26 февраля 2014

Лучшие книги про безопасность с RSA 2014

Советы

Даже несмотря на недавние скандалы, конференция RSA считается самым важным событием в мире информационной безопасности. Это значит, что на мероприятии собираются крупнейшие умы, лучшие менеджеры и самые влиятельные персоналии индустрии. Самый лучший способ оказаться среди них и почувствовать себя причастным — это быть в курсе того, что сейчас происходит. Иными словами, быть в тренде. А лучший способ быть в тренде — это исследовать и читать. Мно-о-ого читать! В прошлом году мы делали подборку лучших книг конференции RSA, и сегодня мы продолжим эту славную традицию. Предлагаем вашему вниманию список литературы, которая привлекла внимание экспертов в области защиты информации в этом году.

Лучшие книги RSA 2014

1. Googling Security: How Much Does Google Know About You?
Googling Security: How Much Does Google Know About You?
Главная страшилка года :) Когда вы используете «бесплатные» сервисы Google, вы все же платите, но не деньгами, а информацией о себе. Интернет-гигант, в свою очередь, делает целое состояние из той информации, которую пользователи ему предоставляют. И на самом деле вы будете шокированы тем, как много Google знает. Googling Security — первая книга, рассказывающая о том, как именно Google может обратить гигантский объем знаний против вас и вашего бизнеса, а также о том, как этому можно противостоять. В отличие от аналогичных публикаций, данная книга повествует обо всем, что мы отдаем Google, пользуясь его наиболее популярными сервисами: профессор компьютерных наук из West Point Грег Конти (Greg Conti) рассказывает о последствиях использования Gmail, Google Maps, Google Talk, Google Groups, Google Alerts и множества других сервисов компании, в том числе и мобильных. Опираясь на собственный метод изысканий, Конти демонстрирует, как базы данных Google могут быть использованы людьми с не самыми добрыми намерениями, безотносительно знаменитого лозунга «Don’t be evil». Прочитав эту книгу, вы узнаете, куда ведет дорога, вымощенная сервисами Google.

  • Что Gmail может рассказать о ваших друзьях, семье и коллегах.
  • Как при помощи Google Maps можно узнать все о вашем месте жительства, работе, семье и друзьях, путешествиях и дальнейших намерениях.
  • Каким образом хранимая Google и другими компаниями информация может быть использована против вас, например, с целью шантажа.
  • Насколько много знают о вашем поведении в Интернете рекламные сервисы Google AdSense и DoubleClick.
  • Что нужно сделать, чтобы сократить поток личных данных, отдаваемых интернет-компаниям.

Эта книжка возвращает вас на землю и одновременно с этим дает дельные советы всем, кто полагается на Google: от простых обывателей до профессионалов в области инфобезопасности.

2. Hacking Exposed 7: Network Security Secrets & Solutions
Hacking Exposed 7: Network Security Secrets & Solutions
Профессионалы учатся на чужих ошибках. Книгу «Hacking Exposed 7» рекомендуют руководитель отдела безопасности корпорации Sony и бывший высокопоставленный сотрудник ФБР — это ли не повод прочитать ее от корки до корки? «Наша новая реальность — это «нулевой день», APT-угрозы и оплачиваемые правительствами атаки. Сегодня профессионалы из области безопасности как никогда нуждаются в понимании разума хакера, его методов и инструментов, чтобы успешно сдерживать непрекращающиеся нападения. Это издание дает читателям возможность быть в курсе направления современных атак и вооружает их для борьбы с непрестанно развивающимися угрозами» — именно так отозвался о книге Бретт Валин (Brett Wahlin) из Sony Network Entertainment. «Хватит пропускать удары — пора повернуть ход игры в иное русло. Настало время для смены парадигмы обеспечения защиты наших сетей, и эта книга — сценарий того, как мы можем это сделать, заставив противников почувствовать боль», — выразил свои впечатления Шон Генри (Shawn Henry), экс-замдиректора ФБР. Всемирно известная команда, стоящая за серией «Hacking Exposed», в очередной раз делится своими экспертными советами и стратегиями защиты, рассказывая о том, как поддержать безопасность систем и победить киберпреступников. В книге можно найти развернутые исследования современных хакерских методов и рецепты проверенных контрдействий: противостояние взломам инфраструктуры, сведение к минимуму APT-угроз, нейтрализация вредоносного кода, защита UNIX-сетей и многое другое.

  • Обструкция APT-угроз и метаэксплойтов в вебе.
  • Защита от взломов, связанных с root-доступом и переполнением буфера в UNIX-системах.
  • Блокировка SQL-инъекций, целевого фишинга и атак embed-кода.
  • Детектирование и удаление руткитов, троянцев, ботов, червей и прочих зловредов.
  • Блокировка удаленного доступа с использованием смарт-карт и аппаратных токенов.
  • Защита беспроводных сетей стандартов 802.11 при помощи многослойного шифрования.
  • Устранение дыр в VoIP, соцсетях и облачных сервисах.
  • Актуальные методы атак на iPhone и Android и защита от них.

3. Big Data For Dummies
Big Data For Dummies
Мы живем в эру «облаков». Это значит, что для понимания и планирования будущего вашего бизнеса необходимо знать, как управлять и анализировать гигантские объемы данных и обращать их в свою пользу. Управление «большими данными» — одна из важнейших проблем, с которыми сталкиваются бизнес, индустрия и даже некоммерческие организации, несмотря на то что проблема эта появилась буквально вчера. И если вы хотите эффективно работать с big data, эта книга вам поможет понять, что такое «большие данные», почему они важны и как выбрать и применить наиболее эффективные методы управления ими.

  • Эффективное управление «большими данными» становится все важнее для бизнеса, НКО, правительств и отдельных ИТ-профессионалов.
  • Авторы книги — эксперты в информационном менеджменте, в области «больших данных» и методах работы с ними.
  • Книга детально объясняет, что такое big data, повествует о том, как выбрать и применить подходящее решение, как эти данные хранить, анализировать и защищать.
  • Big Data For Dummies — все о «больших данных» понятным языком.

4. Unmasking the Social Engineer: The Human Element of Security
Unmasking the Social Engineer: The Human Element of Security
Социальная инженерия — одна из самых горячих тем, попадающихся на книжных полках RSA 2014. Сообщество пытается научить бизнес определять социального инженера по его невербальному поведению. Книга «Unmasking the Social Engineer» фокусируется на сочетании науки понимания невербальных коммуникаций со знаниями о том, как социальные инженеры, жулики и мошенники используют свои навыки для обеспечения доверия к своим персонам со стороны потенциальных жертв. Автор помогает читателям понять, как верно определять, что перед ними социальный инженер, как работают его атаки, а также объясняет принципы невербальных коммуникаций и демонстрирует связь между ними и мошенничеством.

  • Сочетает в себе практические и технические аспекты защиты от социнженерии.
  • Поясняет суть различных «грязных трюков», используемых мошенниками.
  • Рассказывает о том, как определить социального инженера, обращая внимание на невербальное поведение.
  • «Unmasking the Social Engineer» вооружает читателя знаниями, необходимыми для защиты себя и своей организации.

5. Social Engineering: The Art of Human Hacking
Social Engineering: The Art of Human Hacking
Человеческий фактор — наиболее слабое звено любой защитной инфраструктуры. Так что неудивительно, что нынешние хакеры крайне заинтересованы в техниках НЛП (нейролингвистическое программирование). Данная книга раскрывает перед читателями суть технических аспектов множества социнженерных приемов: выявление информации, влияние, манипуляция и т.д. Все они разобраны на реальных примерах и личном опыте и подкреплены научными доводами. Кевин Митник (Kevin Mitnick), один из самых известных социнженеров в мире, популяризовавший термин «социальная инженерия», уверенно говорит о том, что выудить пароль из человека гораздо проще и эффективнее, чем пытаться вытащить его из компьютера посредством взлома системы. Книга не только перечисляет инструменты и методы социальных инженеров, но и разъясняет, как можно противостоять им, а также:

  • Рассказывает о социальной инженерии как о науке влияния на жертву с целью спровоцировать ее на выполнение определенных действий и/или раскрытие нужной информации.
  • Содержит бесценную информацию о методах выявления данных, необходимых хакерам для получения доступа к цели.
  • Учит тому, как противостоять действиям социнженеров и предотвращать их деятельность.

6. Leading Effective Virtual Teams: Overcoming Time and Distance to Achieve Exceptional Results
Leading Effective Virtual Teams: Overcoming Time and Distance to Achieve Exceptional Results
Многие ИТ-сервисы, включая техподдержку и R&D, зачастую переводят на аутсорс, причем нередко в другие регионы, потому что так выгоднее. Таким образом, все больше компаний сталкиваются с проблемами, связанными с управлением удаленными командами. Именно для лидеров таких «виртуальных» команд и предназначена эта книжка.

  • Выстраивание доверительных отношений в удаленной команде.
  • Правильное планирование и проведение эффективных виртуальных встреч.
  • Влияние на команду без обладания большими полномочиями.
  • Мотивация удаленной команды с целью добиться от нее максимальной производительности.
  • Сочетание синхронных и асинхронных коммуникаций для более эффективной работы.
  • Выявление культурных и возрастных отличий в условиях отсутствия очного общения.
  • Множество других советов о том, как работать с удаленными командами.

7. CISSP Exam Cram
CISSP Exam Cram
Лишь сертифицированные профессионалы могут отвечать за информационную безопасность в компаниях, и сдача экзамена CISSP — верный способ стать одним из них, примкнув к ИТ-элите. Эта книга является идеальным помощником в подготовке к новой электронной версии CISSP. В ней содержатся описание и практические вопросы к каждой теме экзамена, включая шифрование, «облачную» безопасность, жизненные циклы информации, управление безопасностью и др. Издание содержит обширный набор инструментов для подготовки к CISSP, в том числе примеры экзамена и диск с программой, позволяющей пройти тест и получить соответствующие рекомендации.

Книга содержит всю необходимую информацию для сдачи экзамена CISSP:

  • Обеспечение эффективной физической безопасности во всей организации.
  • Применение надежной аутентификации, авторизации и подотчетности.
  • Создание архитектуры безопасности, которая пройдет проверку, сертификацию и аккредитацию.
  • Понимание принципов новых типов атак и соответствующих контрмер.
  • Использование шифрования для защиты данных, систем и сетей.
  • Защита «облачных» приложений, веб-приложений и баз данных.
  • Разработка программного обеспечения, безопасного в течение всего своего жизненного цикла.
  • Реализация эффективного управления безопасностью и управления рисками.
  • Использование лучших политик, процедур, гайдлайнов и методов управлений.

8. CISSP Practice Exams, Second Edition
CISSP Practice Exams, Second Edition
Если у вас уже есть книга «CISSP All-in-One Exam Guide» Шон Харрис (признанного эксперта в области ИТ-безопасности), то лучшего дополнения к ней, чем второе издание «CISSP Practice Exams», вы не найдете. Книга представляет собой, по сути, самоучитель, охватывающий весь экзамен CISSP, в 10 частях. Каждая из таких частей, из которых состоит книга, помогает сосредоточиться на конкретных темах и содержит подробнейшие разборы вопросов и ответов на них, притом как правильных, так и неправильных.

Каждая глава книги состоит из более чем 25 практических вопросов, дополняемых несколькими сотнями дополнительных вопросов, содержащихся на соответствующем веб-ресурсе. В качестве дополнительного бонуса владелец книги получает доступ к 24 часам аудиозаписей лекций автора.

9. Mobile Device Security For Dummies
Mobile Device Security For Dummies
В корпоративном мире классические компьютеры уже практически вытеснены мобильными устройствами. При этом миллионы сетей, развернутых тут и там, зачастую оказываются защищены крайне слабо, а то и не защищены вовсе. Эта книга представляет собой отличный путеводитель по эффективному обеспечению безопасности в сетях и постройке непробиваемой инфраструктуры, которая защитит все мобильные устройства в компании. Используя сценарии реальных событий, эта книга учит обеспечивать эффективную защиту ценной корпоративной информации, а также:

  • Учит практичному и быстрому подходу к защите мобильных устройств от угроз.
  • Касается важных тем: специфическая защита от хакеров, защита от утраты/хищения данных, резервное копирование и восстановление данных и др.
  • Предлагает советы по защите корпоративных сетей для мобильных устройств.
  • Рассказывает о преимуществах VPN и гранулярного контроля доступа к приложениям.

10. Mobile Authentication: Problems and Solutions
Mobile Authentication: Problems and Solutions
Автор книги обращает пристальное внимание на тему идентификации компьютером человека, делая упор на мобильные сценарии. Взаимодействие человека и компьютера с точки зрения аутентификации — комплексная проблема. Еще в конце прошлого века человеческим фактором можно было пренебречь: предполагалось, что человек или сможет четко следовать инструкциям, или безнадежен и будет постоянно совершать ошибки. Как всегда, правда где-то посередине, что и делает озвученную в книге тему особенно интересной.

Мы не можем развивать технологии идентификации человека компьютером без глубокого понимания обоих участников этого процесса. Мобильная безопасность не обеспечивается простым переносом существующих технологий и практик на смартфоны, потому что они отличаются от обычных компьютеров и используются несколько иначе. Например, ввод текста на мобильном телефоне куда более сложен, что приводит к использованию более простых по сравнению с «настольными» паролей, а встраивание биометрических сенсоров требует специального подхода. Все эти и многие другие вопросы, а также ответы на них можно найти в этой книге.

11. Malware, Rootkits & Botnets A Beginner’s Guide
Malware, Rootkits & Botnets A Beginner's Guide
Своего рода «Карты, деньги и два ствола» на тему безопасности :) Эта книга поможет вам понять, как укрепить безопасность в любой организации и защитить ее от наиболее распространенных сетевых атак. «Malware, Rootkits & Botnets: A Beginner’s Guide» на понятных примерах объясняет природу, сложность и опасность рисков быть атакованным и предлагает лучшие методы защиты от них. После обзора текущей ситуации вокруг угроз автор переходит к описанию полного жизненного цикла угрозы, объясняя, каким образом создаются, распространяются и управляются зловреды, руткиты и ботнеты. Прочитав эту книгу, вы поймете, как идентифицировать и умерять подобные атаки. Описанные в ней шаблоны, методы и примеры позволят вам начать выстраивать эффективную защиту своей сети.