Вначале Уиндоу Снайдер работала директором по архитектуре безопасности в @Stake. Это была крупная компания, занимающаяся ИБ и поиском уязвимостей, которая создала или приобрела больше, чем множество компьютерных суперзвезд. Компания была приобретена Symantec в 2004 году. Снайдер начала работать в Microsoft в 2002 году и была старшим стратегом в области безопасности в группе безопасности и коммуникаций. Она внесла свой вклад в жизненный цикл разработки SDL и создала новую методологию программного обеспечения для моделирования угроз. Она также была лидером безопасности в Microsoft Windows Server 2003 и Windows XP Service Pack 2, которая была первой серьезной попыткой Microsoft создать по умолчанию безопасную операционную систему. Она координировала работу консалтинговых служб безопасности и отвечала за стратегию работы сообщества в сфере ИБ.
Она присоединилась к Mozilla в 2006 году и носила ироничный титул «начальник Службы безопасности того или другого» вместо более формального «главного сотрудника Службы безопасности (CSO)». Помню, многие из нас завидовали этому титулу. В конце концов, она стала работать старшим менеджером по продуктам безопасности в Apple, разрабатывая стратегию безопасности и конфиденциальности и функции для iOS и OS X. Сегодня она работает на Fastly (https://www.fastly.com/), сеть доставки контента, которая быстро расширяется на другие сферы, такие как информационная безопасность. Отец Снайдер – американец, а мать родом из Кении. Снайдер стала соавтором книги Threat Modeling (https://www.amazon.com/Threat-Modeling-Microsoft-Professional-Swiderski/dp/0735619913/) совместно с Франком Суидерски. Она единственный человек, которого я знаю лично, кто работал в трех из четырех крупнейших компаниях, предоставляющих очень популярные браузеры и программное обеспечение. Она, так сказать, стояла у истоков.
Я был обязан начать наше интервью с вопроса об ее имени. Она рассказала: «Я могу поделиться с вами историей о том, как работала в Microsoft. Тогда, по умолчанию, адреса электронной почты большинства людей начинались с их имени, за которым следовал последний инициал. Но большая группа рассылки, группа продуктов Windows, уже имела слово Windows в адресной строке (что было бы в адресе моей электронной почты, если бы я оставила ее по умолчанию). На протяжении долгих лет многие пытались отправить мне что-то личное или конфиденциальное… Возможно, речь шла о вредоносном ПО или новом отчете об уязвимости. Но вместо того чтобы отправить его мне, они случайно посылали его в одну из наших крупнейших групп рассылки по электронной почты».
Потом я спросил ее, как она попала в сферу ИБ. Она сказала: «Я изучала информатику и заинтересовалась криптографией и криптоанализом. Я увлеклась идеей секретов, связанных сложностью математической задачи. Это было примерно в то же время, когда я впервые получила доступ к многопользовательским операционным системам. Я начала думать о границах безопасности между различными пользователями и процессами, а также о том, что препятствует им вмешиваться в чужую программу или ОС. Я обнаружила, что тогда в лучшем случае были полупроницаемые барьеры. Это было весело, как разбирать головоломку или машину и выяснять, как она работает. Захватывающая работа!»
Я знал, что Уиндоу участвовала в разработке жизненного цикла безопасности (SDL) в Microsoft. Меня интересовало, как это произошло и что именно она сделала. Она ответила: «Когда я впервые попала в Microsoft, эта тема не была хорошо продумана. Безопасностью занимались всего одиннадцать сотрудников. Я была двенадцатой, сосредоточившейся на безопасности Windows. И тогда мы в основном реагировали на те уязвимости, которые находили другие люди. Не было сильной внутренней программы. Затем появились SQL Slammer и Blaster. Я помогала в создании первых основных методологий моделирования угроз [и написала в соавторстве книгу на эту тему]. С моей помощью началось активное обнаружение ошибок и общение с пользователями. Когда я впервые попала в Microsoft, если кто-то извне обнаруживал ошибку безопасности, компания называла их хакерами. СМИ в то время смешивали хакеров всех мастей с преступниками. Но люди, сообщающие о проблемах в Microsoft, даже публично писавшие о них, не были преступниками. Я помогала продвигать информационные программы, чтобы сделать этих людей нашими союзниками, а не противниками. Одним из таких улучшений было назвать их исследователями безопасности, а не хакерами, чтобы сосредоточиться на том, что их работа оказалось ценным вкладом. Я также помогла создать программу, спонсировавшую множество небольших внешних хакерских конференций, таких как Hack-in-the-Box. Мы смогли в итоге изменить представление о том, что Microsoft не заботится о безопасности или не знает о ней, и стали вместе с этими исследователями командой.
Когда я попала в Microsoft, не было никого, кто занимался бы безопасностью продуктов Windows, поэтому я вмешалась. Я представляла безопасность на “военных собраниях” Windows, где общались спонсоры и заинтересованные стороны. Было огромное количество ошибок, которые мы решали в своего рода игровом стиле, и это было неэффективно. В рамках SDL мы начали рассматривать более глобальные причины ошибок, пытаясь найти более широкие категории, которые, если бы были исправлены, смягчили бы сразу много ошибок. Мы взяли уроки у сторонних хакеров и начали применять их в других продуктах, например в Microsoft Office».
Я попросил ее назвать еще один ценный урок, который она извлекла из этого опыта. Она поделилась: «За сегодняшним вредоносным ПО стоит целая финансовая система. Есть одна команда людей, обнаруживающая уязвимости, и другая команда, которая превращает эту уязвимость в эксплойт или набор эксплойтов. Таким образом, есть люди, которые могут взломать множество сайтов, и те, кто может это исправить. Если вы можете сделать ключевые точки системы более трудными или дорогими для взлома, то и всю цепочку сложнее сломать. Microsoft и Windows недостаточно рано это поняли. Когда я присоединилась, они уже испытывали натиск вредоносных программ, червей и вирусов. Позже я начала работать на других платформах, включая iOS и OS X в Apple, и использовала свой опыт, чтобы успешно поставить препятствия, которые делали вредоносную систему менее действенной и прибыльной. Если вы можете подорвать экономику вредоносных программ, то можете выиграть и таким образом тоже».
Снайдер работала в некоторых из самых известных крупных компаний. Интересно, что общего она видит в корпорациях, которые так сильно отличаются? «Во всех компаниях вы должны заставить безопасность работать на конечных пользователей. Функции безопасности, которые стоят слишком дорого или сильно прерывают обычный рабочий процесс, не будут работать. Нам нужно реализовать большую и лучшую безопасность, но не мешать пользователю. Кроме того, не собирайте данные, которые вам не нужны. Если вы занимаетесь сбором, то должны защитить данные и предоставить пользователям контроль над ними. Самая большая проблема в сфере ИБ – это успешное выполнение того, что мы уже умеем делать».
Без сомнений, ее позицию можно считать экспертной.