而不见。 好的,过去我们会闭上眼睛-现在我们将继续闭上眼睛……而且,即使设计良好且经过严格测试的Web应用程序也比非网络应用程序存在更多的问题。
因此,我们按顺序打破了柴火。 现在该悔改了。 为了悔改的目的,写了这本书。 这是同类书籍中的第一本(也是目前同类书籍中最好的),它对Web应用程序的当前安全状态进行了系统而全面的分析。 对于这本相对较小的书籍,其中讨论的细微差别数量简直是压倒性的。 此外,寻求快速解决方案的安全工程师将为备忘单的存在感到高兴,备忘单可在每个部分的末尾找到。 这些备忘单描述了解决Web应用程序开发人员面临的最紧迫问题的有效方法。
6.布朗(击剑手书)
过去十年中出版的最有趣的书之一。 她的信息可以概括为以下几句话:“给这个人以利用,您将使他成为黑客的一天,教他利用错误-并且他将终生是一名黑客。” 当您阅读《战机日记》时,您将跟随一名网络安全专家,该专家将发现错误并在当今最流行的应用程序中加以利用。 例如Apple iOS,VLC媒体播放器,Web浏览器,甚至是Mac OS X的核心。通过阅读这本独特的书籍,您将获得深入的技术知识,并了解黑客如何解决棘手的问题。 以及它们在寻找错误的过程中多么狂喜。
从本书中,您将学习:1)如何使用经过时间检验的方法来发现错误,例如跟踪用户输入和反向工程; 2)如何利用漏洞,例如对NULL指针的取消引用,缓冲区溢出,类型转换缺陷; 3)如何编写代码来证明存在漏洞; 4)如何正确通知供应商其软件中发现的错误。 Bugbug日记中有易受攻击的代码的真实示例,以及旨在简化查找错误过程的创作程序。
无论出于娱乐,赚钱还是想让世界变得更安全的无私之心寻找猎物的目的,这本书都将帮助您发展宝贵的技能,因为有了它的帮助,您可以在显示器的屏幕上看着专业傻瓜的肩膀,也在他的头上。 那些熟悉C / C ++编程语言和x86汇编程序的人会从本书中学到最多的东西。
7.惩戒书(圣经是安全的代码开发)
如今,仅要求任何软件开发人员具备编写安全代码的技能。 不是因为它很时尚,而是因为网络空间的野生生物非常不友好。 我们都希望我们的程序可靠。 但是除非我们注意他们的网络安全,否则他们就不会这样。
我们仍在为过去犯下的网络非安全罪行付出代价。 如果我们不从我们丰富的草率软件开发历史中学习,我们注定要为它们付出更多。 本书揭示了24个基本要点-对于软件开发人员来说非常不舒服。 从某种意义上说,开发人员几乎总是在这些时候允许出现严重的缺陷,这让人感到不舒服。 本书提供了一些实用技巧,内容涉及在开发软件时如何避免这24个严重缺陷,以及如何测试他人编写的现有软件中存在的缺陷。 这本书的故事简单,易懂且扎实。
无论使用哪种语言,这本书对于任何开发人员都是宝贵的发现。 所有对开发高质量,可靠和安全代码感兴趣的人都将对此感兴趣。 本书清楚地展示了几种语言(C ++,C#,Java,Ruby,Python,Perl,PHP等)同时存在的最常见和最危险的缺陷; 以及经过时间考验和成熟的技术来缓解这些缺陷。 换句话说,赎罪过去的罪过。 使用这个安全设计的圣经,不要再犯罪了!
某些软件公司的领导者在开始开发新软件之前就使用这本书进行了突击培训。 他们要求开发人员在开始工作之前阅读本书中那些影响他们所必须使用的技术的部分。 该书分为四个部分:1)网络软件的过失,2)开发的过失,3)加密的过失,4)网络的过失。