DevSecOps工程師應學習的幾本書

　　紫羅蘭色書：APT黑客指南

　　泰勒·賴特森(Tyler Wrightson)。高級持續威脅黑客：入侵任何組織的藝術和科學。

　　編寫此書僅出於一個目的：證明世界上沒有安全的系統。而且，它是從罪犯的角度寫的，沒有妥協和不必要的政治正確性。作者毫不客氣地展示了網絡非安全性的現代現實，並且沒有秘密地隱藏APT黑客最親密的細節。可以這么粗魯的方式來展示材料：作者確信，只有這樣，我們才能真正“以視覺識別敵人”，正如孫子在《孫子兵法》中所建議的那樣。只有以黑客的身份思考，安全防護人員才能針對網絡威脅開發任何有效的防護措施。

　　該書描述了APT黑客的思維方式，工具和技能-允許他入侵幾乎任何組織，無論在那裏部署了哪種安全系統。通過演示黑客的真實示例，僅需適度的預算和適度的技術技能即可實施。

　　黑皮書：公司網絡(在)安全性

　　斯科特·唐納森(Scott Donaldson)。企業網絡安全：如何建立針對高級威脅的成功的網絡防禦計劃防止数据泄漏(data leakage prevention)。2015.536羽

　　本書為管理公司網絡安全計劃(CCP)的各個方面提供了靈活而直觀的圖表，其中整個CCP分為11個功能領域和113個主題領域。該方案對於PDA的設計，開發，實施，監視和評估以及風險管理非常方便。該方案是通用的，可以輕松擴展以適應任何規模的組織的需求。該書強調，絕對無敵是根本無法實現的。因為有無限的備用時間，進取的攻擊者甚至可以克服最先進的網絡防禦。因此，CCP的有效性不是在絕對類別中進行評估，而是通過兩個相對指標進行相對評估：它可以多快地檢測到網絡攻擊和可以阻擋敵人的進攻多長時間。這些指標越好，專職專家就有更多時間評估情況並采取對策。

　　這本書詳細描述了各級責任者。它說明了如何應用建議的PDA方案將各種部門，適度的預算，公司業務流程和易受攻擊的網絡基礎設施組合到一個經濟高效的PDA中，該PDA可以承受高級網絡攻擊並在發生故障時可以大大減少損害。具有成本效益的PDA，它考慮到為確保網絡安全而分配的有限預算，並有助於找到最適合您的組織的必要折衷方案。給出日常運營和長期戰略目標。

　　初次接觸本書時，預算有限的中小企業的所有者可能會發現，書中介紹的PDA方案對他們來說負擔不起，但另一方面卻不必要地麻煩。的確如此：並非所有企業都能負擔得起全面CPC計劃的所有要素。當首席執行官兼任財務總監，秘書和技術支持服務時，顯然不適合使用成熟的PDA。但是，某種程度上，任何企業都必須解決網絡安全問題，如果您仔細閱讀本書，您會發現，提出的PDA方案很容易適應甚至最小的企業的需求。因此它適合各種規模的企業。

　　應該指出的是，本書的作者是公認的網絡安全專家，他們曾在“最前沿”與APT黑客作戰，在不同時期捍衛政府，軍事和企業利益网络事件响应(cyber incident response)。