«Жил-был реальный мир ...» Через сто лет с этой предпосылкой мы расскажем сказку, которая заставит наших праправнуков лечь спать. Мы начнем с рассказа о милой маленькой девочке, которой ее бабушка подарила красный бархатный плащ, который она надела, чтобы она подошла к компьютеру перед тем, как войти в облако из кибердомен. Красная Шапочка хотела им стать хакер...
«Как и все представители ее расы, она была смешанной породой: наполовину машина и наполовину ботаник. У нее не было светской жизни, и она все делала сама, она понимала цифры, которые падали сверху экранов, она всегда носила капюшоны и родилась, зная все ".
Начиная с клише и банальностей, эта басня научит наших малышей тем ценностям, которые превратят их в ответственных взрослых. Но затем дети вырастут и будут задавать себе вопросы, на которые мы должны быть готовы ответить, достаточно простым для понимания, но достаточно полным, чтобы избежать неловких озарений.
И тогда малыш, высунув язык из дырочки от молочных зубов, спросит: «Прадед, что такое хакеры?»
«Именно они используют свои компьютерные навыки для исследования компьютеров и компьютерных сетей и экспериментируют с тем, как расширить их возможности. Некоторые из них плохие, и их называют черными шляпами ».черная шляпа', другие хороши и, очевидно, мы назовем их белыми шляпами, или'белая шляпа'1. Первые - это мошенники, мошенники или воры, которые взламывают компьютерные системы в злонамеренных целях. Иногда они просто крадут данные, иногда обогащаются за счет текущих счетов ничего не подозревающих владельцев, а иногда вторгаются в автоматизированные системы с целью терроризма. Это хуже всего, потому что они иногда поджигают фабрики и загрязняют реки. В другой раз они разбивают самолеты2 или вызвать аварии среди наших автономных автомобилей3 .
После короткой остановки на глоток пресной воды дед продолжает ...
«Нам пришлось бежать в поисках укрытия, и в первые два десятилетия прошлого века (примечание: я имею в виду 2001 век, который идет с 2100 года по XNUMX год нашей эры) компании начали защищать себя. Созданы группы кибернетического реагирования4 и заселил их с лучшим профессионализмом:синяя командакибербезопасности. Именно они используют системы мониторинга и помогают администраторам обновлять меры безопасности сети и системы.5. Их мощные инструменты перехватывают любую странную или подозрительную активность.6 которые сканируют миллиарды цифровых пакетов и ищут любые аномалии, которые указывают на заражение, созданное черными шляпами. Если происходит авария, первыми вмешиваются синие команды. Они проводят расследования, чтобы идентифицировать злоумышленника и выявить недостатки, позволившие нанести удар. Облако - более безопасное место, когда они на работе. Они вооруженные охранники сети ".
Реальность такова, что, к сожалению, слишком часто нам приходится довольствоваться закрытием сарая, когда волы уже сбежали. Лучше предотвратить, но для этого нужно уметь предвидеть.
Очевидно, что для предсказания атаки необходимо овладеть техникой атакующих. Но кто может это сделать? Компьютерные специалисты обучены управлять своими системами, администраторы обучены защищать их и киберполиция ее обучили защищать, расследовать и подавлять. Никто из них не умеет атаковать.
Итак, со временем стало понятно, что победить черная шляпа им нужно было немного хакер которые ставят свои методы на службу добру. Тогда и появились «белые шляпы».
I белая шляпа это те, кто взламывает компьютерные системы, чтобы информировать владельцев об уязвимостях. Они похожи на воров, нанятых владельцем банка, которые, чтобы проверить системы безопасности, пытаются войти в сейф и выйти с имитацией украденного. Таким образом, тот, кому поручено поддерживать прочность стены, изучит лучшие строительные методы; слесарь, который строит сейф, оснащает его дверью, предотвращающей взлом, с крепким ключом; охранник на входе тренируется распознавать подозрительное поведение; полиция учится вмешиваться, чтобы остановить преступление, пока не стало слишком поздно, и директор принимает правила, чтобы минимизировать риск и управлять кризисом. Вне метафоры я белая шляпа убедитесь, что программисты и сетевые администраторы сделали свои системы надежными7, ключи и криптографические протоколы неприступны8, то синяя команда учатся распознавать злонамеренные действия, менеджеры учатся рассчитывать риски, распределять ресурсы и разрабатывать политику компании, подходящую для управления инцидентами.
Когда я белая шляпа они становятся частью организации, они образуют красную команду. Они постоянно изучают и документируют себя. Они всегда должны быть на шаг впереди всех, потому что в кибер-домен финиш вторым - то же самое, что финишировать последним Для этого они разрабатывают динамичные и гибкие процедуры. У них очень короткая цепочка командования и контроля, чтобы их секреты не доходили до тех, кто не должен знать.
Но это чревато большим риском. Ювенал спросит "Quis custodiet ipsos custodes?" или "Кто контролирует контроллеры? Ответ был бы сложным, но ребенку мы объясняем его просто9. Никто не может этого сделать10, Итак, красная команда он должен обладать бесспорным уровнем морали и пользоваться максимальным доверием лидеров.
Чтобы отодвинуть время, когда свет погаснет, наши внуки неизбежно зададут нам еще один вопрос: «Прадед, как ты стал белой шляпой?»
Мы поговорим о легенде, повествующей о черная шляпа кто покидает темную сторону, чтобы вернуться к свету, но это, возможно, было возможно вначале. Сегодня никто добровольно не разрешает раскаявшемуся вору-самозванцу взламывать собственный замок, и с учетом рыночного спроса предложение начало формироваться для обучения профессионалов в этом секторе. В этом духе курсы Этичный хакер. Проблема в том, что эти сертификаты основаны на семантических знаниях. Известный мем гласит: «Я поставил 93 креста из 100 колодцев! Это делает меня этичным хакером! ". Мне жаль нарушить такую прекрасную мечту, но нет, к сожалению, все гораздо сложнее.
С тех пор как информационная безопасность Достигнув большей зрелости, существуют курсы и сертификаты, которые приводят к изучению основ и оценке навыков профессионалов.
Наиболее востребованная сертификация - это сертификат, выданный Наступательная безопасность которые в конце курса из чисто практической формы11 пройти экспертизу продолжительностью 24 часа. Это своего рода игра с кражей флагов. Практикуется в специально подготовленной виртуальной среде. Короче говоря, вы должны иметь возможность обойти меры безопасности некоторых удаленных компьютеров и прочитать секретную строку кода. Это сложный экзамен, на котором демонстрируются технические навыки и устойчивость к усталости. Мы гоняем на время. Тем не менее, курс дает только основы, а затем, начиная с этого момента, вы должны биться головой и находить решение головоломок. Их девиз - «старайся еще сильнее» или «старайся еще сильнее». Философия заключается в том, что в Интернете есть все, вам просто нужно знать, как найти решение проблемы.12. Это подход «делай, чтобы понять».
Из совершенно противоположной идеи, «понимание того, что делать», курсы SANS (Сертификаты GIAC) и электронное обучение. Но на этом сходство между двумя последними компаниями заканчивается. Курсы SANS13 они более традиционные. Они состоят из двух этапов: один фронтальный в присутствии и один основан на руководствах. С другой стороны, eLearnSecurity работает только онлайн. Сначала вы изучаете теорию с помощью тысяч слайдов, каждый из которых содержит пару концепций, затем вы смотрите видео тех, кто работает с описанными инструментами, и, наконец, проводятся практические семинары. В случае затруднений существуют внутренние форумы для поиска или запроса ответов.
Таким образом создается культурный фон, который превращается в рабочий метод. Это правда, что в Интернете есть все, но есть и противоположность всему, и если вы не знаете лучших инструментов и лучших практик, любой может потеряться в облаке.
В своем намерении сопровождать учащихся в их выборе, электронное обучение советует дей Пути обучения, или обучающие курсы, которые позволяют профессионалам информационная безопасность достичь определенной зрелости. Предлагаемые пути варьируются от корпоративной защиты до реагирования на инциденты (Синяя команда), al Cеть e Пентестер веб-приложений14 (Красная Команда).
«Будучи маленькой Шапочкой, влюбленной в« красный »цвет, она решила, что первым курсом, который она выберет, будет« Студент тестирования на проникновение ». Прочитав и перечитав весь материал, он решил купить лаборатории и экзамен, чтобы проверить и подтвердить приобретенные навыки ».
Это непростой курс, но его может пройти и пройти любой, кто хочет взять на себя обязательства на несколько месяцев, посмотреть видео и учебник, попробуйте образовательные семинары. Экзамен проходит в реалистичной обстановке и длится три дня, он элементарный, но не очевидный, сложный, но не разочаровывающий. Бежим, но не торопясь. Необходимо найти способ нарушить Веб-сервер плохо настроен и используйте эту «дверь» для доступа в частную зону. Оказавшись внутри периметра, найдите уязвимости и извлеките конфиденциальные данные.
Она была прилежной ученицей, и благодаря множеству сделанных заметок, знанию теории и компетенции, полученной в ходе лабораторных тестов, Красная Шапочка получила первый престижный сертификат: она стала eJPT, или «младшим тестером на проникновение в eLearnSecurity». .
Поскольку мир работы информационная безопасность он голоднее волка, через несколько дней ему стали поступать предложения и он нашел работу. Он испытал деятельность OSINT15, она чувствовала себя агентом контрразведки16, нашла конфиденциальную информацию, которая была украдена без разрешения клиентов. Он проверил системы и сети на наличие недостатков и уязвимостей. Он сообщил о них коллегам из синяя команда которые предприняли шаги, чтобы сделать свою часть виртуального мира более надежной. С опытом, полученным в молодости хакер из Красная Команда (и огромное желание принять участие), она была готова начать новые задачи, взять на себя процесс eCPPT и стать Сертифицированный профессиональный тестер на проникновение. Там она изучит новые методы и достигнет новых целей, которые позволят ей однажды получить сертификат от Тестер на проникновение eXtreme17.
Однажды Красная Шапочка поняла, что выросла, вышла замуж за хакер раскаялись, и вместе у них было много детей ... и все жили долго и счастливо.
Но теперь уже поздно, так что спать племянник родной ...
1 Это различие очень распространено, но операторы отрасли считают его поверхностным.
2 Такого инцидента еще не было.
3 Об этом уже много лет сообщают многие СМИ.
4 Компьютерная команда аварийного реагирования.
5 Это упрощение, задачи Синяя команда их бесчисленное множество.
6 Например, SIEM, Информация о безопасности и управление событиями: https://it.wikipedia.org/wiki/Security_Information_and_Event_Management.
7 Фаза упрочнение: в идеале программный код не должен содержать уязвимостей (напр. переполнение буфера), а сетевые системы должны включать средства защиты (например, межсетевые экраны, политики и т. д.). К сожалению, из соображений рентабельности и функциональности всегда необходимо принимать определенный риск.
8 Криптография - довольно сложный раздел теоретической математики. Безопасность зависит от множества разнородных факторов. Совершенная секретность существует, но она неприменима в реальном контексте, поэтому необходимо принять определенный риск, поскольку математики умеют вычислять. Разработка собственных криптографических кодов опасна, но довольно распространено среди начинающих криптографов, хакеры знают, как использовать эти недостатки. Для получения дополнительной информации см. «Джонатан Кац, Иегуда Линделл - Введение в современную криптографию. Принципы и протоколы - Чепмен и Холл».
9 Юридическая наука применяется к информационным технологиям и специализируется на кибернетике.
10 Здесь тоже сделано упрощение, красная команда действует в соответствии с очень точным контрактом, который своевременно определяет пределы. Превышение этих ограничений может привести к гражданским последствиям и серьезным уголовным наказаниям.
11 PWK - Тестирование на проникновение с Kali Linux.
12 В качестве примера взята первая из сертификатов. Наступательная безопасность, то есть OSCP (Offensive Security Certificated Professional). Предложение этой престижной компании обогащено другими, еще более ценными и сложными курсами, ориентированными на наступательную подготовку, то есть красная команда.
13 SANS предлагает очень престижные, но очень дорогие курсы во всех областях кибербезопасности.
14 Если не считать ПЕРЕДАЧИ ТЕСТЕРА.
15 Открытый исходный код INTelligence.
16 По этой теме см. Мою предыдущую статью: «Меня зовут безопасность, кибербезопасность. Google Hacking и Shodan: интеллект, которого вы не ожидаете ».
17 Требуются следующие пояснения:
- Никакая сертификация сама по себе не доказывает способности оператора кибербезопасности, путь тестер проникновения в основном он основан на полевом опыте;
- Существуют учебные курсы, не менее актуальные, чем описанные; рассказ основан на личном опыте автора и не имеет научной ценности;
- Целью статьи не является реклама, и нет никакой связи между автором, издателем и компаниями, которые проводят курсы и сертификаты.
