Не всем моим отзывам о литературе суждено быть положительными - всё-таки и в проверенные издательства попадают книги неоднозначного содержания. Practical Vulnerability Management стала одной из них. Судя по высокому среднему баллу издания на Amazon, я просто мог не попасть в число тех, для кого эта книга была написана, и даже с учётом этого остаются вопросы к содержимому книги. Издание поделено на две части, теоретическую и практическую. Первая часть посвящена обсуждению общих вопросов безопасности, и в этот момент также становится ясно, кто должен извлечь наибольшую пользу из текста: автор планирует строить ИБ с нуля. Начинается книга с введения читателя в курс дела, рассказа о номенклатуре, инструментах, подходах, корпоративных политиках безопасности, важности коммуникации с соседними командами и прочих общих вещах. Для человека, совершенно не знакомого с темой, подобное вступление может показаться интересным даже несмотря на то, что некоторые страницы очень хочется сократить до "делайте хорошо, а плохо не надо" - уж больно очевидные и расплывчатые бывают советы. Много рассуждений посвящено расположению сканеров, их настройке, сетевым особенностям, ограничениям сетевых сканеров и прочим сложностям - общими словами автор ограничился и тут. Следом за введением идёт длинная практическая часть, которая безостановочно вызывала удивление при прочтении. На протяжении большей части книги автор развивал своё решение для анализа безопасности инфраструктуры компании, пользуясь только доступными инструментами с исходным открытым кодом: задумка вызывает интерес, реализация - только недоумение. Система строится из пачки скриптов на Python и Bash, которые обрабатывают XML-вывод nmap и OpenVAS и сохраняют результат в запущенную под ногами MongoDB. Зачем-то к этому прикручивается реализованное наполовину REST API, а сами скрипты запускаются при помощи cron. Итоговая система, похоже, отвечает всем требованиям - позволяет регулярно оценивать защищённость инфраструктуры и получать отчёты в различных форматах для выработки дальнейших действий. Странно здесь то, что система описывается как важный компонент безопасности компании, однако её собственная надёжность в требования не вошла. Жизненный цикл практически не обсуждается, обслуживание сводится к надежде на работу cron, о планах экстренного восстановления не говорится ни слова. Человеку без опыта администрирования будет крайне сложно найти ошибку в такой написанной на коленке многокомпонентной системе, опытному же инженеру достаточно будет дать задание вида "сохрани вывод сканеров, обрезав маловажное" - мне действительно не ясно, какой уровень подготовки ожидался от читателя. Пару слов можно сказать и о самих скриптах. Автор аскетичен и избегает сторонних Python-библиотек, аргументируя это лишними зависимостями, в чём его хочется только поддержать, однако выражается это в виде велосипедов и дополнительного слоя обёрток на Bash. Кажется, что использование, скажем, python3-nmap и gvm-tools значительно упростило бы код и не столь уж запутало бы зависимости. И всё-таки завершить описание хочется на ноте позитивной. С огромным интересом я отметил, что эксплуатацию уязвимостей также можно пробовать автоматизировать. Автору предельно хорошо удалось развернуть мысль, что безопасность - это процесс, а не конечный результат. Наконец, откровенно вредных советов я не увидел, что немаловажно. Не думаю, что я стану советовать кому-то прочитать эту книгу, однако и существенных поводов отговаривать от знакомства с ней тоже назвать не могу.