Продовжуючи нову традицію рекомендацій цікавих та корисних книжок за підсумками року, ділюся своїми найбільшими читацькими враженнями у 2020. Цього року я розбив рекомендації на тематичні дописи та в кожному порекомендую лише три назви. Ці книжки я рекомендую для прочитання кожному, хто цікавиться відповідною темою.
Назви творів вказано мовою споживання. Посилання ведуть на джерела, де я їх придбав. У 2020 я багато читав у цифрі, менше в аудіо, і всього одну книгу на папері.
Також, цього року я вперше за багато років читав російською. Попри те, що російська – моя перша мова (а українська – третя), вже понад 10 років я не послуговуюся нею для читання та письма. Годі й казати, що після 2014 року це лише підсилилося. Проте, наприкінці останнього допису серії я порекомендую твір російською.
Кібербезпека
Sandworm: A New Era of Cyberwar and the Hunt for the Kremlin’s Most Dangerous Hackers
By: Andy Greenberg
Ще до виходу ця книжка стала історичною для української кібербезпеки. Енді зробив велику роботу з впорядкування та систематизації подій російсько-української кібервійни та виклав свої знахідки у захопливому детективному стилі.
Натхнені його твором, ми запросили Енді стати ключовим доповідачем на торішній конференції NoNameCon, і він погодився. Але через пандемію COVID-19 не зміг відвідати Київ та був із нами віддалено – як й інші доповідачі.
А шкода, адже ми спеціально замовили дві сотні примірників його книжки в перекладі українською для учасників конференції та сподівалися на справжню автограф-сесію. Іншим разом – головне, що в кожного відвідувача тепер є копія SANDWORM!
Red Team: How to Succeed by Thinking Like the Enemy
By: Micah Zenko
Для ревю цієї книги я зробив окремий допис. Якщо ви пентестер-початківець, вам її читати не обов’язково. Якщо ви в цій галузі з дев’яностих – теж, адже ви були свідком усіх викладених в книзі подій та можливо навіть були їхнім учасником. В протилежному разі, твір однозначно рекомендовано для ретельного вивчення, адже інакше ціла купа нюансів цієї професії, епізодів її історії та нішевих мемів залишаться для вас таємницею – назавжди.
Threat Modeling: Designing for Security
By: Adam Shostack
Моделювання загроз – як тінейджерський секс. Всі про нього думають, багато хто про нього говорить, але майже ніхто його не бачив, а ще менше ним займались.
Попри те, що без якісного моделювання загроз розробки безпечного будь-чого теоретично неможлива, цій вправі приділяють злочинно малу долю уваги в командах обох кольорів. Це неприродно, це неефективно, але це так. “Червоним” моделювання загроз потрібне для якісного планування симуляції атак. “Синім” воно необхідне для оптимального захисту. Але насправді для більшості спеціалістів з безпеки це біла пляма в освіті, яка з часом бодай як компенсується досвідом, експертною інтуїцією та “неявними” моделями загроз із минулих пригод.
Адам Шостак, патріарх дисципліни моделювання загроз, написав цю книжку понад п’ять років тому, і я довгий час використовував її як довідник. І ось нарешті руки дійшли пробігти від початку до кінця, що й усім і рекомендую.
Це все про кібербезпекове читво у 2020. В наступному дописі – наука та філософія.