Читаем Как противостоять хакерским атакам. Уроки экспертов по информационной безопасности полностью

Не будем забывать о традиционных хакерах, которые взламывают для собственных индивидуальных потребностей, будь то финансовая выгода или желание доказать, что они на это способны. Десять или более лет назад эта группа скомпрометировала почти все взломы. Хакерский мир не был заполнен профессиональными преступниками. Большинство довольствовались тем, что просто писали компьютерный вирус, который печатал забавную поговорку на компьютере или запускал игру Yankee Doodle Dandy в заданное время. Некоторые из них нанесли реальный ущерб, такие как загрузочный вирус Микеланджело, который отформатировал жесткие диски. Но большинство из них были просто чьим-то тщеславным проектом, способом сказать, что они достаточно умны, чтобы сделать это. Они не хотели причинить реальный, повсеместный вред.

Моделирование угроз – это то, что должны делать разработчики и каждый специалист по ИБ. Оно эффективно снижает риск путем ранжирования угроз на основе ущерба, который они могут причинить. Если у вас нет модели угроз, вы просто гадаете и блуждаете в чаще информационной безопасности.

Следующая глава посвящена профилю Адама Шостака, уважаемого специалиста по моделированию угроз.

Одна из моих первых встреч с Адамом случилась в Microsoft, когда он изобретал новый способ решения проблемы. В данном случае речь шла о том, как победить червя Conficker (https://en.wikipedia.org/wiki/Conficker). Conficker был особенно неприятной вредоносной программой, которая появилась в конце 2008 года. У нее было несколько способов распространения (таких как «векторы»), включая взлом слабо защищенных паролем файловых ресурсов, исправление уязвимостей программного обеспечения, а также через USB-накопители с помощью встроенной функции автозапуска Windows. Conficker заражал миллионы машин в год и не проявлял никаких признаков ослабления. Вендоры антивирусных программ легко обнаруживали его, и Microsoft выпустила несколько статей о том, как остановить ее распространение, но она все равно делала свое дело.

Шостак предложил для изучения проблемы использовать анализ данных. Он совместно с Microsoft начал смотреть, какие векторы атаки позволяют Conficker распространяться больше всего. Первоначальное предположение состояло в том, что большинство пользователей инфицированных компьютеров не применяли доступный патч. И это действительно было одним из самых популярных векторов на раннем этапе. Но теперь, почти два года спустя, Шостак узнал, что в значительной степени это происходило из-за зараженных USB-ключей. Используя данные, которые собрал сам, он предложил Microsoft отключить функцию автозапуска, что было гениальным решением. Это означало изменение способа работы Windows, и Адам собирался заставить всех пользователей совершать дополнительные действия для запуска файлов со съемных носителей. Автозапуска больше не было. Microsoft выдвинула обновление, которое отключило эту функцию. Так умер Conficker. Точнее, не совсем умер, но перестал быть огромной проблемой. С тех пор распространение вредоносных программ через USB-ключи перестало быть проблемой в целом.

Подход Шостака и Microsoft к использованию данных для управления безопасностью оказал на меня огромное влияние. Благодаря этому я написал то, что считаю самой важной своей работой, – Implementing a Data-Driven Computer Security Defense (https://gallery.technet.microsoft.com/Fixing-the-1Problem-in-2e58ac4a), которая с тех пор была рекомендована для чтения многими отраслевыми светилами и группами.

Позже я прочитал книгу Шостака Threat Modeling: Designing for Security (https://www.amazon.com/Threat-Modeling-Designing-Adam-Shostack/dp/1118809998). Было ясно, что он действительно понимает моделирование угроз и ошибки в других моделях и реализациях. Это по-прежнему одна из лучших книг, которые я рекомендую людям, заинтересованным в моделировании угроз. Шостак работал в Microsoft, помогая с несколькими проектами, вроде отключения автозапуска, чтобы остановить вредоносные программы, такие как червь Conficker, инструмент моделирования угроз SDL (https://www.microsoft.com/en-us/sdl/adopt/threatmodeling.aspx) и повышение привилегий моделирования угрозы (https://www.microsoft.com/en-us/sdl/adopt/eop.aspx). Он стал соучредителем Симпозиума по технологиям повышения конфиденциальности и Международной ассоциации финансовой криптографии. Кроме того, он хороший писатель, блогер и спикер.