Подборка книг о кибербезопасности: как провести пентест и что противопоставить социальной инженерии

496
Книги из списка вышли в 2018–2019 году. Их рекомендуют на Hacker News и Reddit. Под катом — рассказы о тонкостях работы хакеров, размышления президента Microsoft о перспективах и рисках в ИТ, а также советы по пентестированию от специалиста, работавшего с DARPA, NSA и DIA.


Фото — Kaur Kristjan — Unsplash
 
 
Tools and Weapons: The Promise and the Peril of the Digital Age

Автор книги — Бред Смит (Brad Smith), юрисконсульт и президент Microsoft. Он говорит о перспективах и опасностях информационных технологий: от социальных сетей до систем искусственного интеллекта. В каком-то смысле «Tools and Weapons» можно назвать «мемуарами Microsoft». Автор приоткрывает дверь во внутреннюю кухню корпорации, рассказывая о методах борьбы с крупными кибератаками и принимаемых в этой связи решениях. Например, речь пойдет о том, как компания выпускала патч против вируса WannaCry для давно не поддерживаемой Windows XP.
 
 
The Fifth Domain: Defending Our Country, Our Companies, and Ourselves in the Age of Cyber Threats

«The Fifth Domain» написал Ричард Кларк (Richard Clarke) — эксперт по информационной безопасности. Он более тридцати лет занимался координированием борьбы с терроризмом. Соавтором выступил Роберт Кнейк (Robert Knake), отвечавший за кибербезопасность в Белом доме с 2011 по 2015 год. Сегодня они работают ИБ-консультантами для фирм из списка Fortune 500.

Работа Ричарда и Роберта посвящена битвам, происходящим в «пятом домене», — так Пентагон называет киберпространство. Под обложкой скрыты истории компаний, которые подверглись хакерским атакам и успешно их отразили. В этом ключе авторы затрагивают тему тактик киберзащиты: от обфускации кода до шардинга и сегментации сетей.

Тем, кому понравится «The Fifth Domain», имеет смысл обратить внимание на другую работу этих же авторов — «Cyber War», ставшей бестселлером по версии The New York Times. По сравнению с первой, она написана более популярным языком.
 
 
Social Engineering: The Science of Human Hacking

Атаки, основанные на методах социальной инженерии, одни из самых опасных. Их нельзя заблокировать файрволом и обнаружить антивирусом. Кристофер Хаднаги (Christopher Hadnagy) — консультант по информационной безопасности и ведущий подкаста social-engineer.org — говорит о наиболее эффективных приемах хакеров, и лежащей в их основе психологии. В тексте много реальных историй и отсылок к научным исследованиям. Некоторые читатели отметили, что «Social Engineering» также помогла им развить навыки социального общения.
 
 
Tribe of Hackers: Cybersecurity Advice from the Best Hackers in the World

Эта книга попала в «зал славы» литературы по кибербезопасности от компании Palo Alto Networks. Её автор — пентестер с 20-летним опытом Маркус Кэри (Marcus Carey), который работал с NSA, DARPA и DIA.

Маркус составил список из 14 вопросов — об информационных технологиях, а также рабочих процессах и личных качествах хакеров. Их он задал семидесяти специалистам по информационной безопасности. Полученные ответы сильно разнятся: от кратких и саркастичных, до развернутых и вдумчивых. Но информация в этой книге помогает понять «белых хакеров» и погрузиться в их рутину.
 


Фото — David Rangel — Unsplash
 
 
Click Here to Kill Everybody: Security and Survival in a Hyper-connected World

В 2025 число IoT-устройств в мире превысит 75 млрд. Такое количество гаджетов открывает для злоумышленников новые возможности. Они могут отключить охранную систему дома и вскрыть электронные замки. Хакеры даже способны перехватить управление автомобилем. Например, еще в 2015 году двум специалистам по информационной безопасности из США удалось взломать Jeep Cherokee и направить его в канаву. В 2017 году инженеры из Trend Micro использовали уязвимость в CAN-шине автомобиля и отключили подушки безопасности.

Об этих и других опасностях, затаившихся в мире интернета вещей, и повествует «Click Here to Kill Everybody». Её написал Брюс Шнаер (Bruce Schneier) — член совета директоров Фонда электронных рубежей (EFF) и автор блога Schneier on Security, который читает более 250 тыс. человек.
 
 
The Hacker Playbook 3: Practical Guide to Penetration Testing

Это — справочник для пентестеров. Он является продолжением серии The Hacker Playbook и The Hacker Playbook 2 от Питера Кима (Peter Kim). Автор в оригинальной манере повествует обо всех этапах тестирования на проникновение: от настройки компьютера до составления отчета об обнаруженных уязвимостях.

Ким знакомит читателя с основными дистрибутивами и утилитами для пентестов: Nmap, Nessus, Metasploit и Exploit-DB. Он также разбирает механизмы обхода антивирусов и программы для взлома хешей. Многие моменты в книге описаны кратко, однако в тексте всегда присутствует ссылка на тематический материал в сети, где можно подчерпнуть детальную информацию по заинтересовавшему вопросу.
 
 
Digital Resilience: Is Your Company Ready for the Next Cyber Threat?

Это — практическое руководство для компаний, посвященное защите от кибератак. Его составил Рей Ротрок (Ray Rothrock), глава агентства RedSeal, которое занимается оценкой информационной безопасности корпоративных сетей. Автор рассказывает истории организаций, восстановившихся после крупного взлома (и тех, кому это сделать не удалось). В качестве одного из примеров он приводит утечку данных кредитных карт 40 миллионов клиентов сети магазинов Target.
 
Мы в 1cloud.ru предлагаем услугу «SSL-сертификат». Если нужно подтвердить владельца домена, защитить передаваемые данные или авторское право на ПО.
Перед покупкой SSL-сертификата, мы рекомендуем узнать какой формат файла подходит для вашего веб-сервера. Наши специалисты готовы помочь и ответить на вопросы.