Steven M. Racionálne, ale čitateľné preskúmanie správy bezpečnosti od spoločnosti Bellovin je majstrovskou triedou pre IT manažérov, vedúcich bezpečnostných pracovníkov a systémových architektov.
Myslenie na bezpečnosť: Zastavenie budúcich hackerov • Steven M. Bellovin • Addison-Wesley Professional Computing • ISBN: 978-0-13-427754-7 • 380 strán • 39,99 USD
Čo by ste mali robiť, keď kryptografická kríza prekazí vaše starostlivé plány na ochranu vašej organizácie a údajov vašich zákazníkov?
„Prvý krok je jednoduchý: neprepadajte panike [Adams, 1980],“ píše profesor z Kolumbie Steven M. Bellovin, v Myslenie na bezpečnosť: Zastavenie budúcich hackerov. Suchý akademický odkaz na Douglas Adams upozorňuje na čitateľnosť tejto premyslenej diskusie o tom, ako -- a čo je dôležitejšie, prečo -- premýšľať o bezpečnosti. Adams nie je jediným autorom sci-fi, ktorý sa objavil: text nájdete posypaný citátmi z Charles Stross, EE Doc Smith, Lois McMaster Bujold, a veľa ďalších.
„Prečo“ je rozhodujúce, pretože dobré zabezpečenie nie je otázkou zostupu a implementácie vecí, kým sa vám minie rozpočet. Namiesto toho si dobré zabezpečenie vyžaduje premyslené posúdenie vašej konkrétnej situácie. Čo potrebujete chrániť? Od koho? Aké veľké sú riziká? Aké sú vaše obmedzenia? Nemá zmysel snažiť sa chrániť pred „vážnymi protivníkmi, typmi ľudí, ktorí dokážu vytvoriť Stuxnet alebo infiltrovať dodávatelia obrany“ (ktorých Bellovin označuje ako „crack andromedan hacker unit MI31“), keď je diera otvárajúca vašu sieť útoku externé spojenie s malým dodávateľom, ktoré sa uskutočnilo za chodu na obchodnom stretnutí a ktoré sa neobjavuje v oficiálnej sieti diagram.
Myslenie na bezpečnosť je prezentovaná v štyroch hlavných častiach. V prvom Bellovin uvažuje o témach, ako je prispôsobenie sa zmenám, identifikácia vašich cieľov, hrozieb a protivníkov a premýšľanie prostredníctvom modelov hrozieb. Druhá časť sa zameriava na nástroje a techniky, ktoré pravdepodobne budete chcieť použiť na zabezpečenie svojej organizácie – vrátane všetkého od antivírusového softvéru, brán firewall, hesiel a kryptografie až po cloud a virtualizácie. Stojí za zmienku, že časť o heslách obsahuje faktor, ktorý sa v pravidlách hesiel často vynecháva: potreba, aby ľudia spravovali a pamätali si až 100 z nich. Tretia časť pojednáva o širších otázkach pre organizácie vrátane zostavovania nástrojov na vytváranie bezpečných systémov, opráv a väčšiny čo je dôležité, ľudia -- ktorí, ako poukazuje Bellovin, potrebujú istotu, aby im nebránili v schopnosti vykonávať prácu, za ktorú sú platení a sú hodnotené dňa. Nakoniec časť o budúcnosti zvažuje prípadové štúdie a prichádzajúce hrozby.
Frustrácia
Medzi profesionálmi v oblasti bezpečnosti je neustála frustrácia prinútiť ľudí, aby počúvali ich rady. Bellovin poskytuje aj niekoľko užitočných návrhov, ktoré sa točia okolo poskytovania špecifík v obchodnom jazyku: dôsledkom zlyhania nie je napríklad cross-scriptingový útok, ale zodpovednosť za napadnutého zákazníka prihlásenia.
„Neistota je ako entropia: nedá sa zničiť, ale dá sa s ňou pohybovať,“ píše Bellovin v jednom bode. Je to stručné vyjadrenie spoločného zdôvodnenia, že ak dokážete zlodejov dostatočne spomaliť, presunú sa do ďalšieho domu. To nie je pravda, ak sa na vás niekto zameriava konkrétne, ako napríklad Andromedina obávaná jednotka MI31 (spomínaná Bellovinova záskok za dozorujúci národný štát podľa vášho výberu). V celej knihe Bellovin starostlivo zvažuje túto možnosť, ale v tomto racionálnom skúmaní bezpečnostného manažmentu nám pripomína Androméďania často nie sú relevantným modelom hrozby: väčšine útočníkov, ktorých sa snažíte odraziť, je jedno, čie peniaze kradnú.
Prečítajte si ďalšie recenzie kníh
- Kontrola verzií, recenzia knihy: Ktovie, kam ide čas?
- Heartificial Intelligence, recenzia knihy: Otázka hodnôt
- Chlapec, ktorý mohol zmeniť svet, recenzia knihy: vzrušujúce dedičstvo