- عنوان کتاب: Defensive Security Handbook – Best Practices for Securing Infrastructure – Second Edition
- نویسنده: Amanda Berlin, Lee Brotherston
- حوزه: امنیت زیرساخت
- سال انتشار: 2024
- تعداد صفحه: 363
- زبان اصلی: انگلیسی
- نوع فایل: pdf
- حجم فایل: 8.85 مگابایت
در طول دهه گذشته، پذیرش فناوری در سراسر جهان به طور انفجاری افزایش یافته و شرکتها برای همگام شدن با آن تلاش کردهاند. قابلیت استفاده و ایجاد درآمد از عوامل محرک اصلی بودهاند، و اغلب طراحی پیشگیرانه و امنیت مورد نیاز برای ثبات بلندمدت نادیده گرفته میشود. با افزایش هکهای خبری فوری، نشت دادههای رکوردشکن و حملات باجافزاری، وظیفه ما نه تنها کنار آمدن با نصبهای پیشفرض، بلکه ایمنسازی دادهها و داراییهایمان به بهترین شکل ممکن است. همیشه مواردی وجود خواهد داشت که در آن وارد محیطی میشوید که به یک تصادف قطار تشبیه شده و آتشسوزیهای زیادی دارد که حتی نمیدانید از کجا شروع کنید. این کتاب آنچه را که برای ایجاد یک طراحی محکم و ایمن برای اکثر موقعیتهایی که ممکن است با آن مواجه شوید، نیاز دارید، در اختیار شما قرار میدهد. حملات مدرن میتوانند با انگیزههای مختلفی رخ دهند و توسط افرادی از گروههای جرایم سازمانیافته که به دنبال کسب درآمد از نقضها هستند گرفته تا هکتیویستهایی که به دنبال مجازات سازمانهایی هستند که آنها را غیراخلاقی یا مخالف منافع عمومی میدانند، انجام میشوند. انگیزه و هر کسی که مهاجم باشد، تعداد زیادی از حملات توسط افراد ماهر، اغلب با بودجه، سازماندهی و انجام میشوند. این تغییر در چشمانداز، بسیاری از سازمانها را به بازی جبران عقبماندگی در حوزه امنیت اطلاعات سوق داده است و اغلب متوجه میشوند که برنامه امنیت اطلاعات آنها یا حمایت اجرایی لازم را دریافت نکرده یا اصلاً از ابتدا وجود نداشته است. این سازمانها به دنبال اصلاح این وضعیت و شروع مسیر برای شروع یا بلوغ تلاشهای امنیت اطلاعات خود هستند. با این حال، مشکلی وجود دارد. امنیت اطلاعات صنعتی است که در حال حاضر دورهای از بیکاری منفی را تجربه میکند؛ به این معنی که تعداد موقعیتهای شغلی خالی بیشتر از تعداد کاندیداهای موجود برای پر کردن آن موقعیتها است. استخدام افراد دشوار است و استخدام افراد خوب دشوارتر. برای کسانی که به دنبال استخدام هستند، این میتواند یک موقعیت سودمند باشد. با این حال، برای کارفرمایانی که به دنبال استخدام فردی برای موقعیت امنیت اطلاعات هستند، ریسک بالایی دارد، زیرا آنها با داراییهای هنگفت احتمالی در یک استخدام جدید، اعتماد خاصی را القا میکنند. تعداد زیادی از مشکلاتی که شرکتهایی با برنامه امنیت اطلاعات نابالغ با آن مواجه میشوند، با رعایت برخی اصول اولیه امنیت قابل اصلاح یا حداقل کاهش قابل توجه است. واکنش عجولانه به وظیفه به ارث بردن یک بخش امنیتی جدید و نابالغ میتواند خرید هرچه بیشتر دستگاههایی با LEDهای چشمکزن باشد، به این امید که مشکلات را حل کنند. برخی افراد ترجیح میدهند به شرکت دیگری پول بدهند تا یک قرارداد برونسپاری تنظیم کند که میتواند برای کمک به آنها استفاده شود. هر دوی این گزینهها نیاز به پول دارند. بسیاری از سازمانهایی که در حوزه امنیت اطلاعات تازهکار هستند، بودجه لازم برای انجام هیچ یک از این راهحلها برای حل مشکل را ندارند – استفاده از ابزارهایی که از قبل در محیط وجود دارند، ممکن است تنها چیزی باشد که در اختیار دارید. هدف ما این است که نه تنها این را به استانداردی تبدیل کنیم که بتوان آن را در اکثر شبکههای سازمانی اعمال کرد، بلکه خواندن آن در طول مسیر کمی سرگرمکننده نیز باشد. در حال حاضر استانداردهای عمیقی از سوی سازمانهای مختلف دولتی و خصوصی وجود دارد که میتوانند در مورد اعتبار یک اقدام امنیتی یا اقدام بعدی، مدام صحبت کنند. ما میخواهیم این یک گفتگوی آموزنده باشد که با تجربیات واقعی در صنعت پشتیبانی میشود. سیاستهای خوب، بهترین شیوهها، قطعه کدها، تصاویر، راهنماها و نکات ریز، همه با هم ترکیب خواهند شد. ما میخواهیم با عموم مردم ارتباط برقرار کنیم – مدیران شبکهای که نمیتوانند برای استخدام نیرو تأییدیه بگیرند؛ مدیرانی که میخواهند بدانند تنها کسانی نیستند که در نبردهایی که هر روز شاهد آن هستیم، میجنگند؛ و افرادی که در سنگرها دستهایشان کثیف میشود و حتی نزدیک به آمادگی برای شروع مسیر خواندن اوراق سفید و RFCها نیستند. این کتاب به گونهای طراحی شده است که به عنوان یک کتابچه راهنمای امنیتی 101 عمل کند که برای هر چه بیشتر محیطها قابل اجرا باشد تا حداکثر بهبود را در وضعیت امنیتی شما با حداقل هزینه مالی ایجاد کند. انواع موقعیتهایی که میتوانند دانش و دادههای عملی را از این طریق به دست آورند عبارتند از: مدیران ارشد اطلاعات (CIO) سطح بالا، مدیران، تحلیلگران امنیتی، مدیران سیستم و سایر نقشهای فناوری.
Over the last decade, technology adoption has exploded worldwide and corporations have struggled to keep pace. Usability and revenue creation have been the key motivating factors, often ignoring the proactive design and security required for longterm stability. With the increase of breaking news hacks, record-breaking data leaks, and ransomware attacks, it is our job not only to scrape by with default installs but also to secure our data and assets to the best of our abilities. There will always be cases where you will walk into an environment that is a metaphorical train wreck with so many fires that you don’t even know where to start. This book will give you what you need to create a solid and secure design for the majority of situations that you may encounter. Modern attacks can occur for many different motivations and are perpetrated by people ranging from organized crime groups seeking to monetize breaches, through to hacktivists seeking to enact retribution on the organizations they deem to be immoral or counter to public interest. Whatever the motivation and whomever the attacker, a large number of attacks are organized and carried out by skilled individuals, often with funding. This change in landscape has led to many organizations engaging in a game of Info‐ Sec catch-up, often realizing that their information security program has either not received the executive backing that it required or simply never existed in the first place. These organizations are seeking to correct this and begin along the path to initiating or maturing their information security efforts. There is, however, a problem. Information security is an industry that is currently undergoing a period of negative unemployment; that is, there are more open positions than there are candidates to fill those positions. Hiring people is hard, and hiring good people is harder. For those seeking employment, this can be an advantageous situation; however, it is a high risk for employers seeking to hire someone for an information security position as they would be instilling a certain amount of trust with possible high-dollar assets in a new hire. A large number of issues encountered by companies with an immature information security program can be remedied, or at least vastly reduced, with some basic security hygiene. The knee-jerk reaction to the task of inheriting a new and immature security department can be to buy as many devices with pretty blinky LEDs as possible, in the hope that they will remedy issues. Some people would rather pay another company to set up an outsourcing agreement, which can be leveraged in order to assist. Both of these options require money. Many organizations that are new to information security do not have the budget to undertake either of these solutions to the problem— using the tools that are already in the environment may well be all you have. Our goal is to not only make this a standard that can be applied to most enterprise networks but also be a little entertaining to read along the way. There are already deep-dive standards out there from a variety of government and private organizations that can drone on and on about the validity of one security measure or the next. We want this to be an informative dialog backed by real-life experiences in the industry. There will be good policy, best practices, code snippets, screenshots, walkthroughs, and snark all mixed in together. We want to reach out to the masses—the net admins who can’t get approval to hire help; directors who want to know they aren’t the only ones fighting the battles that we see day in and day out; and the people who are getting their hands dirty in the trenches and aren’t even close to being ready to start down the path of reading whitepapers and RFCs. This book is designed to serve as a Security 101 handbook that is applicable to as many environments as possible, in order to drive maximum improvement in your security posture for the minimum financial spend. Types of positions that will be able to take away knowledge and actionable data from this include upper-level chief information officers (CIOs), directors, security analysts, systems administrators, and other technological roles.
این کتاب را میتوانید از لینک زیر بصورت رایگان دانلود کنید:
Download: Defensive Security Handbook
نظرات کاربران