Читаем Как противостоять хакерским атакам. Уроки экспертов по информационной безопасности полностью

Я закончил интервью, спросив, что бы он порекомендовал молодым специалистам в области ИБ. Он ответил: «Две вещи. Во-первых, я думаю, что студенты могут извлечь выгоду путем изучения гуманитарных дисциплин (психологии, философии и др.). В начале карьеры я изучал науку об окружающей среде. Я узнал, что на проблемы экологии влияют политические, правовые и экономические проблемы, и, если их не решить, невозможно помочь экологии. То же самое с ИБ. Конечно, есть технические вопросы, но вы должны понимать политические, юридические и экономические аспекты, если хотите решить технический вопрос. Это не просто проблема с брандмауэром. Кроме того, научитесь писать. Во-вторых, приобретаемые вами технологические навыки не так важны, как умение думать. Технологические проблемы, с которыми я столкнулся, когда впервые вошел в это поле, даже не близки к современным. Мир ИТ постоянно меняется. Но подход, который я использую, остается прежним. Я стараюсь смотреть на крупные проблемы и спрашивать себя, почему они возникают. Я хочу найти проблему с широким диапазоном, но сузить фокус достаточно, чтобы ее решить. Вы не можете сразу справиться с крупными проблемами. Читатели должны выбрать правильные проблемы, значимые для них, задать правильные вопросы, а затем найти рычаги, которые могут использовать, чтобы повлиять на них».

Более подробную информацию об Адаме Шостаке смотрите по ссылкам:

• Threat Modeling: Designing for Security: https://www.amazon.com/Threat-Modeling-Designing-Adam-Shostack/dp/1118809998;

• The New School of Information Security (в соавторстве с Эндрю Стюартом): https://www.amazon.com/New-School-Information-Security/dp/0321814908;

• веб-сайт Адама Шостака: https://adam.shostack.org/;

• Адам Шостак в Twitter: http://twitter.com/adamshostack;

• профиль Адама Шостака на LinkedIn: http://www.linkedin.com/in/shostack/.

Один совет, который дал почти каждый человек, о котором мы говорили, – это необходимость более качественного образования в области ИБ. Нет никакой уверенности в том, что некое совершенное технологическое решение, которое исключит необходимость рассказывать людям об угрозах ИБ и о том, как с ними обращаться, вскоре будет найдено. Некоторые «эксперты» по ИБ утверждают, что это пустая трата времени – пытаться обучить конечных пользователей, но большинство серьезных специалистов по безопасности знают, что образование для конечных пользователей и сотрудников принесет только пользу.

Мой нынешний работодатель, Microsoft, заставляет всех сотрудников проходить ежегодное обучение информационной безопасности по нескольким темам. Например, в течение года мы получали много электронной почты фишинга, и в конце нам показали обучающее видео с участием уважаемого сотрудника, обманутого таким способом. Он работал в области, которая требует обширных знаний в сфере ИБ. Короче говоря, ему стоило быть более внимательным к социальной инженерии с помощью фишинговой электронной почты, но случилось то, что случилось. Он поделился своим опытом, в том числе тем, как попался на хорошо продуманную, целенаправленную попытку фишинга. Было интересно видеть, что один из наших технологических лидеров тоже совершает ошибки и рассказывает, как это произошло. Затем он рассказал, что, хотя и был смущен этой ситуацией, не стыдился сообщить об инциденте ради безопасности других. Это было чрезвычайно хорошо продуманное образовательное видео, которое привело к значительно меньшему количеству успешных фишинговых атак. Обучение оказалось настолько успешным, что к командам Microsoft IT security весь год приходили люди, чтобы узнать, не являются ли подозрительно выглядящие, но законные письма фишинговыми. Некоторые даже говорили, что этот случай был слишком показательным.

Другие образовательные видео в предыдущие годы охватывали тему получения паролей путем обмана. Образование может помочь значительно снизить угрозы информационной безопасности.

Обучение в сфере ИБ поставляется во многих вариантах и подходах. В следующих разделах рассматриваются некоторые темы, которыми могут воспользоваться люди, заинтересованные в обучении в сфере ИБ.