Прежде чем перейти к статье, хочу вам представить, экономическую онлайн игру Brave Knights, в которой вы можете играть и зарабатывать. Регистируйтесь, играйте и зарабатывайте!
Подготовили компактную подборку книг для специалистов по кибербезопасности. Их рекомендуют к прочтению резиденты новостного веб-агрегатора Hacker News, крупные исследовательские институты, а также издательства MIT и Harvard Business Review. В список попали как исчерпывающие настольные справочники для развития hard skills, так и легкие материалы для погружения в историю предмета.
Defensive Security Handbook: Best Practices for Securing Infrastructure
Своеобразная классика от издательства O’Reilly. Каждая глава предлагает пошаговые инструкции для решения конкретной проблемы, связанной с цифровой безопасностью в компании. В списке тем: комплаенс, управление паролями и авторизацией, сканирование на уязвимости и тестирование на проникновение.
Специалисты из компании Palo Alto Networks, которая оказывает услуги в области ИБ, предложили включить Defensive Security Handbook в каталог Cybersecurity Canon. Это — курируемый список литературы, которую должны прочитать все практикующие специалисты по информационной безопасности.
Однако в первую очередь материал будет полезен сетевым и системным администраторам, желающим научиться строить защищенную инфраструктуру. В этом контексте авторы намеренно дают общие рекомендации без привязки к конкретным индустриям. Но параллельно предлагают множество тематических ресурсов для последующего изучения.
A Vulnerable System: The History of Information Security in the Computer Age
Со временем архитектура программного и аппаратного обеспечения становится только сложнее, что приводит к росту числа критических багов. За первый квартал прошлого года базу данных уязвимостей Национального института стандартов и технологий (NVD) пополнили 8 000 новых способов «обмануть» приложение. Это на 25% больше, по сравнению с аналогичным периодом в 2021-м.
Учитывая обстоятельства, аналитики компании Embroker прогнозируют, что в ближайшие три года бюджеты компаний на информационную безопасность вырастут сразу на 70%.
Но куда следует направить эти деньги? Автор A Vulnerable System: The History of Information Security in the Computer Age говорит, что для ответа на этот вопрос необходимо разобраться, как мы оказались в такой ситуации.
Одна из ключевых мыслей книги: «Все уязвимости — это результаты плохих решений, принятых на ранних этапах разработки».
Автор последовательно рассказывает, как развивались механизмы защиты ИС. Начинает с формализации критериев определения безопасности компьютерных систем [их собрали под обложкой так называемой «Оранжевой книги»], затем переходит к эпохе интернета и крупным взломам 90-х годов.
Читатели отмечают, что A Vulnerable System — это фундаментальная работа для всех, кто хочет поближе познакомиться с историей ИБ. В целом материал читается достаточно легко — его по достоинству оценят те, кто хочет сделать перерыв от технических справочников.
Navigating the Cybersecurity Career Path
Информационная безопасность — уникальная сфера деятельности. Здесь сложно построить дорожную карту технологий, которые необходимо изучить начинающим специалистам. Кроме того, в ИБ-индустрии мало вакансий для новичков, но и они в большинстве своем узкоспециализированные. Книга Navigating the Cybersecurity Career Path как раз для тех, кто, несмотря на все сложности, хочет погрузиться в ИБ. Под обложкой собран полный список навыков, которыми должен обладать такой специалист.
Писатель и инженер Бен Ротке регулярно готовит обзоры на книги по информационной безопасности и управлению рисками. Он внес Navigating the Cybersecurity Career Path в личный список лучших книг по ИБ. Стоит заметить, что материал подойдет не только начинающим ИБ-специалистам. Пользу извлекут даже разработчики и системные администраторы, которые хотят лучше понимать своих коллег по цеху.
You'll see this message when it is too late
Книга вышла под эгидой издательства MIT Press. Она часто попадает в списки must-read литературы для «безопасников» из корпораций и государственных предприятий. ИБ-специалист в университете Тафтса Жозефина Вольфф предлагает совершить экскурс в историю крупнейших утечек персональных данных последних десяти-пятнадцати лет.
В объективе автора — массовая утечка в японской транснациональной корпорации, слив данных налогоплательщиков, а также история борьбы с ботнетом Zeus. Создатели ботнета, что интересно, зарегистрировали тысячи доменных имен для проведения хакерских атак.
Автор You'll see this message when it is too late не просто рассказывает о мотивах и инструментах хакеров. Она выстраивает хронологическую последовательность каждой атаки и отмечает, как можно было избежать катастрофы.
Spam Nation: The Inside Story of Organized Cybercrime-from Global Epidemic to Your Front Door
Известный журналист-расследователь Брайан Кребс срывает покровы и рассказывает истории людей, стоявших за крупнейшими спам-кампаниями. Он провел десятки интервью с хакерами — в том числе со знаменитым 15-летним хакером Cosma.
Автор настолько глубоко погрузился в «спамерскую кухню», что один киберпреступник буквально надоел ему регулярными звонками — рассказывал все новые истории на протяжении нескольких часов.
Структурно Spam Nation: The Inside Story of Organized Cybercrime-from Global Epidemic to Your Front Door представляет собой набор зарисовок с общей канвой и написана простым языком. В целом, неплохое чтиво на пару вечеров.
The Year in Tech, 2023: The Insights You Need from Harvard Business Review
Свежий выпуск ежегодной книги Harvard Business Review, посвященный новым перспективным технологиям, способным изменить облик корпоративных процессов в ближайшем будущем. Спектр достаточно велик: от систем искусственного интеллекта до блокчейна и метавселенных. Разумеется, затрагивают и вопросы безопасности персональных данных.
Материал четко структурирован и читается легко. Каждую главу The Year in Tech, 2023 завершает краткий чек-лист из двух-трех буллитов, отражающих ключевые мысли. Цель авторов — показать, как использовать инновационные технологии внутри организации и получить с их помощью конкурентное преимущество в условиях турбулентных рынков.
The Cyber Security Body of Knowledge Book
The Cyber Security Body of Knowledge Book (CyBOK) — исчерпывающее руководство для специалистов и тех, кто желает погрузиться в область кибербеза с головой. Под обложкой собраны базовые знания, без которых не обойдется ни один инженер.
Материал подготовили 115 экспертов из мировых университетов, ИТ-компаний и юридических фирм. Темы, которые затрагивает книга — оценка рисков, вредоносное программное обеспечение, защита программной и аппаратной инфраструктуры от хакерских атак.
Отдельные подразделы посвящены реализации доступа к распределённым системам, сетевым протоколам, безопасной разработке приложений, а также криптографическим алгоритмам (даже квантовому распределению ключей).
Есть и блок, посвященный законодательству в сфере информационной безопасности, правда, на американском и европейском рынках. Однако он может стать неплохой отправной точкой для ознакомления с тем же GDPR.
Ценности CyBOK добавляет тот факт, что материал в открытом доступе [скачать PDF можно бесплатно]. В принципе, его можно не читать целиком (там тысяча страниц), но обращаться к отдельным главам по мере необходимости.
Заключение. Защита данных в облаке
В нашем блоге мы часто затрагиваем вопросы, касающиеся работы с критичными для бизнеса данными в облаке. Мы говорили, как обрабатывать персональные данные, разбирались с доступами к аттестованным облакам, а также рассказывали о современных практиках резервного копирования.
Обеспечивать уровень защищенности персональных данных в соответствии с требованиями регуляторов поможет облачный сервис IaaS 152-ФЗ.