Читаем Как противостоять хакерским атакам. Уроки экспертов по информационной безопасности полностью

Я спросил Маргосиса, как он стал работать над своей выдающейся бесплатной безопасной диагностикой и настройкой инструментов. Он ответил: «Это началось с моей задумки по продвижению работы в качестве не-администратора. Правительство санкционировало Федеральную конфигурацию ядра рабочего стола (FDCC), которая включала большой набор параметров безопасности и требовала, чтобы конечные пользователи не подключались с правами администратора, что соответствовало тому, что я делал. Благодаря этому я узнал много нового о параметрах безопасности и групповой политике, а также разработал инструменты для автоматизации задач, которые не были достаточно освещены ранее. Получается, что приведение хорошо проработанных, испытанных и широко используемых базовых показателей – огромное преимущество для клиентов с точки зрения времени и качества. Если бы у нас их не было, каждый клиент в итоге должен был бы выполнять эту работу самостоятельно, что заняло бы много времени и, вероятно, привело бы к неоптимальным результатам. Легко ошибиться и сделать неправильные предположения».

Я спросил Маргосиса, над чем он работает сейчас, кроме базовых версий и конфигураций безопасности. «Я много работаю над белыми списками приложений, используя технологии AppLocker и Device Guard от Microsoft. Это будет мощная и необходимая для компаний защита от вымогателей и других видов вредоносных программ. Но для частных конечных пользователей реализовать ее будет сложно. На предприятии конечные пользователи не должны принимать решения о доверии, поэтому белый список возможен только в хорошо управляемой организации.

Я вижу сходство в том, что делаю сейчас в управлении приложениями и что делал со стандартными пользователями много лет назад. Обе вещи необходимы для лучшей информационной безопасности, и обе ломают программное обеспечение, потому что предположения, которые делали разработчики, больше неактуальны. Вендоры ПО должны перестать предполагать, что их программы могут хранить данные в каталоге программных файлов, и им придется перестать рассчитывать на то, что они смогут активироваться из профиля пользователя или других каталогов, доступных для записи. В то же время это будет интересная проблема совместимости приложений».

Я спросил, что ему было бы интересно узнать об информационной безопасности более подробно. Он колебался минуту, а затем сказал: «Я хотел бы знать, как убедить людей быстрее принимать правильные решения. Не думаю, что я сам научился делать это так хорошо, как мог бы. Я знаю, что поступаю правильно, но умение убедить людей поможет быстрее усовершенствовать безопасность».

Я думаю, что многие люди, описанные в этой книге, поймут боль Маргосиса.

Более подробную информацию об Аароне Маргосисе вы можете найти по ссылкам:

• Troubleshooting with the Windows Sysinternals Tools (2-е издание): https://www.amazon.com/Troubleshooting-Windows-SysinternalsTools-2nd/dp/0735684448;

• Windows Sysinternals Administrator’s Reference: https://www.amazon.com/Windows-Sysinternals-Administrators-Reference-Margosis/dp/073565672X;

• блог Аарона Маргосиса о работе не-администратора: https://blogs.msdn.microsoft.com/Aaron_Margosis;

• технический блог Аарона Маргосиса на US Government Configuration Baseline (USGCB): https://blogs.technet.microsoft.com/fdcc;

• блог Аарона Маргосиса на Microsoft Security Guidance: https://blogs.technet.microsoft.com/SecGuide.

Во второй главе «Как хакеры взламывают» описывались различные способы, которыми злоумышленники пытаются использовать вычислительное устройство. Это физические нападения, уязвимости нулевого дня, устаревшие программы, социальная инженерия, пароли, проблемы, атака через посредника, утечка данных, DDoS-атаки, ошибки пользователей и вредоносные программы. Все эти атаки могут быть выполнены как на самом вычислительном устройстве, так и в сети, подключенной к вычислительному устройству.

Сетевые атаки могут произойти в любом месте модели Open Systems Interconnection (OSI) (https://en.wikipedia.org/wiki/OSI_model). Модель OSI – широко известная и используемая конструкция, показывающая различные уровни взаимодействия по сети и сетевому вычислительному устройству. У модели OSI есть семь уровней:

• физический;

• канальный;

• сетевой;

• транспортный;

• сеансовый;

• представительский;

• прикладной.