Читаем Как противостоять хакерским атакам. Уроки экспертов по информационной безопасности полностью

Я знал, что Уиндоу участвовала в разработке жизненного цикла безопасности (SDL) в Microsoft. Меня интересовало, как это произошло и что именно она сделала. Она ответила: «Когда я впервые попала в Microsoft, эта тема не была хорошо продумана. Безопасностью занимались всего одиннадцать сотрудников. Я была двенадцатой, сосредоточившейся на безопасности Windows. И тогда мы в основном реагировали на те уязвимости, которые находили другие люди. Не было сильной внутренней программы. Затем появились SQL Slammer и Blaster. Я помогала в создании первых основных методологий моделирования угроз [и написала в соавторстве книгу на эту тему]. С моей помощью началось активное обнаружение ошибок и общение с пользователями. Когда я впервые попала в Microsoft, если кто-то извне обнаруживал ошибку безопасности, компания называла их хакерами. СМИ в то время смешивали хакеров всех мастей с преступниками. Но люди, сообщающие о проблемах в Microsoft, даже публично писавшие о них, не были преступниками. Я помогала продвигать информационные программы, чтобы сделать этих людей нашими союзниками, а не противниками. Одним из таких улучшений было назвать их исследователями безопасности, а не хакерами, чтобы сосредоточиться на том, что их работа оказалось ценным вкладом. Я также помогла создать программу, спонсировавшую множество небольших внешних хакерских конференций, таких как Hack-in-the-Box. Мы смогли в итоге изменить представление о том, что Microsoft не заботится о безопасности или не знает о ней, и стали вместе с этими исследователями командой.

Когда я попала в Microsoft, не было никого, кто занимался бы безопасностью продуктов Windows, поэтому я вмешалась. Я представляла безопасность на “военных собраниях” Windows, где общались спонсоры и заинтересованные стороны. Было огромное количество ошибок, которые мы решали в своего рода игровом стиле, и это было неэффективно. В рамках SDL мы начали рассматривать более глобальные причины ошибок, пытаясь найти более широкие категории, которые, если бы были исправлены, смягчили бы сразу много ошибок. Мы взяли уроки у сторонних хакеров и начали применять их в других продуктах, например в Microsoft Office».

Я попросил ее назвать еще один ценный урок, который она извлекла из этого опыта. Она поделилась: «За сегодняшним вредоносным ПО стоит целая финансовая система. Есть одна команда людей, обнаруживающая уязвимости, и другая команда, которая превращает эту уязвимость в эксплойт или набор эксплойтов. Таким образом, есть люди, которые могут взломать множество сайтов, и те, кто может это исправить. Если вы можете сделать ключевые точки системы более трудными или дорогими для взлома, то и всю цепочку сложнее сломать. Microsoft и Windows недостаточно рано это поняли. Когда я присоединилась, они уже испытывали натиск вредоносных программ, червей и вирусов. Позже я начала работать на других платформах, включая iOS и OS X в Apple, и использовала свой опыт, чтобы успешно поставить препятствия, которые делали вредоносную систему менее действенной и прибыльной. Если вы можете подорвать экономику вредоносных программ, то можете выиграть и таким образом тоже».

Снайдер работала в некоторых из самых известных крупных компаний. Интересно, что общего она видит в корпорациях, которые так сильно отличаются? «Во всех компаниях вы должны заставить безопасность работать на конечных пользователей. Функции безопасности, которые стоят слишком дорого или сильно прерывают обычный рабочий процесс, не будут работать. Нам нужно реализовать большую и лучшую безопасность, но не мешать пользователю. Кроме того, не собирайте данные, которые вам не нужны. Если вы занимаетесь сбором, то должны защитить данные и предоставить пользователям контроль над ними. Самая большая проблема в сфере ИБ – это успешное выполнение того, что мы уже умеем делать».

Без сомнений, ее позицию можно считать экспертной.

Более подробную информацию об Уиндоу Снайдер смотрите по ссылкам:

• профиль Уиндоу Снайдер на LinkedIn: https://www.linkedin.com/in/window;

• Уиндоу Снайдер в Twitter: https://twitter.com/window.

Я дважды завалил английский в школе. В аспирантуре, во время стажировки в больнице, мой первый корпоративный отчет был настолько плох, что босс вслух разругал всю систему образования нашей страны. Когда я время от времени перечитываю его, чтобы напомнить себе, с чего начал, мне физически больно. Почти 30 лет спустя я стал автором или соавтором девяти книг и почти 1000 статей в национальных журналах по информационной безопасности, а также веду колонку, посвященную ИБ, в журнале InfoWorld вот уже 12 лет. Все благодаря моему брату (первому и лучшему настоящему писателю в семье), моей настойчивости и множеству хороших редакторов.