Кибербезопасность: главные принципы E-Book

Переводчик С. Черников

Рик Ховард

Кибербезопасность: главные принципы. — СПб.: Питер, 2024.

ISBN 978-5-4461-2201-1

© ООО Издательство "Питер", 2024

Посвящается людям, о которых никто не имеет представления и которым предстоит делать то, что никто не может себе представить. Пришло время сделать шаг вперед.

Рик Ховард, автор книги

Посвящается Сенеке, сказавшему, что «самая короткая и беспокойная жизнь бывает у людей, которые не помнят прошлого, пренебрегают настоящим и боятся будущего». Я бы посвятил эту книгу своей семье, но они никогда ее не прочтут.

Стив Винтерфельд, научный редактор

Посвящается специалистам по кибербезопасности, а также хакерам и киберпреступникам, без которых у нас не было бы работы.

Брендон Карпф, научный редактор

Об авторе

Рик Ховард и Стив Винтерфельд крепко дружат уже более 20 лет и все это время спорят обо всем на свете, в том числе о кибербезопасности. Брендон Карпф — коллега Рика по The CyberWire, где одна из его самых обременительных задач сводится к тому, чтобы заставлять Рика придерживаться фактов и выражаться предельно ясно. Памятуя слова Стивена Кинга, эти ребята не дают Рику превратиться в литературного пустозвона.

Рик является главным аналитиком и старшим научным сотрудником крупнейшей в мире сети подкастов, посвященных кибербезопасности в сфере B2B, — The CyberWire, а также руководителем отдела безопасности N2K (материнской компании The CyberWire). Ранее он возглавлял отдел безопасности в компании Palo Alto Networks (коммерческий поставщик услуг в сфере кибербезопасности), работал директором по информационной безопасности в TASC (оборонный подрядчик), генеральным директором iDefense (коммерческая служба анализа киберугроз компании VeriSign), директором глобального SOC-центра компании Counterpane (один из первых поставщиков управляемых услуг по обеспечению безопасности) и командиром группы реагирования на инциденты компьютерной безопасности армии США (отвечает за координацию операций по защите сети, сетевой разведке и реализации атак в глобальной армейской сети). Один из основателей Cyber Threat Alliance (центр обмена информацией и ее анализа для поставщиков систем безопасности) и Cybersecurity Canon Project (Зал славы книг по кибербезопасности). На протяжении многих лет Рик занимался построением организаций с нуля и повышением продуктивности существующих организаций путем разработки стратегий и тактик, соответствующих требованиям высшего руководства. В течение пяти лет он преподавал информатику в Военной академии США и, несмотря на множество ролей, которые ему довелось играть на протяжении своей сорокалетней карьеры, он считает себя прежде всего учителем.

О научных редакторах

Стив Винтерфельд — консультирующий директор по информационной безопасности (ИБ) компании Akamai, где он сотрудничает с клиентами по вопросам стратегии, учит сотрудников службы безопасности и отдела продаж обдумывать актуальные проблемы безопасности и помогает формировать видение продуктовой линейки. До прихода в Akamai он занимался разработкой программ обеспечения безопасности в качестве директора по ИБ банка Nordstrom, директора по кибербезопасности в Nordstrom Corp., а также был руководителем отдела реагирования на инциденты и анализа угроз компании Charles Schwab. Стив познакомился с Риком, когда работал старшим техническим директором и руководителем группы по кибербезопасности компании Northrop Grumman, где создал RCERT South — Южноамериканскую группу реагирования на инциденты компьютерной безопасности армии США. Имеет богатый опыт работы в сфере розничной торговли, финансов, разведки и исполнения государственных контрактов и при этом отлично понимает, как создавать программы обеспечения оперативной обороны, соответствующие нормативным требованиям и способные противостоять как хакерам, так и аудиторам. Стив опубликовал две книги о кибервойнах (одна из них является кандидатом на попадание в Зал славы Cybersecurity Canon), имеет сертификаты CISSP, ITIL и PMP. Стив — постоянный участник группы The CyberWire Hash Table, делится своими экспертными знаниями в нескольких подкастах Рика.

Брендон Карпф — исполнительный директор по развитию новых рынков компании N2K Networks. Ранее он работал техническим редактором и руководителем отдела стратегического планирования в CyberWire, был офицером Центра подготовки к информационным войнам ВМС США. Во время службы в ВМС Брендон занимал должность старшего вахтенного офицера и начальника отделения в отделе обеспечения работы компьютерных сетей Агентства национальной безопасности, в киберкомандовании США — начальника оперативного отдела, в Военно-морской академии США был адъюнкт-профессором в сфере кибернауки. Служил начальником отдела подготовки к информационным войнам на корабле USS Boxer, где являлся экспертом в области криптологии, радиоэлектронной разведки, электронной войны и информационных операций. Брендон с отличием окончил Военно-морскую академию США по специальности «Робототехника и проектирование систем управления», получил степень магистра наук в Массачусетском технологическом институте. Кроме того, он написал множество статей и докладов в области национальной безопасности и политики обеспечения кибербезопасности, кибервойн и операций, технологических рисков и соответствия нормативным требованиям, передовых сетевых архитектур и экосистем оборонных технологий. Он является преподавателем и одним из активнейших слушателей подкастов.

Благодарности

Писать книгу оказалось гораздо сложнее, чем я думал. Мне понравился этот процесс, но надо признать, что на протяжении всего пути мне помогало множество людей. Я бы ни за что не справился с этой задачей в одиночку.

Прежде всего хочу поблагодарить свою замечательную супругу Кэти. Пока я писал книгу, она следила за своевременным выполнением домашних дел, отвлекала меня от потенциальных катастроф и мирилась с моими резкими ответами на важные семейные вопросы. Спасибо, дорогая. Ты самая лучшая жена в мире.

Особую благодарность хочу выразить бывшему начальнику Марку Маклаф­лину. Я имел честь и удовольствие сотрудничать с ним дважды на протяжении своей карьеры — в VeriSign и Palo Alto Networks. Он — лучший руководитель из всех, на кого я когда-либо работал (как в военном, так и в коммерческом секторе), а также потрясающий человек. Спасибо, Марк. Если вам что-нибудь понадобится, просто позвоните.

Хочу выразить признательность своему нынешнему начальнику Питеру Килпу — генеральному директору компании N2K Networks. Когда в начале 2022 года я пришел к нему и сказал: «Я думаю, что у меня достаточно материала для книги, публикацию которой может спонсировать компания», он не посмеялся надо мной и не выгнал из кабинета. Он даже связался со своими приятелями в издательстве Wiley и убедил их в том, что это хорошая идея. Питер, я бесконечно вам благодарен.

Также хочу поблагодарить своего лучшего друга Стива Винтерфельда — одного из редакторов этой книги. Именно ему я звоню, когда мне нужно уехать из страны по той или иной причине. Это тот человек, который делает все без лишних вопросов. Кроме того, это один из умнейших людей на планете в том, что касается кибербезопасности. Многолетняя дружба с ним и бурные обсуждения вопросов кибербезопасности (и посвященных этой теме фильмов) сильно повлияли на мое собственное видение этой области. Помимо прочего, он способен указать на мои глупые ошибки как в жизни, так и при написании книги. Я люблю тебя, дружище.

Хочу сказать спасибо коллегам по The CyberWire Джону Петрику, Элиоту Пельтцману и Брендону Карпфу. Большое количество материала в этой книге взято из статей, которые я писал для своего подкаста CSO Perspectives. Джон отредактировал все эти материалы и сделал так, чтобы я не выглядел полным идиотом. Он весьма плодовитый писатель, чье мастерство и зоркий взгляд помогли мне улучшить свои навыки как автора. Отдельные неудачные моменты — это результат того, что я не прислушался к его советам. Элиот с самого начала был моим звукорежиссером в The CyberWire. Его понимание того, что звучит хорошо, а что — нет, сделало из меня гораздо лучшего рассказчика. Наконец, Брендон, один из редакторов книги и относительный новичок по сравнению с остальными старожилами, способен впитывать информацию как губка и быстро указывать на речевые и логические ошибки, которые я никогда бы не обнаружил самостоятельно. Спасибо вам всем.

Я также хочу поблагодарить своего друга и коллегу Джека Фройнда за рецензирование главы, посвященной прогнозированию рисков. Чтение книги Джека Measuring and Managing Information Risk: A Fair Approach, написанной в соавторстве с Джеком Джонсом и включенной в Зал славы Cybersecurity Canon, стало моим первым шагом на пути к пониманию темы прогнозирования рисков. Когда я обращался к Джеку за помощью, он всегда откликался. Спасибо вам, сэр.

Благодарю своего друга Джорджа Финни, который любезно отрецензировал главу, посвященную стратегии нулевого доверия. Он сам написал книгу Project Zero Trust: A Story about a Strategy for Aligning Security and the Business, которую я очень рекомендую. Мы с Джорджем познакомились много лет назад благодаря интересу к книгам и кибербезопасности. Спасибо за помощь, Джордж. Твоя рецензия успокоила меня и убедила в том, что я живу не в сумасшедшем мире.

Благодарю свою давнюю коллегу и подругу Джорджиану (Джорджи) Ши. Я не раз обращался к ней за помощью в ходе работы над своими проектами (Cybersecurity Canon и The CyberWire Hash Table), она здорово помогла мне и в этот раз, отрецензировав главу, посвященную киберустойчивости. Джорджи, ты лучше всех.

Я также хочу сказать спасибо Адаму Барлоу и Шридеви Джоши, которые часами сидели со мной у доски в поисках простого способа оценки риска. С каждой нашей встречей я на шаг приближался к цели. Их рецензия на главу о прогнозировании риска была бесценной.

Выражаю признательность своему новому другу и коллеге Джону Эйбену, который превратил мои заметки, сделанные мелками и скотчем, в прекрасные иллюстрации. Благодаря его работе я даже стал гораздо лучше понимать собственные идеи. Благодарю тебя, Джон.

Наконец, я хочу сказать спасибо своим коллегам из издательства Wiley за помощь в редактировании книги. Именно их надежные руки помогли мне, автору-новичку, не сбиться с пути. Особую благодарность выражаю Джиму Минателу, Дебиану Уизерспуну, Питу Гогану, Мелиссе Берлок, Магешу Эланговану и Киму Вимпсету.

Предисловие. Кто мы такие

Я не хотел писать книгу, даже такую короткую, как эта, из-за которой я чувствовал бы себя литературным пустозвоном или трансцендентальным кретином. Благо таких книг и таких писателей на рынке предостаточно.

Стивен Кинг, писатель

За мою карьеру мне довелось поработать генеральным директором в двух замечательных компаниях — VeriSign и Palo Alto Networks. С некоторыми выдающимися людьми мне посчастливилось работать в обеих компаниях, и Рик Ховард был одним из таких специалистов. В те времена, когда компания VeriSign была не только ведущим поставщиком интернет-инфраструктуры, но и значимым игроком в сфере безопасности, Рик руководил бизнесом под названием iDefense. Именно тогда я впервые увидел его в качестве практикующего специалиста по ИБ, евангелиста, лидера и рассказчика, что является редким сочетанием в любой сфере, тем более в области безопасности. Мне посчастливилось поучиться у него, в том числе умению объяснять очень сложные вещи доступно и понятно.

Рик умеет воспринимать общую картину, не упуская из виду сиюминутных потребностей, с которыми сталкиваются специалисты по кибербезопасности. Как оказалось, этот навык очень полезен в сфере, которая развивается с огромной скоростью и на переднем крае которой находятся злоумышленники. Поэтому неудивительно, что вскоре после прихода в Palo Alto Networks в 2011 году я попытался привлечь Рика к работе в качестве нашего первого руководителя отдела безопасности (CSO). Несмотря на то что в то время эта компания была довольно небольшой и я не смог четко описать ему роль CSO, Рик присоединился к нам, разделив наши видение и миссию, направленную на защиту цифрового образа жизни. Он быстро стал неотъемлемой частью команды и пользовался большим авторитетом у наших клиентов, потенциальных заказчиков и в отрасли в целом.

Рик сыграл важную роль в создании и успешной работе таких организаций, как Unit 42 (первая в компании публичная группа киберразведки), Cyber Threat Alliance (первый центр обмена информацией и ее анализа для поставщиков систем безопасности), CyberSecurity Canon Project и Joint Service Academy Cyber Summit. На этом пути он продемонстрировал свою удивительную способность обобщать всю историю кибербезопасности, делать ее актуальной для конкретного слушателя, а также давать советы и рекомендации относительно вероятного будущего этой сферы. Учитывая его способности и увлеченность, совсем не удивительно, что в настоящее время Рик является директором по безопасности, старшим научным сотрудником и главным аналитиком компании The CyberWire, а его статьи и подкасты пользуются огромной популярностью. Я часто советую послушать Рика новичкам в сфере кибербезопасности, желающим понять, что в ней происходит. И когда люди пишут такие книги, как The Perfect Weapon и This Is How They Tell Me The World Ends, они в первую очередь упоминают людей вроде Рика. В своей новой книге, которую вы держите в руках, он поделился муд­ростью, опытом и актуальными советами, а главное — объяснил важность основополагающих принципов обеспечения кибербезопасности. Я уверен, что она вам понравится и принесет пользу.

И не забудьте ознакомиться со всеми подкастами Рика на сайте CyberWire. Они все замечательные. Однако если вы намерены прослушать только один из них, то пусть это будет A CSO’s 9/11 Story: CSO Perspective. Из него вы узнаете все, что нужно знать о Рике. В Вест-Пойнте, нашей общей альма-матер, говорили, что лидеры — это те, кто бежит на звук выстрела, а не прочь от него. Именно таким лидером и является Рик.

Приятного чтения!

Марк Маклафлин, бывший президент, генеральный директор и председатель совета директоров компании Palo Alto Networks, председатель совета директоров компании Qualcomm, Inc., член и бывший председатель Консультативного совета национальной безопасности США в сфере телекоммуникаций

Введение

Наметьте свое будущее, но сделайте это карандашом. Дорога впереди будет настолько длинной, насколько вы захотите. Сделайте так, чтобы путешествие оказалось стоящим.

Джон Бон Джови, американский певец, автор песен, гитарист и актер

Для кого предназначена книга

Эта книга посвящена переосмыслению темы кибербезопасности с использованием идеи базовых принципов. Я подробно объясню, что имею в виду, в главе 3 «Нулевое доверие», но по сути речь идет о фундаментальных истинах, лежащих в основе построения любой программы обеспечения кибербезопасности. Таким образом, при написании книги я ориентировался на широкий круг специалистов по ИБ, относящихся к трем группам.

Первая группа состоит из руководителей отделов безопасности. Это мои коллеги и люди, которые работают на них, обеспечивая кибербезопасность коммерческого сектора, правительственных (как политических, так и технических) и научных кругов. С помощью идеи базовых принципов я собираюсь бросить вызов тому, как представляют себе кибербезопасность ветераны сферы сетевой защиты. Я хочу доказать, что на протяжении последних 25 лет мы делали это неверно, и рассмотрение основных принципов поможет вернуться на правильный путь и изменить нынешний образ мышления, чтобы занять оборонительные позиции, обеспечивающие более высокую вероятность успеха.

Вторая группа — новички в сфере кибербезопасности. Это молодые свежеиспеченные выпускники вузов, государственные служащие, перешедшие в коммерческий сектор, а также люди, уставшие от прежней работы и рассматривающие построение карьеры в области кибербезопасности как более интересное и прибыльное занятие. Я дам этим людям базовые знания, основанные на фундаментальных принципах, а также познакомлю их с историей сферы кибербезопасности, чтобы они понимали, каковы текущее положение дел и потенциальные направления развития.

К последней группе относятся преподаватели и студенты начальных и старших курсов. В рамках дисциплины «Кибербезопасность» возможно множество важных и увлекательных направлений, которые, по мнению многих студентов и преподавателей, слабо связаны между собой и из-за большого объема материала кажутся непосильными для изучения. Описанные в этой книге базовые принципы кибербезопасности станут основой вашей учебной программы. Я покажу, как можно все свести к основным принципам, что позволит студентам справиться с тем объемом материала, который им предстоит изучить.

При этом специалисты по защите сетей, как правило, работают в организациях трех типов: коммерческих, государственных и научных. Я могу привести аргументы в пользу существования двух категорий защитников правительственных сетей: традиционных защитников (делающих то же, что и их коллеги из коммерческих и научных организаций) и специалистов по наступательным операциям, занимающихся шпионажем и низкоуровневыми киберконфликтами (кибервойнами). В книге речь пойдет только о первой категории.

Наконец, с самых первых дней существования Интернета в плане сетевой защиты организации находились в промежутке между «имущими» и «неимущими», и их место в нем обычно, но не всегда зависело от размера организации. «Неимущими», как правило, оказываются небольшие организации (например, стартапы и органы власти городского/окружного уровня), у которых едва хватает средств на оплату счетов за электричество. К «имущим» в основном относятся крупные организации (например, компании из списка Fortune 500), обладающие большим количеством свободных ресурсов. Я опишу основанные на базовых принципах кибербезопасности стратегии и тактики, которые должна учитывать любая организация, реализующая программу информационной безопасности, независимо от ее размера. Полноценное внедрение всех этих стратегий и концепций требует больших затрат, что по силам лишь крупным компаниям. Тем не менее их нельзя считать некими чек-листами. Это способы, позволяющие снизить вероятность нанесения существенного ущерба. В зависимости от условий, в которых вы находитесь, одни из них будут работать лучше, чем другие. Специально для «неимущих» я по возможности постараюсь описать способы реализации этих идей при ограниченном бюджете.

О чем пойдет речь

Базовые принципы той или иной проблемной области настолько фундаментальны, что являются самоочевидными; настолько элементарны, что ни один специалист в данной области не может их оспорить; настолько важны для ее понимания, что без них инфраструктура, на которой держится наша передовая практика, рассыпалась бы как песчаный замок во время прилива. Они атомарны. Эксперты используют их как строительные блоки для получения всего остального, что известно в выбранной проблемной области. Все новые знания, полученные в ней, зависят от ранее сформулированных основных принципов. Это означает, что существует некий абсолютный первичный принцип, дающий начало всему.

В научных кругах, правительстве и коммерческом секторе начали осо­знавать пользу Интернета в начале 1990-х годов. Примерно в то же время киберзлодеи открыли возможности использования Сети для совершения преступлений, шпионажа, хактивизма1, военных действий и проведения операций влияния. Организации стали нанимать сетевых защитников вроде меня, чтобы противостоять разрушительной деятельности этих «черных шляп». На первых порах сообщество сетевых защитников делало множество предположений о том, как можно достичь этой цели. Двадцать пять лет спустя оказалось, что многие из них вовсе не являлись базовыми принципами — в основном это были простые предположения. Настало время пересмотреть свой образ мышления и определить, каковы главные принципы кибербезопасности и какой из них является абсо­лютным.

В книге я привожу аргументы в пользу атомарного принципа кибербезопасности, объясняю стратегии, необходимые для его воплощения, и рассматриваю тактики, техники и процедуры, позволяющие реализовать каждую из них.

Значения используемых терминов

Далее приведены определения нескольких используемых в этой книге терминов, облегчающие понимание изложенного материала.

Кибербезопасность

Я использую термин «кибербезопасность» в качестве всеобъемлющего обозначения работы, которую выполняют специалисты-практики. За прошедшие годы в сообществе появилось множество синонимов, имеющих то же значение. Вот лишь некоторые из них:

• цифровая безопасность;

• безопасность информационных технологий (ИТ);

• ИТ-безопасность;

• информационная безопасность (InfoSec).

Для моих целей все они обозначают одно и то же, поэтому используются как взаимозаменяемые.

Профессионалы в области кибербезопасности

То же самое можно сказать об определениях, которыми мы описываем друг друга:

• практикующие специалисты в области информационной безопасности;

• защитники сети;

• специалисты по безопасности;

• профессионалы в области безопасности.

Эти понятия я также использую как синонимы.

Организации

Как правило, существует три типа организаций, инвестирующих в триаду «люди — процессы — технологии» в сфере кибербезопасности: коммерческие компании, правительственные и научные учреждения. Если я упоминаю один из этих типов организаций, считайте, что говорю обо всех сразу. Когда это не так, я прямо на это указываю.

Проект Cybersecurity Canon Project

Проект Canon (cybersecuritycanon.com) — это попытка сообщества специа­листов по кибербезопасности выделить книги, которые следует прочесть профессионалам в этой области. Я основал данный проект в 2013 году, а на момент написания книги его спонсором является Университет штата Огайо. Я ссылаюсь на многие полезные книги, как уже вошедшие в этот Зал славы, так и на те, что являются кандидатами на попадание в него. Обзоры этих и многих других книг можно найти на веб-странице проекта.

Военные истории Рика

Я работаю в сфере кибербезопасности уже более 30 лет. За это время я сталкивался с ситуациями, о которых некоторые читатели, вероятно, захотели бы узнать. Я называю их военными историями. Многие из них очень далеки от рассматриваемой темы, а некоторые вообще не имеют к ней отношения (они мне просто нравятся). Часть из них я пересказал в книге. При этом я понимаю, что некоторые читатели могут захотеть ознакомиться только с основным ее содержанием (как, например, один из моих редакторов, Стив Винтерфельд, который стремится пропускать подобные истории). Чтобы облегчить задачу таким читателям, я выделил текст моих военных историй серым цветом.

Сайт книги

В ходе предварительного исследования я подготовил дополнительные материалы, которые помогли мне организовать мыслительный процесс. К ним относятся:

• манифест гибкой разработки программного обеспечения (Agile-мани­фест);

• истории успеха Байеса (взяты из книги Шэрона Макгрейна The Theory That Would Not Die);

• историческая хронология развития хаос-инженерии;

• книги, вошедшие в Зал славы Cybersecurity Canon;

• историческая хронология развития сферы кибербезопасности;

• исторические этапы становления разведки в области кибербезопасности;

• историческая хронология развития сферы шифрования;

• хронология взлома Equifax;

• исторические этапы становления сферы идентификации и аутентификации;

• девять правил нулевого доверия, предложенные Киндервагом;

• историческая хронология появления «красной» и «синей» команд;

• хронология взлома системы безопасности RSA;

• историческая хронология развития парадигмы программно-определяемого периметра (Software Defined Perimeter, SDP);

• резюме исследования того, почему тепловые карты — плохое средство передачи информации о рисках (Why Heat Maps Are Poor Vehicles for Conveying Risk).

Чтобы понять мои основные тезисы, вам не обязательно обращаться к этим материалам, однако некоторые из них могут оказаться полезными или по крайней мере интересными.

Дополнительную информацию вы можете найти на сайте thecyberwire.com/CybersecurityFirstPrinciplesBook.

Дорожная карта

Данная книга охватывает довольно большой объем материала. Если вы запутались в круговороте идей и не можете понять, где находитесь по отношению к главному тезису, обратитесь к схеме, изображенной на рис. В.1. Читайте ее снизу вверх. Первая строка — это основа, абсолютный, базовый принцип кибербезопасности (см. главу 1). Следующие две строки указывают на стратегии, которые можно использовать для реализации этого первичного принципа: нулевое доверие (см. главу 2), предотвращение реализации убийственной цепочки вторжения (kill chain) (см. главу 4), обеспечение устойчивости (см. главу 5), прогнозирование рисков (см. главу 6) и автоматизация (см. главу 7). В остальных блоках указаны тактические приемы, которые можно использовать для реализации каждой из названных стратегий. Им посвящены разделы соответствующих глав. Серые линии отражают связи между стратегиями и тактиками. Обратите внимание на то, что стратегия автоматизации и тактика соблюдения нормативных требований связаны со всеми остальными элементами. В главе 7 вы узнаете почему.

Рис. В.1. Дорожная карта основных принципов кибербезопасности

От издательства

Ваши замечания, предложения, вопросы отправляйте по адресу [email protected] (издательство «Питер», компьютерная редакция).

Мы будем рады узнать ваше мнение!

На веб-сайте издательства www.piter.com вы найдете подробную информацию о наших книгах.