Содержание

Цели SMART и цели FAST

Успешная реализация стратегии требует преобразование стратегических целей в краткосрочные задачи. Для этого организации измеряют результаты своей деятельности и управляют целями и задачами, при этом используют цели SMART и цели FAST. В зависимости от способности организации вести оперативную деятельность с учетом долговременных целей достигается тот или иной уровень эффективности.

Практика менеджмента в этой части привела к формулированию целостного подхода к управлению, получившим название «Управления по целям» (MBO)[1]. Позже появились подходы «Цели и ключевые результаты» (OKR)[2], а также «Система сбалансированных показателей» (BSCd)[3]. Каждый из этих подходов нашел своих сторонников, используется в настоящее время и заслуживает отдельного рассмотрения. Это я сделаю обязательно на вебинаре «Дорожная карта реализации стратегии», который состоится 04 декабря. Приглашаю всех, даже если Вы не чувствуете себя стратегом. Вход свободный.

Однако сейчас я остановлюсь только на основном отличии этих подходов. Оно заключается в критериях целей.

Что означает SMART?

SMART – это мнемоническая аббревиатура, которая собрала в себя основные критерии эффективных целей. Эти критерии обычно приписываются Питеру Друкеру и рассматривают в единстве с его концепцией «Управления по целям (MBO).  Однако первое известное использование этого термина появилось позже, в ноябре 1981 года и применил его Джордж Генри Доран[4]. С тех пор данные критерии действительно стали неотъемлемой частью MBO.

На практике аббревиатуру SMART далеко не всегда понимают однозначно и применяют разные слова. Разночтения не велики, но они есть. Итак, в соответствии с критериями SMART цели должны быть[5]:

Specific (simple, sensible, significant). Конкретные (простые, разумные, значимые).
Measurable (meaningful, motivating). Измеримые
(значимые, мотивирующие).
Achievable (agreed, attainable). Достижимые (согласованные, достижимый).
Realistic (reasonable, relevant and resourced, results-based). Реалистичные (разумные, релевантные и обеспеченные ресурсами, основанные на результатах).
Time bound (time-based, time limited, time/cost limited, timely, time-sensitive). Определены по времени (ограниченные по времени, ограниченные по времени/ стоимости, своевременные, чувствительные к времени).

Бесплатно. Регистрируйтесь тут

Однако некоторые авторы расширили перечень критериев и включили в аббревиатуру дополнительные фокусные области; Например, SMARTER включает в себя оценку E и R (Evaluated and 

Reviewed – Оценивается и пересматривается). Следует отметить, что родоначальник термина, имел несколько иную версию[6]. Тем не менее именно приведенная расшифровка аббревиатуры нашла наиболее широкое распространение.

Не смотря на все эти «переделки», самые важные цели SMART остаются неизменными в каждом случае. Цели должны быть конкретными, измеримыми, достижимыми и иметь сроки достижения.

Справедливости ради следует отметить, что существуют и другие критерии целей, например, принципы Локка и Латхама[7]. Они полезны, однако, на практике для интеграции долговременных и краткосрочных целей используются эмпирические критерии SMART. На этих критериях держится МВО и BSCd.

Укоренившаяся практика MBO и постановки целей на базе критериев SMART привела к традиционному подходу к постановке целей, который включает: годовой цикл, достижимые, обеспеченные ресурсами, индивидуально установленные цели, а также сильная связь со стимулами. Все это может фактически подорвать согласование, координацию и гибкость, необходимые для выполнения компанией своей стратегии. Ожидания вознаграждения за достижение 100% своих целей, создает для исполнителей стремление к принятию консервативных целей, которые они обязательно достигнут. Кроме того, когда цели остаются конфиденциальными, известными узкому кругу лиц, например, руководителю и исполнителю, сотрудники не знают, над чем работают коллеги в других командах. Это мешает координации целей.

 Что означает FAST ?

Недостатки SMART и MBO привели к появлению подхода к управлению «Цели и ключевые результаты» (OKRs).  Эта методология, разработанная в корпорации «Интел» Эндрю С. Гроув[8], оказалась популярной среди технологических компаний для установления, общения и отслеживания целей организации. Суть методологии в том, что для выполнения стратегии руководители должны ставить амбициозные цели, переводить их в конкретные показатели и контрольные точки, делать их прозрачными во всей организации и часто обсуждать прогресс.

В конечном итоге опыт использования этого подхода привел к формулированию аббревиатуры FAST[9]. Цели должны быть:

Описание Выгоды
Frequently discussed

Часто обсуждаемые

Цели должны быть
встроены в текущие
совещания для рассмотрения
прогресса, распределения
ресурсов, приоритетов
инициатив, и обеспечения
обратной связи.
• Обеспечивает руководство данными для принятия ключевых решений.
• Удерживают внимание сотрудников на главных вопросах.
• Связывает результативность работы с конкретными целями.
• Оценивает прогресс и корректирует курс.
Ambitious

Амбициозные

Цели должны быть трудными, но не невозможными для достижения. • Повышает производительность отдельных лиц и команд.
• Минимизирует риск постановки малозначимых целей.
• Обеспечивает более широкий поиск инновационных способов достижения целей.
Specific

Конкретные

Цели переводятся в конкретные показатели и контрольные точки, которые обеспечивают ясность в отношении того, как достичь каждую цель и измерить  прогресс. • Уточняет, что ожидается от сотрудников.
• Помогает определить то, что не работает, и быстро корректирует курс.
• Повышает производительность отдельных лиц и команд.
Transparent

Прозрачные

Цели и текущая производительность должны быть обнародованы для всех сотрудников. • Использует давление со стороны сверстников для выполнения целей.
• Показывает сотрудникам, как их деятельность поддерживает цели компании.
• Позволяет понимать планы других команд.
• Действия с выявляемыми задачами, которые являются избыточными или не согласованными со стратегией.

FAST цели помогают организациям улучшить одновременно несколько направлений. Например, делая цели прозрачными, компании позволяют сотрудникам согласовывать свою деятельность с корпоративной стратегией и более эффективно координировать работу подразделений. Публикуя цели для сведения работников, компания может добиться повышение производительности за счет соревновательного эффекта. Негласное давление со стороны сверстников, побуждает сотрудников достигать более высокого уровня производительности. Помогает им находить коллег, которые могут дать советы по этому поводу. Кроме того, прозрачные цели облегчают сотрудникам проверку соответствия личных целей, целей своего подразделения, функции или бизнес-единицы по сравнению с целями компании в целом. Когда цели становятся публичными, руководители высшего звена могут легко выявить цели, которые не соответствуют общему направлению компании. Короче говоря, прозрачность может способствовать стратегическому выравниванию, не прибегая к трудоемкому процессу каскадирования целей по цепочке иерархии.

Для многих организаций постановка целей – это ежегодный ритуал, который начинается с встречи один на один между сотрудником и его руководителем, чтобы согласовать цели за год. Сотрудники добросовестно вводят свои цели в таблицу или инструмент управления эффективностью, и в основном забывают о них до конца года. Настройка и анализ целей на ежеквартальной основе дает больше возможностей для исправления курса в течение года. Что действительно важно, так это не то, задаются ли цели ежеквартально или ежегодно, но подвергаются ли они обсуждению в процессе выполнения работы. Сессии обратной связи и коучинга предоставляют еще одну возможность для менеджеров и сотрудников обсуждать цели на постоянной основе.

Основной принцип критериев SMART заключается в том, что цели должны быть достижимыми и реалистичными. Широко распространенная практика заключается в требовании от сотрудников 100% достижения своих целей, чтобы заработать бонус или положительную оценку производительности. Эта практика подталкивает сотрудников к постановке консервативных целей, которые они обязательно достигнут. При постановке FAST целей, главное требование амбициозность цели, при этом достижение цели на 100% может считаться свидетельством ее не амбиционности. Положительная оценка производительности может быть дана и при меньшем значении достижения цели.

Цели – это мощный инструмент для выполнения стратегии. Чтобы использовать свой потенциал, руководители должны выходить за рамки общепринятой мудрости «умной» цели SMART и их укоренившейся практики. Вместо этого им нужно думать с точки зрения быстрой цели FAST, часто обсуждая цели, устанавливая амбициозные цели, переведя их в конкретные показатели и контрольные точки и делая их общедоступными для всеобщего обозрения.

Соответствие между  SMART и FAST целями показан на рисунке.

 

Итого.

Цели могут управлять выполнением стратегии, но только тогда, когда они согласованы со стратегическими приоритетами, учитывают критические взаимозависимости между подразделениями и позволяют корректировать курс по мере изменения обстоятельств. Если эти условия не выполняются, каждый сотрудник может достичь своих индивидуальных целей, но организация в целом все еще не сможет выполнить свою стратегию.

К сожалению, аббревиатура FAST так же плоха, как и SMART, по общей причине: иллюзия, что чрезмерное упрощение (с целью облегчения коммуникации) может заменить систему, которая является сложной моделью, но состоит из простых принципов и компонентов, которые взаимосвязаны и взаимозависимы.

Использование FAST или SMART определяется характером бизнеса и его сложностью. Если бизнес работает в относительно стабильной среде и деятельность связана в основном с принятием «запрограммированных» решений, то предпочтительней «умные» цели SMART. Если же среда подвержена влиянию волатильности, неопределенности, а деятельность компании связана, в основном, с принятием «не запрограммированных» решений, то предпочтительны «быстрые» цели FAST. Вполне возможно, что разные подразделения будут использовать разные критерии целеполагания.

Напомню, что эти вопросы, как и многие другие будут обсуждаться на вебинаре «Дорожная карта реализации стратегии», который состоится 04 декабря. Приглашаю.

Есть мнение о Умных и Быстрых целях? Есть вопросы? Пишите в комментариях, кликайте по пиктограммам.

[1] Management by objectives (MBO)

[2] Objectives and Key Results (OKRs)

[3] Balanced Scorecard Performance Systems (BSCd)

[4] George H. Doran. Известен как книгоиздатель, основатель издательской фирмы “Компания George H. Doran” в Торонто.

[5] Feldman S., Smart Goal Setting: How to Set Smart Goals., CreateSpace Independent Publishing Platform, 18 июл. 2016 г. – Всего страниц: 44

[6] Doran, G. T. (1981). “There’s a S.M.A.R.T. way to write management’s goals and objectives”. Management Review. AMA FORUM. 70 (11): 35–36.

[7] Эдвин Локк, Гари Латхем (Edwin Locke, Gary Latham) предложили теорию, в соответствии с которой цели могут мотивировать людей к их выполнению в зависимости от степени ясности, сложности, приверженности, обратной связи и сложности задач.

[8] Эндрю С. Гроув (Andrew S.Grove), президент корпорации “Интел”. Частично, подход описан в книге: Гроув, Эндрю С. Высокоэффективный менеджмент/Перевод с англ. — М.: Информационно-издательский дом “Филинъ”,1996. — 280 с.

[9] https://sloanreview.mit.edu/article/with-goals-fast-beats-smart/

Постановка целей по SMART с примерами

SMART – одна из самых популярных техник постановки целей в современном мире. Её используют и крупные корпорации, и небольшие бизнесы, и предприниматели-одиночки, управленцы всех уровней и рядовые офисные сотрудники.

Сегодня мы поговорим о том, как правильно ставить цели по методике SMART, лишний раз расшифруем эту отнюдь не загадочную для многих аббревиатуру. Я приведу некоторые наглядные примеры, а еще расскажу о модификациях SMART, которые мало кому известны.

Расшифровка аббревиатуры SMART

Наверняка вы хорошо знаете, что обозначают эти пять букв. Но вспомнить будет не лишним:

Именно такой должна быть ваша цель, чтобы вы в принципе имели возможность покорить заветную вершину. Если вы ставите цели неправильно – вы обрекаете себя на провал, даже еще не сделав первый шаг.

А теперь поговорим о том, что означает каждая из этих пяти букв.

Specific [Конкретная]

Вы когда-нибудь ставили целью что-то типа «хочу заработать много денег» или «хочу съездить отдохнуть»? Проходит немало времени – и опа! – ничего не происходит. Мечта так и остается мечтой.

Для того чтобы лучше понять, как ставить цели по SMART, давайте разбираться на пальцах. Рассмотрим конкретный пример.

Итак, я хочу «раскрутить свой блог». Что не так с моей целью? Нет конкретики. Для того чтобы её получить, в моём случае нужно ответить на вопросы:

Что я понимаю под раскруткой блога? Я хочу получить много посетителей и подписчиков, сделать так, чтобы читатели оставляли много комментариев и расшаривали посты с друзьями.

Каким образом я хочу этого достичь? Думаю, нужно писать больше интересных постов, собирать свою аудиторию в соцсетях и заниматься SEO-оптимизацией. Не помешала бы email-рассылка (если вы читаете эту статью, и на блоге нет подписной формы – знайте, я уже занимаюсь этим вопросом).

Какой блог я хочу раскрутить? В данном случае вопрос глупый, ответ на него очевиден. Конечно же, свой блог по копирайтингу и маркетингу – copy-info.ru, другого у меня нет. Но не спешите смеяться надо мной. Многие совершенно не задумываются о таких простых моментах. А потом судорожно кусают локоточки.

Уже что-то. Наверняка у вас уже чешутся руки добавить еще конкретики и цифр. Не спешите. Мы займемся этим на следующих этапах.

Measurable [Измеримая]

«Много» и «быстро» — понятия растяжимые. Когда ставите цель, всегда переспрашивайте себя: «сколько я собираюсь вешать в граммах?». Следующим этапом в постановке целей по технике SMART мы определяем ключевые цифры. И после этого уже точно понимаем, к чему стремимся.

Много посетителей на блоге – это сколько? Хотя бы 200 в день для начала. Много комментариев – это примерно 10 в день. Большая группа в соцсети – минимум человек 500, я так думаю. Подписная база – тоже 500 человек. Сколько статей нужно написать на блог? Около сотни, я думаю.

Итак, определились. Идём дальше.

Attainable [Достижимая]

Говорят, что если хочешь многого достичь, нужно ставить большие цели. Но иногда именно амбициозность становится причиной краха. Верьте в лучшее, но трезво оценивайте свои силы.

Я мог бы пожелать 100 000 посетителей на блоге ежедневно. Подписной лист на 100 000 человек. 5000 интересных популярных статей. Но я же понимаю, что с моими нынешними показателями это нереально, по крайней мере, в обозримом будущем.

Эту ошибку – переоценку своих возможностей – совершают многие интернет-предприниматели. Человек зарабатывает 20 000 р. в месяц, но планирует пройти тренинг и уже через месяц сделать пару лямов. Ну, может быть, он выиграет в лотерею. А мы двигаемся дальше по схеме SMART.

Realistic [Реалистичная]

Основываясь на авторитетных трудах по психологии, я делю своих клиентов на психотипы. Один из них – «мечтатель». Человек возводит грандиознейшие воздушные замки, в то время как в реальности его бизнес валяется в сточной канаве, среди мусора и рвотных масс.

Я могу захотеть создать блог о починке автомобилей и привлекать на него домохозяек при помощи рекламы по телевизору. С тем же успехом можно запланировать открыть газетный киоск на Плутоне (учитывая тот факт, что я вообще не разбираюсь в авто). Могу помечтать о покупке контрольного пакета акций Газпрома. Вот только денег у меня не хватит, да и никто не продаст.

Станьте скептиком и посмотрите на свои цели со стороны. Сможете ли вы их реализовать?

Time Based [Ограниченная во времени]

Надеюсь, коль скоро вы дочитали текст до этих строк, в ваши планы не входит мечтать о чем-то всю жизнь? Зачастую именно так и происходит – если у цели нет конкретного дедлайна.

Выше я писал о том, что хочу 200 посетителей на блог ежедневно. Важный вопрос: когда? Всегда нужно четко определять сроки, хотя это и бывает непросто – ведь вы могли чего-то не учесть, или в вашу жизнь вмешаются посторонние факторы и спутают все карты. Я думаю, что набрать запланированную мной посещалку за 6-12 месяцев – вполне реально. Написать за год 100 статей и выложить на блог – тоже не проблема.

А теперь давайте соберем всё вместе и посмотрим, что у меня получилось:

Я хочу вывести свой блог copy- info.ru на посещаемость 200 человек в сутки в течение года. Для этого в ближайшие 12 месяцев я должен написать и разместить на блоге 100 статей, набрать 500 посетителей в группу на сайте vk.com, организовать рассылку и собрать 500 подписчиков, каждую статью затачивать под одно ключевое слово с частотностью не меньше 100. Я должен постоянно работать над качеством статей и стремиться к тому, чтобы каждая из них собирала как минимум 10 комментариев.

Намного лучше, чем просто «хочу раскрутить блог», неправда ли?

В реальной жизни всё может быть намного сложнее. Цель может включать множество подцелей, и все нужно прогонять через пять призм SMART.

Кстати, двигаться строго по буквам вовсе не обязательно. Я чаще всего работаю по схеме SMTRA, мне так намного удобнее.

Если у вас много подцелей, рекомендую расписать схему SMART в виде майндмэпа.

Как правильно ставить цели по SMART?

В теории всё складно и понятно. А на деле SMART-планирование может вызывать массу затруднений. Предлагаю список дополнительных вопросов, которые облегчат вам жизнь:

  • Каким вы видите конечный результат? Представьте, что вы достигли цели. Опишите, что вы видите, что у вас есть, что происходит.
  • Перечислите все цифры, которые могут описать вашу цель.
  • Когда, через сколько времени вы хотите получить результат?
  • Перечислите все конкретные действия, которые нужны для достижения вашей цели.
  • Кто будет выполнять эти действия? Вы сами, или отдадите на аутсорсинг?
  • Сколько денег вам нужно потратить, для того чтобы достичь цели? Распишите все возможные затраты.
  • Сколько вам придется потратить личного времени?
  • Для чего вы хотите достичь цели? А может быть, за этой оболочкой скрывается более глубинная цель? Например, я хочу 200 посетителей на блоге ежедневно. Но это, в свою очередь нужно для того, чтобы некоторые из них становились клиентами. Каковы ваши истинные желания?
  • Посмотрите все предыдущие ответы и скажите: готовы ли вы потратить время, силы и ресурсы для достижения цели?

Модификации техники SMART

Нет предела совершенству, любую идеальную технику можно улучшить. Или подстроить под себя. Я покопался в англоязычных сайтах и нашел такие интересные модификации метода SMART:

SMARTER

К знакомой аббревиатуре добавляются две новые буквы:

  • E – evaluate – оценка. Вы должны оценивать продвижение к вашим целям ежедневно. Оценка особенно важна, когда вы имеете дело с долгосрочными целями – 3-6 месяцев и больше. Если не держать постоянно руку на пульсе, результат может ускользнуть или получиться совсем не таким, как вы ожидали.
  • R – readjust – регулировка, подстройка. Один из законов подлости гласит: если что-то может пойти не так, оно обязательно пойдет не так. План в блокноте может выглядеть красиво, но внешние обстоятельства безжалостно спутают все карты. Если вы замечаете, что раз за разом бьетесь лбом о стену, вам нужно остановиться, подумать и сменить подход. А иногда и сменить цель.

SMARTTA

Еще одна семибуквенная модификация. Я не нашел детально описание этой технологии, две последние буквы расшифровываются следующим образом:

  • T – trackable – возможность постоянно отслеживать движение к цели.
  • A – agreed – согласованность. Могу ошибаться, думаю, речь идет о согласованности разных целей между собой и с вашими глобальными целями в жизни.

SMARRT

Тут мы видим более короткую шестибуквенную вариацию, в которой вторая буква R обозначает relevance – релевантность, актуальность. Это означает, что вы должны иметь более глобальное видение и понимать, какое место данная цель занимает в вашей общей системе ценностей, насколько она приоритетна для вас в принципе и на данный момент.

Я решил подготовить эту подробную статью, потому что сам недавно занимался постановкой целей по SMART. Составил планы на ближайший месяц, пересмотрел свои ежедневные действия. Освежил знания – для себя и для вас.

Если у вас есть что дополнить – жду ваших комментариев под этим постом.

Давайте ставить амбициозные цели правильно и добиваться их! Для мотивации предлагаю посмотреть ролик от Брайана Трейси:

Всем добра. Ваш Артем Кабанов.

Постановка целей в маркетинге по SMART

Правильное планирование начинается с определения цели. Эта главная величина в бизнесе считается гарантом достижения ожидаемого результата. Беспроигрышным вариантом является постановка цели по системе SMART.

При всей кажущейся простоте использования данной методики есть ряд тонкостей, которые следует учитывать. Лучше всего разобрать нюансы применения SMART на конкретном примере. 

Предыстория 

Итак, возьмем организацию «Завод строительных материалов». Она занимается выпуском и продажей керамического кирпича. Предприятие было рентабельным, хотя больших высот не достигало. Владельца бизнеса такое положение вполне устраивало.

Но с появлением аналогичной организации завод стал быстро терять конкурентоспособность. Пришлось искать пути выхода из опасной ситуации. Решением стало обратиться за помощью в маркетинговую компанию.

На заводе появился новый человек – Маркетолог. Он изучил особенности деятельности компании, сделал оценку текущей ситуации на предприятии, его финансовых возможностей. Определил эффективность работы управленческой команды, продумал оптимальные пути для улучшения производственных показателей.

Проделав подготовительную работу, вместе с Руководством приступил к разработке стратегического бизнес-плана организации. Попросил озвучить цель – конечный результат рабочего процесса команды. Полученные ответы его не удовлетворили, и он предложил применить для постановки цели методику SMART. 

Что такое SMART

SMART – набор особых критериев, позволяющих определить ориентиры для достижения цели.

В системе постановки целей слово SMART представляет собой аббревиатуру. Существует несколько вариантов расшифровки, но в любом случае слова являются синонимами, поэтому смысл не искажается. Альтернативой служит расшифровка при помощи задаваемых вопросов.

Каждая составляющая в системе имеет свое значение: осознание цели, пути ее формирования и достижения. При формулировке задач нередко случаются изменения проекта: ранее незамеченные детали и нюансы становятся явными и могут повлиять на окончательное решение. 

Цели и подцели 

Цель называют фундаментом менеджмента и управления, технологию определения цели по методике SMART – бетоном фундамента.

Цели по времени бывают краткосрочные или подцели (1-2 месяца), среднесрочные (от 3-х месяцев до 1 года), долгосрочные (от 1 года).

Цель должна быть амбициозной, но выполнимой. Если цель кажется труднодостижимой, следует определить несколько последовательных реальных подцелей. Они будут работать на достижение главного результата.

Двигаясь по подцелям, как по ступеням, возможно добраться до желаемой высоты. Подцели должны быть согласованными как с главной целью, так и между собой, не противоречить друг другу. 

Условия плодотворной работы

  • Необходимо разбираться в области, которой касается цель. 
  • Правильно оценивать свои способности и возможности, необходимые для достижения желаемого результата. 
  • Для реализации общей цели важны совместные усилия, поэтому с ее формулировкой нужно ознакомить всех сотрудников. Задача должна быть понятна исполнителям. Отлично, если у них имеется мотивация, заинтересованность в ее достижении. 
  • Определенные для достижения цели сроки должны быть продуманными, оптимальными для решения поставленной задачи. 

Применение технологии SMART на практике

Вернемся на завод. Руководство предложило в качестве цели «увеличить чистую прибыль». Маркетолог с такой формулировкой согласился, поскольку она соответствует первому критерию.

  • Specific, или конкретность. «Хочу» не подходит, нужно прописать конечный результат со всеми подробностями. Получить четкий ясный ответ на вопрос «Что конкретно нужно сделать»? Формулировка ответа должна быть вразумительной. 
  • Mesurable – измеримость. Вопрос «Что даст возможность судить о достижении нужного результата»? Для ответа необходимо выявить единицу измерения цели. Она может быть количественной или качественной. Прибыль измеряется в процентах.

Фразу «увеличить чистую прибыль» пришлось дополнить цифровым значением. Руководство согласилось на 15 %, Маркетолог поднял до 25 %. Процентное выражение подразумевает, что показатель увеличения должен быть относителен к чему-либо.

Теперь цель приобрела форму «увеличить чистую прибыль на 25 % относительно чистой прибыли текущего периода». 

  • Achievable – достижимость. Вопрос «Хватит ли сил и ресурсов, чтобы выполнить задачу»?

Руководство объявило, что увеличить прибыль на 25 % нереально. Маркетолог не согласился; по его мнению, организация имеет достаточный потенциал для достижения такого результата.

Он предложил заменить старый пресс для формовки кирпича на новый. Это позволит избежать вынужденных простоев, увеличить количество и качество товара, и сократить несколько рабочих мест.

В результате нарушения технологии обжига на территории завода скопилось большое количество бракованного продукта. Маркетолог посоветовал купить молотковую дробилку, чтобы измельчить брак и пустить его в повторную переработку. И провести аттестацию рабочих во избежание повторных нарушений технологического процесса.

Обосновал предложения математическими расчетами, убедительно доказав экономическую выгоду финансовых вложений.

Руководство согласилось, но нашло новый контраргумент: у них покупают кирпич только три крупные строительные организации, мелкие компании погоды не делают. При увеличении объема производства имеется угроза затоваривания.

У Маркетолога наготове был ответ и на такое возражение: надо усилить действия по привлечению потенциальных покупателей. На текущий момент рекламная кампания ограничивается объявлением в местной газете и сайтом в Интернете. К тому же сайт ведется нерегулярно.

Маркетолог указал на необходимость пригласить в штат таргетолога, емейл-маркетолога, веб-аналитика. Предложил разместить рекламные публикации в Яндекс.Директ и Google AdWords, открыть магазин на Авито.

На этом этапе цель приобрела следующее звучание: «увеличить чистую прибыль на 25 % относительно чистой прибыли текущего периода за счет модернизации оборудования, повторного использования бракованной продукции, сокращения рабочих мест и усиления работы по лидогенерации». 

  • Relevant – реалистичность, полезность. Вопрос «Какие выгоды сулит достижение результата?» Ключевой показатель эффективности (KPI) на данном этапе является мерилом значимости и важности заявленной цели.

Решение поставленной перед Руководством задачи приведет к уменьшению себестоимости продукции, увеличению объема продаж. Организация поднимется на более высокий уровень производства и станет конкурентоспособной. 

  • Time-related – ограниченность по времени. Вопрос «Сколько времени потребуется для достижения цели»? Сроки исполнения должны быть обязательно установлены, это одно из главных условий SMART-технологии. Цель, не помещенная во временные рамки, превращается в желание. Оно может исполниться, а, может, и нет. 

«Увеличить чистую прибыль на 25 % относительно чистой прибыли текущего периода за счет модернизации оборудования, повторного использования бракованной продукции, сокращения рабочих мест и усиления работы по лидогенерации в течение года.

Подцели: увеличить штат маркетологов – первый квартал; установить новый формовочный пресс, произвести сокращение 3-х рабочих мест – второй квартал, приобрести и установить молотковую дробилку – третий квартал». Постановка цели принята Руководством единогласно.

Кроме этого, разработаны и приняты ежеквартальные и ежемесячные планы. 

SMART-мотивация сотрудников

Целеполагание – один из инструментов личностного роста. Маркетолог внес предложение научить сотрудников предприятия личному планированию.

В подавляющем большинстве люди привыкли жить обычной жизнью, такой, на какую хватает зарплаты. Если у человека появится желание разнообразить свою жизнь, сделать ее насыщенной и яркой, у него проснется азарт зарабатывать как можно больше. Целью должно быть не получение именно денег, а то, что на них можно купить: дом, машина, путешествия.

Тогда планы компании и сотрудника станут тождественны, в конечном итоге в выигрыше останется каждый. 

Продолжение следует 

Через год на заводе строительных материалов подвели итоги за прошедший период. Анализ показал, что:

  • чистая прибыль увеличилась на 26 %;
  • установлен современный пресс для формовки кирпича, что позволило сократить четыре рабочих места:
  • запущена молотковая дробилка;
  • KPI по маркетингу удовлетворительный.

В план была внесена корректировка: по низкой цене закуплен бракованный кирпич у конкурентов. Он был измельчен дробилкой и пущен в повторную переработку.

В ходе планирования на следующий период для постановки цели опять применили технологию SMART. После обсуждений было записано: «Увеличить чистую прибыль на 30 % относительно чистой прибыли текущего периода за счет расширения производства, увеличения единиц автопарка, усиления работы по лидогенерации в течение года.

Подцели: запустить линию по производству облицовочного кирпича – первый квартал; приобрести 2 автомобиля марки КАМАЗ – второй квартал; запустить собственный блог – третий квартал».

Перед бизнесом открылись новые горизонты. 

Преимущества системы SMART 

Существует немало методик планирования. SMART является одной из лучших. Это обусловлено ее способностью определять:

  • действительное состояние дел;
  • истинную значимость поставленной задачи;
  • способы решения цели;
  • наличие ресурсов для выполнения задачи;
  • финальный срок планирования;
  • выгоду от достижения цели.

Система проста и понятна в использовании, не требует финансовых вложений. Не имеет недостатков. 

Область применения SMART

Технология SMART универсальна. Ее применение возможно не только в менеджменте, но и в достижении личных целей, таких как карьера, здоровье, образование, спорт, отдых. 

Важность планирования доказана временем. Многие компании для постановки цели пользуются системой SMART. Это простой, но действительно работающий инструмент. Применение SMART способствует выводу бизнеса на более высокий уровень.

Smart цели 2021 (что это такое, техника постановки)

Разберем каждый критерий подробнее, чтобы понять, как обычно проходит постановка цели по smart. Примеры и разбор критериев приводим ниже.

Конкретная цель

Согласно данному критерию цель не является идеей. Она должна превратиться в четкую, ясную и изложенную на бумаге формулировку, которая будет содержать в себе ответы на вопросы что именно, когда и в каких показателях должно быть достигнуто. Фиксация такой формулировки очень важна, так как устное изложении цели ведет к ее «преломлению» в восприятии подчиненных. В итоге все может быть истолковано неверно.

Измеримая цель

Измеримость цели предполагает наличие определенных показателей, по которым можно было бы понять, достигнута она или нет. Так «выйти в ТОП-10 сервисных центров по автоматизации торговли к 01.01.20ХХ» — отличная и очень конкретная цель. Но как вы поймете, что она достигнута. Возможно, чтобы реализовать ее, вам нужно увеличить оборот на 30%. Вот это уже критерий измеримости.

Достижимая цель

Достижимость цели является «самым психологическим» критерием в smart. Для того, чтобы его обеспечить, нужно, чтобы цель оставалась привлекательной для рядового сотрудника, руководителя и собственника. При этом у представителей перечисленных категорий в голове сформированы разные ценности. Именно поэтому на сегодняшний день они являются тем, кем являются. Достижимость для персонала обеспечивается с помощью грамотной мотивации, поощряющей результативные действия. В случае с руководителями следует эксплуатировать не только «жажду их наживы», но и честолюбие, амбициозность.

Актуальная цель

«Актуальность» — это параметр критики и пересмотра собственных целей, позволяющий ответить на вопрос: «А оно мне надо?». Нет, мы, конечно, за развитие и рост. Но не всякий рост можно рассматривать как благо. Так у нас стоит цель — выйти в ТОП-10 сервисных центров по автоматизации торговли к 01.01.20ХХ. При этом критерием измеримости достигнутого результата является увеличение выручки на 30%. А теперь задаемся вопросами. А что мне дает такое увеличение выручки? Приведет ли оно к росту прибыли? Не истощит ли компания все свои ресурсы на пути к достижению какой-то совсем ненужной и эфемерной цели?

Соотнесенная с конкретным сроком цель

На самом деле, соотнесение цели с конкретным сроком должно происходить на этапе ее конкретизации. Просто такая черта как ограниченность во времени (time-bounded), должна быть рассмотрена на предмет реалистичности предполагаемых сроков. Вы вполне можете оказаться слишком оптимистичными или, наоборот, пессимистичными в своих оценках.

В бизнесе цели бывают разного уровня, но все они должны быть поставлены по технологии smart. Рассмотрим эти уровни.

SMART или СМАРТ цели, критерии постановки

SMART – аббревиатура, от первых букв слов – критериев. Критерии же служат для правильной постановки и проверки цели.

Specific, Measurable, Attainable, Relevant, Time-bound

А теперь, по-русски:

Конкретность, Измеримость, Достижимость, Актуальность, Ограниченность во времени (КИДАО)

Сам  способ как при помощи метода SMART проверить свою цель, хорошо описан уже мною раннее в статье – правила постановки цели.

Повторюсь лишь в основных принципах. Эту аббревиатуру хорошо заучить  для быстрой проверки целей или задач на их состоятельность.

Всего лишь нужно запомнить эти пять слов. Или SMART, или СМАРТ, или КИДАО (кидао – в силу ассоциативности с другим словом – возможно даже быстрее приживется 🙂 )

Итак, по порядку: SMART цели

У вас есть цель, нужно ее, во первых, проверить на состоятельность, а во вторых, выставить на своем жизненном пути как задачку для реализации.

1. Specific – Конкретность. Цель должна быть конкретной, цель — это не мечта. Цель –  это ответ на вопрос: Что я хочу чтоб было? (увеличить прибыль, авто, выучить ин. яз, переехать на пмж и т.д.)

2. Measurable – Измеримость. Во первых, нужно ответить себе на вопрос – как я узнаю, что достиг нужного результата? Во вторых – как я буду знать, что я на верном пути – как должен проявить себе промежуточный результат?

3. Attainable – Достижимость. Еще один вопрос к себе – обладаю ли я нужными ресурсами (внутренними и внешними), чтоб достигнуть желаемого результата? Если нет – как сложно и возможно ли эти ресурсы мне приобрести?

4. Relevant – Актуальность. Актуальны ли те или иные способы и задачи, которыми я хочу достичь цели? Может быть, стоит рассмотреть возможность реализовать это другим,  менее затратным и простым способом? Есть еще варианты, как я могу достичь своей цели?

5. Time-bound — Ограниченность во времени. Период, временной интервал, конечная дата. Конкретно – когда  цель должна будет достигнута?

P.S. СМАРТ цели в Тесте на успех.

как ставить умные задачи — статьи на Skillbox / Skillbox Media

Слово smart в переводе с английского значит «умный». А еще это мнемоническая аббревиатура S.M.A.R.T., которую чаще всего расшифровывают так:

Согласно методу смарт, любая задача должна быть конкретной, измеримой, достижимой, значимой и ограниченной по времени.

Это цель с максимально точной формулировкой. Когда вы знаете, какой результат хотите получить, и уверены, что все в команде понимают задачу одинаково.

Например, вы просите сделать прототип сайта. Сразу возникают вопросы: что за сайт, нужен прототип всех страниц или только основных. Одну и ту же задачу можно понять по-разному, поэтому всегда уточняйте детали.

Как ставить конкретную задачу

Неправильно Правильно

Исправить баг на сайте.

Исправить баг с оплатой товара: не учитываются введенные платежные данные.

Сделать кросс-браузерную верстку.

Сайт должен одинаково отображаться в Chrome, Firefox, Opera.

Эти вопросы помогут поставить задачу правильно:

  • Какой объект?
  • Что с ним нужно сделать?
  • Какой результат должен получиться?
  • Кто это сделает?
  • Как исполнитель понял задачу?

Задача, для которой есть критерии оценки. Например, числовой или любой другой показатель, которого нужно достичь. То есть уже в момент формулировки задачи известно, в чем измерять результат и как понять, что цель достигнута.

Как ставить измеримую задачу

Неправильно Правильно

Провести декомпозицию задач.

Разделить каждую крупную задачу на три более конкретных.

Сократить количество багов.

Сократить количество багов в два раза.

 Эти вопросы помогут поставить задачу правильно:

  • Как проверить, что задача выполнена?
  • Какие критерии оценки?
  • Если ли цифра, к которой нужно прийти?

Эту задачу может выполнить команда или кто-то из сотрудников, потому что знает, как ее сделать, и имеет для этого все ресурсы. Или ресурсов нет, но вы готовы их предоставить. Если ни одно условие невозможно соблюсти, нужно пересмотреть формулировку задачи.

Например, вы просите закончить проект досрочно. У вас в штате два программиста, но один заболел, и, чтобы выполнить задачу, команде не хватит ресурсов. Поэтому важно всегда учитывать возможности сотрудников.

Как ставить достижимую задачу

Неправильно Правильно

Нарисовать десять макетов для разных сайтов за один день.

Нарисовать один макет сайта за день.

 Эти вопросы помогут поставить задачу правильно:

  • В команде есть компетентный сотрудник для выполнения задачи?
  • Достаточно ли ресурсов для ее выполнения?
  • Если ли цифра, к которой нужно прийти?

Задача должна быть актуальна и не противоречить целям и принципам компании. Нужно проверить, что ее выполнение действительно важно и приведет к намеченной цели, например, принесет прибыль или упростит работу.

Как ставить значимую задачу

Неправильно Правильно

Обзвонить клиентов, которые заказывали дешевые проекты, и сказать, что мы больше с ними не работаем, потому что они мало платят.

Обзвонить клиентов и сказать, что мы повышаем ставку за час работы. Ничего, если кто-то из них уйдет. Зато те, которые останутся, принесут больше прибыли.

 Эти вопросы помогут поставить задачу правильно:

  • Действительно ли задача актуальна?
  • Что изменится, если задачу выполнить?
  • Что будет, если ее не выполнить?
  • Кому поможет выполнение задачи?

Если не можете определить важность задачи, используйте матрицу Эйзенхауэра. Мы рассказывали, что это за метод и как его применять.

Задача должна быть актуальной не только для компании, но и для сотрудников, помогать развиваться. Чтобы программист не заскучал, поручите ему разработать сложную архитектуру приложения для будущего проекта. Это значимая задача, если ваша цель — развитие команды. Сотрудник получает мотивацию работать лучше, а вы — более квалифицированного специалиста. В перспективе это идет на пользу компании.

Также нужно учитывать: когда значимость задачи очевидна, сотрудники прикладывают больше усилий для ее выполнения. Поэтому важно объяснить команде, ради чего им придется стараться.

Как показать команде важность задачи

НЕПРАВИЛЬНО ПРАВИЛЬНО

Важно закончить проект в срок.

Если не закончим проект в срок, будем платить неустойку.

Нужно убедить клиента в том, что дизайн сайта, который он предлагает, не будет работать.

Если сейчас клиент настоит на своем, сайт получится хуже, и это отразится на репутации компании.

Для ее выполнения установлен точный срок, и вся команда о нем знает.

Как ставить ограниченную по времени задачу

Неправильно Правильно

Сделать прототип сайта.

Сделать прототип сайта для строительной компании через неделю.

Нарисовать макет главной страницы сайта.

Нарисовать макет главной страницы сайта за два часа.

Протестировать сайт.

Протестировать сайт сегодня.

 Эти вопросы помогут поставить задачу правильно:

  • Когда задача должна быть выполнена?
  • Что изменится, если не успеть выполнить задачу вовремя?

Чтобы любая задача соответствовала критериям SMART-метода, делайте так.

  • Сформулируйте, что нужно сделать и какого результата достичь.
  • Запишите формулировку задачи на бумаге или в приложении и покажите сотрудникам.
  • Убедитесь, что вся команда понимает задачу правильно и видит один результат.
  • Если да — следующий шаг. Если нет — меняйте формулировку до тех пор, пока она не будет однозначной.
  • Установите критерии оценки задачи.
  • Убедитесь, что у команды есть все ресурсы для выполнения задачи.
  • Если нет — дайте команде ресурсы или передайте задачу тому, у кого они уже есть.
  • Если таких нет — задача невыполнима и ее нужно пересмотреть.
  • Проверьте, что задача важна для проекта, команды или отдельного сотрудника. Если нет — выполнять ее незачем.
  • Продемонстрируйте важность задачи сотрудникам, это повысит их мотивацию.
  • Установите срок, когда должен быть результат.

Теперь, когда знаете, как использовать SMART-метод для постановки задач, вы на шаг ближе к тому, чтобы стать крутым менеджером проектов. Можно продолжать двигаться к цели маленькими шагами или переключить скорость, пойти на курс Skillbox, перенять опыт экспертов, выйти на новый уровень и сразу проверить себя в деле.

Что такое расширенный стандарт шифрования (AES)? Определение из SearchSecurity

Что такое AES?

Advanced Encryption Standard (AES) — это симметричный блочный шифр, выбранный правительством США для защиты секретной информации.

AES реализован в программном и аппаратном обеспечении по всему миру для шифрования конфиденциальных данных. Это важно для государственной компьютерной безопасности, кибербезопасности и защиты электронных данных.

Национальный институт стандартов и технологий (NIST) начал разработку AES в 1997 году, когда объявил о необходимости альтернативы стандарту шифрования данных (DES), который начал становиться уязвимым для атак методом грубой силы.

NIST заявил, что новый усовершенствованный алгоритм шифрования будет несекретным и должен быть «способен защищать конфиденциальную правительственную информацию в [21-м] веке». Предполагалось, что его будет легко реализовать в аппаратном и программном обеспечении, а также в ограниченных средах, таких как смарт-карта, и обеспечить достойную защиту от различных методов атак.

AES был создан для правительства США с дополнительным добровольным, бесплатным использованием в государственных или частных, коммерческих или некоммерческих программах, которые предоставляют услуги шифрования.Однако неправительственные организации, решившие использовать AES, подпадают под ограничения, установленные экспортным контролем США.

Как работает шифрование AES

AES включает три блочных шифра:

  1. AES-128 использует 128-битный ключ для шифрования и дешифрования блока сообщений.
  2. AES-192 использует 192-битный ключ для шифрования и дешифрования блока сообщений.
  3. AES-256 использует ключ длиной 256 бит для шифрования и дешифрования блока сообщений.

Каждый шифр шифрует и дешифрует данные блоками по 128 бит с использованием криптографических ключей длиной 128, 192 и 256 бит соответственно.

Симметричный, также известный как секретный ключ, шифры используют один и тот же ключ для шифрования и дешифрования. Отправитель и получатель должны знать и использовать один и тот же секретный ключ.

Правительство классифицирует информацию по трем категориям: конфиденциальная, секретная и совершенно секретная. Для защиты конфиденциального и секретного уровней можно использовать ключи любой длины.Для получения совершенно секретной информации требуется ключ длиной 192 или 256 бит.

Есть 10 раундов для 128-битных ключей, 12 раундов для 192-битных ключей и 14 раундов для 256-битных ключей. Раунд состоит из нескольких этапов обработки, которые включают в себя замену, транспонирование и смешивание входного открытого текста для преобразования его в окончательный результат зашифрованного текста.

AES использует 128-, 192- или 256-битные ключи для шифрования и дешифрования данных.

Алгоритм шифрования AES определяет многочисленные преобразования, которые должны выполняться с данными, хранящимися в массиве.Первый шаг шифрования — поместить данные в массив, после чего преобразования шифра повторяются в течение нескольких раундов шифрования.

Первое преобразование в шифре шифрования AES — это замена данных с помощью таблицы подстановки. Второе преобразование сдвигает строки данных. Третий смешивает столбцы. Последнее преобразование выполняется для каждого столбца с использованием другой части ключа шифрования. Для более длинных ключей требуется больше раундов.

Каковы особенности AES?

NIST указал, что новый алгоритм AES должен быть блочным шифром, способным обрабатывать 128-битные блоки с использованием ключей размером 128, 192 и 256 бит.

Другие критерии для выбора в качестве следующего алгоритма AES включали следующее:

  • Безопасность. Конкурирующие алгоритмы должны были оцениваться по их способности противостоять атакам по сравнению с другими представленными шифрами. Сила безопасности должна была считаться наиболее важным фактором в соревновании.
  • Стоимость. Предполагалось, что он будет выпущен на глобальной, неисключительной и бесплатной основе, алгоритмы-кандидаты должны были быть оценены с точки зрения вычислительной эффективности и эффективности использования памяти.
  • Реализация. Факторы, которые следует учитывать, включают гибкость алгоритма, пригодность для аппаратной или программной реализации и общую простоту.

Выбор нового алгоритма AES

Пятнадцать конкурирующих проектов симметричных алгоритмов были подвергнуты предварительному анализу мировым криптографическим сообществом, включая Агентство национальной безопасности (NSA).

В августе 1999 года NIST выбрал пять алгоритмов для более обширного анализа:

  1. MARS , представленный большой командой IBM Research;
  2. RC6 , предоставлено RSA Security;
  3. Rijndael , представленный двумя бельгийскими криптографами, Джоан Дэмен и Винсент Риджмен;
  4. Змей , представленный Россом Андерсоном, Эли Бихамом и Ларсом Кнудсеном; и
  5. Twofish , представленный большой группой исследователей из Counterpane Internet Security, включая известного криптографа Брюса Шнайера.

Реализации всего вышеперечисленного были тщательно протестированы в Американском национальном институте стандартов (ANSI), на языках C и Java для:

  • скорость и надежность в процессах шифрования и дешифрования;
  • время настройки ключа и алгоритма; и
  • устойчивость к различным атакам — как в аппаратных, так и в программных системах.

Подробный анализ был проведен членами глобального криптографического сообщества, в том числе некоторыми группами, которые пытались нарушить свои собственные представления.

После многочисленных отзывов, дебатов и анализа в октябре 2000 года в качестве предложенного алгоритма для AES был выбран шифр Rijndael. Он был опубликован NIST как PUB 197 Федеральных стандартов обработки информации США (FIPS), который был принят министром торговли США. Декабрь 2001г.

AES вступил в силу в качестве стандарта федерального правительства в 2002 году. Он также включен в стандарт Международной организации по стандартизации (ISO) / Международной электротехнической комиссии (IEC) 18033-3, который определяет блочные шифры с целью обеспечения конфиденциальности данных.

В июне 2003 года правительство США объявило, что AES может использоваться для защиты секретной информации. Вскоре AES стал алгоритмом шифрования по умолчанию для защиты секретной информации, а также первым общедоступным и открытым шифром, одобренным АНБ для совершенно секретной информации. АНБ выбрало AES в качестве одного из криптографических алгоритмов, которые будет использовать его Управление обеспечения безопасности информации для защиты систем национальной безопасности.

Успешное использование AES в U.Правительство С. привело к широкому использованию алгоритма в частном секторе. AES стал самым популярным алгоритмом, используемым в криптографии с симметричным ключом. Прозрачный процесс отбора, установленный NIST, помог создать высокий уровень доверия к AES среди экспертов по безопасности и криптографии.

В чем разница между AES-128 и AES-256?

Специалисты по безопасности считают, что AES защищен от атак методом перебора. Атака полным перебором — это когда злоумышленник проверяет все возможные комбинации клавиш, пока не будет найден правильный ключ.Следовательно, размер ключа, используемый для шифрования AES, должен быть достаточно большим, чтобы его не могли взломать современные компьютеры, даже с учетом улучшения скорости процессора на основе закона Мура.

256-битный ключ шифрования значительно труднее угадать для атак методом перебора, чем 128-битный ключ; однако, поскольку последнее занимает так много времени, чтобы угадать, даже при огромных вычислительных мощностях, это вряд ли станет проблемой в обозримом будущем, поскольку злоумышленник должен будет использовать квантовые вычисления для создания необходимой грубой силы.

Тем не менее, 256-битные ключи также требуют большей вычислительной мощности и могут занять больше времени для выполнения. Когда проблема с питанием — особенно на небольших устройствах — или когда задержка может быть проблемой, 128-битные ключи, вероятно, будут лучшим вариантом.

Когда хакеры хотят получить доступ к системе, они будут стремиться к самому слабому месту. Обычно это не шифрование системы, независимо от того, 128-битный ключ или 256-битный. Пользователи должны убедиться, что рассматриваемое программное обеспечение выполняет то, что они хотят, что оно защищает пользовательские данные так, как ожидается, и что у всего процесса нет слабых мест.

Кроме того, не должно быть серых зон или неопределенности в отношении хранения и обработки данных. Например, если данные находятся в облаке, пользователи должны знать местонахождение облака. Что наиболее важно, выбранное программное обеспечение безопасности должно быть простым в использовании, чтобы пользователям не приходилось использовать небезопасные обходные пути для выполнения своей работы.

В чем разница между AES и RSA?

AES широко используется для защиты данных в состоянии покоя. Приложения для AES включают:

  • дисководы с самошифрованием
  • шифрование базы данных
  • шифрование хранилища
Асимметричная криптография использует связанную пару ключей для шифрования и дешифрования сообщений.

Алгоритм RSA (Ривест-Шамир-Адлеман) часто используется в веб-браузерах для подключения к веб-сайтам, в подключениях к виртуальной частной сети (VPN) и во многих других приложениях.

В отличие от AES, в котором используется симметричное шифрование, RSA является основой асимметричной криптографии. Симметричное шифрование включает преобразование открытого текста в зашифрованный с использованием того же ключа или секретного ключа для его шифрования и дешифрования. Термин асимметричный происходит от того факта, что для шифрования используются два связанных ключа: открытый и закрытый ключ.Если шифрование выполняется с открытым ключом, дешифрование может происходить только с соответствующим закрытым ключом, и наоборот. Обычно ключи RSA используются при наличии двух отдельных конечных точек.

Хотя шифрование RSA хорошо работает для защиты передачи данных через географические границы, его производительность оставляет желать лучшего. Решение состоит в том, чтобы объединить шифрование RSA с шифрованием AES, чтобы объединить преимущества безопасности RSA с производительностью AES. Этого можно добиться, сгенерировав временный ключ AES и защитив его с помощью шифрования RSA.

В чем разница между AES и DES?

Правительство США разработало алгоритмы DES более 40 лет назад, чтобы гарантировать, что все государственные системы используют один и тот же безопасный стандарт для облегчения взаимодействия.

DES служил стержнем государственной криптографии в течение многих лет до 1999 года, когда исследователи взломали 56-битный ключ алгоритма с помощью распределенной компьютерной системы. В 2000 году правительство США решило использовать AES для защиты секретной информации.DES все еще используется в некоторых случаях для обратной совместимости.

DES был обычным алгоритмом шифрования. Он был заменен AES в 2001 году.

Оба стандарта представляют собой симметричные блочные шифры, но AES более эффективен с математической точки зрения. Основное преимущество AES заключается в выборе длины ключа. Время, необходимое для взлома алгоритма шифрования, напрямую зависит от длины ключа, используемого для защиты связи — 128-битные, 192-битные или 256-битные ключи. Следовательно, AES экспоненциально сильнее, чем 56-битный ключ DES.Шифрование AES также значительно быстрее, поэтому оно идеально подходит для приложений, микропрограмм и оборудования, которым требуется низкая задержка или высокая пропускная способность.

Атаки на шифрование AES

Исследования атак на шифрование AES продолжаются с тех пор, как стандарт был завершен в 2000 году. Различные исследователи опубликовали атаки на версии AES с сокращенным циклом.

Исследователи нашли несколько потенциальных способов атаки на шифрование AES:

  • В 2009 году они обнаружили возможную атаку с использованием связанных ключей.Этот криптоанализ пытался взломать шифр, изучая, как он работает с использованием разных ключей. Атака с использованием связанных ключей оказалась угрозой только для неправильно настроенных систем AES.
  • В 2009 году на AES-128 была совершена атака с использованием известного ключа. Для определения структуры шифрования использовался известный ключ. Однако взлом был нацелен только на восьмираундовую версию AES-128, а не на стандартную 10-раундовую версию, что сделало угрозу относительно незначительной.

Основной риск для шифрования AES исходит от атак по побочным каналам.Атаки по побочным каналам нацелены не на попытку грубой силы, а на получение просочившейся информации из системы. Однако атаки по побочным каналам могут уменьшить количество возможных комбинаций, необходимых для атаки AES грубой силой.

Атаки по побочному каналу включают сбор информации о том, что делает вычислительное устройство, когда оно выполняет криптографические операции, и использование этой информации для обратного проектирования криптографической системы устройства. Эти атаки могут использовать информацию о времени, например, сколько времени требуется компьютеру для выполнения вычислений; электромагнитные утечки; звуковые подсказки; и оптическая информация — например, с камеры высокого разрешения — для получения дополнительной информации о том, как система обрабатывает шифрование AES.В одном случае атака по побочному каналу была успешно использована для вывода ключей шифрования AES-128 путем тщательного мониторинга совместного использования шифром таблиц кэша процессоров.

Атаки по побочному каналу можно уменьшить, предотвратив возможные пути утечки данных. Кроме того, использование методов рандомизации может помочь устранить любую связь между данными, защищенными шифром, и любыми утечками данных, которые могут быть собраны с помощью атаки по побочному каналу.

Безопасен ли AES?

Эксперты по безопасности утверждают, что AES безопасен при правильной реализации.Однако ключи шифрования AES необходимо защитить. Даже самые обширные криптографические системы могут быть уязвимы, если хакер получит доступ к ключу шифрования.

Для обеспечения безопасности ключей AES:

  • Используйте надежные пароли.
  • Используйте менеджеры паролей.
  • Внедрить и потребовать многофакторную аутентификацию (MFA).
  • Разверните брандмауэры и программное обеспечение для защиты от вредоносных программ.
  • Проведите тренинг по вопросам безопасности, чтобы сотрудники не стали жертвами социальной инженерии и фишинговых атак.

Как использовать Burp Suite Decoder

При использовании Burp Suite вы часто можете встретить данные, которые используют ту или иную форму кодирования. Кодирование обычно предназначено для настройки данных так, чтобы компьютерная система могла их обрабатывать, к сожалению, это обычно делает невозможным или, по крайней мере, трудным для чтения. В некоторых случаях данные можно декодировать обратно в удобочитаемую форму, но в других случаях закодированные данные уже были случайными и не дадут внятных результатов. Burp включает в себя инструмент под названием «Декодер», который помогает декодировать данные, чтобы вы могли видеть, что в них написано или нет ли в них данных, удобочитаемых человеком.

Как декодировать данные

Чтобы добавить данные в декодер, вы можете ввести их вручную, вставить из буфера обмена или щелкнуть правой кнопкой мыши на вкладках «Цель», «Прокси», «Злоумышленник» или «Повторитель» и нажать «Отправить в декодер». Вы можете сделать это с целыми запросами; однако, как правило, более полезно ограничить его только данными, которые вы хотите декодировать, выделив их перед щелчком правой кнопкой мыши.

Щелкните правой кнопкой мыши данные, которые нужно декодировать, затем щелкните «Отправить в декодер».

Когда у вас есть данные в Decoder, вы можете их декодировать, нажав кнопку «Декодировать как» справа и выбрав схему кодирования, которую, по вашему мнению, он использует. Все параметры будут работать для любого ввода, но они могут не отображать печатаемые символы, что обычно означает, что кодировка не использовалась или данные были сгенерированы случайным образом.

Вы можете выбирать между кодировками: обычная, URL, HTML, Base64, шестнадцатеричный ASCII, шестнадцатеричный, восьмеричный, двоичный и Gzip. Выберите один из них в раскрывающемся списке, и Burp отобразит результат в новом поле ниже.Новый блок поставляется с собственным набором идентичных элементов управления, поэтому, если вы обнаружите, что вывод все еще закодирован, вы можете снова его декодировать, даже если тип декодирования отличается. Например, если вы декодируете строку Base64 и найдете другую строку Base64, вы также можете ее декодировать.

Совет: вы можете объединить в цепочку много уровней декодирования; вы не ограничены одним или двумя этапами.

Вы можете декодировать данные, а затем снова декодировать результат, если существует несколько уровней кодирования.

Как кодировать данные

Вы также можете использовать Decoder для кодирования данных всеми доступными методами кодирования, щелкнув «Кодировать как» и выбрав метод кодирования.Это полезно, если вам нужно декодировать строку, изменить ее, а затем перекодировать ее, чтобы вставить изменение в веб-запрос.

Совет: кодирование не особо продуманное; например, буквенно-цифровые символы не нужно кодировать в URL-адресах, поскольку они являются допустимыми символами, но кодировщик URL-адресов закодирует каждый символ.

Вы также можете сгенерировать хэш строки, щелкнув «Хеш» и выбрав алгоритм. Burp не предлагает способа отменить хеш, поскольку это невозможно, потому что хеши являются односторонними функциями.

Совет: Любая комбинация декодирования, кодирования и хеширования возможна с помощью Decoder, хотя некоторые порядки операций не имеют логического смысла.

Вы также можете использовать Decoder для кодирования данных или их хеширования.

Вы можете декодировать, кодировать или хешировать часть строки в Decoder, выделив ее перед выбором способа обработки. Это полезно, если у вас есть две переменные, закодированные разными методами.

Примечание. Декодер не поддерживает вложенные вкладки, поэтому одновременно можно управлять только одним входом.Будьте осторожны, скопируйте результат процесса перед отправкой дополнительных данных в Decoder, если вы не согласны с их потерей.

Включение сквозного TLS на шлюзе приложений Azure

  • 13 минут для чтения

В этой статье

Transport Layer Security (TLS), ранее известный как Secure Sockets Layer (SSL), представляет собой стандартную технологию безопасности для установления зашифрованного соединения между веб-сервером и браузером.Эта ссылка гарантирует, что все данные, передаваемые между веб-сервером и браузерами, остаются конфиденциальными и зашифрованными. Шлюз приложений поддерживает как завершение TLS на шлюзе, так и сквозное шифрование TLS.

Завершение TLS

Application Gateway поддерживает завершение TLS на шлюзе, после чего трафик обычно передается на внутренние серверы в незашифрованном виде. Есть ряд преимуществ выполнения TLS-терминации на шлюзе приложений:

  • Повышенная производительность — Самый большой удар по производительности при расшифровке TLS — это первоначальное рукопожатие.Для повышения производительности сервер, выполняющий дешифрование, кэширует идентификаторы сеансов TLS и управляет билетами сеансов TLS. Если это делается на шлюзе приложений, все запросы от одного и того же клиента могут использовать кэшированные значения. Если это делается на внутренних серверах, то каждый раз, когда запросы клиента поступают на другой сервер, клиент должен повторно аутентифицироваться. Использование билетов TLS может помочь смягчить эту проблему, но они поддерживаются не всеми клиентами, и их сложно настроить и управлять.
  • Лучшее использование внутренних серверов — Обработка SSL / TLS очень интенсивна для ЦП и становится все более интенсивной по мере увеличения размеров ключей.Удаление этой работы с внутренних серверов позволяет им сосредоточиться на том, в чем они наиболее эффективны, — на доставке контента.
  • Интеллектуальная маршрутизация — Расшифровывая трафик, шлюз приложений получает доступ к содержимому запроса, например заголовкам, URI и т. Д., И может использовать эти данные для маршрутизации запросов.
  • Управление сертификатами — Сертификаты необходимо покупать и устанавливать только на шлюзе приложений, а не на всех внутренних серверах. Это экономит время и деньги.

Чтобы настроить завершение TLS, в приемник должен быть добавлен сертификат TLS / SSL. Это позволяет шлюзу приложений расшифровывать входящий трафик и шифровать ответный трафик для клиента. Сертификат, предоставленный шлюзу приложений, должен быть в формате обмена личной информацией (PFX), который содержит как частный, так и открытый ключи.

Важно

Сертификат на приемнике требует, чтобы была загружена вся цепочка сертификатов (корневой сертификат из ЦС, промежуточные звенья и конечный сертификат) для установления цепочки доверия.

Примечание

Шлюз приложений не предоставляет возможности для создания нового сертификата или отправки запроса сертификата в центр сертификации.

Для работы TLS-соединения необходимо убедиться, что сертификат TLS / SSL соответствует следующим условиям:

  • Что текущая дата и время находятся в диапазоне дат сертификата «Действительно с» и «Действительно до».
  • Что «Общее имя» (CN) сертификата совпадает с заголовком хоста в запросе.Например, если клиент делает запрос на https://www.contoso.com/ , тогда CN должен быть www.contoso.com .

Сертификаты, поддерживаемые для завершения TLS

Шлюз приложений поддерживает следующие типы сертификатов:

  • Сертификат ЦС (центр сертификации): сертификат ЦС — это цифровой сертификат, выданный центром сертификации (ЦС)
  • Сертификат
  • EV (расширенная проверка): сертификат EV — это сертификат, который соответствует руководящим принципам отраслевых стандартных сертификатов.В результате панель поиска в браузере станет зеленой, а также будет опубликовано название компании.
  • Wildcard Certificate: этот сертификат поддерживает любое количество поддоменов на основе * .site.com, где ваш поддомен заменит *. Однако он не поддерживает site.com, поэтому, если пользователи заходят на ваш веб-сайт, не набирая в начале «www», подстановочный сертификат не будет покрывать это.
  • Самозаверяющие сертификаты: клиентские браузеры не доверяют этим сертификатам и будут предупреждать пользователя о том, что сертификат виртуальной службы не является частью цепочки доверия.Самозаверяющие сертификаты подходят для тестирования или сред, в которых администраторы контролируют клиентов и могут безопасно обходить предупреждения системы безопасности браузера. Производственные рабочие нагрузки никогда не должны использовать самозаверяющие сертификаты.

Дополнительные сведения см. В разделе Настройка завершения TLS с помощью шлюза приложений.

Размер свидетельства

Проверьте раздел ограничений шлюза приложений, чтобы узнать максимальный поддерживаемый размер сертификата TLS / SSL.

Сквозное шифрование TLS

Возможно, вам не понадобится незашифрованный обмен данными с внутренними серверами.У вас могут быть требования безопасности, требования соответствия, или приложение может принимать только безопасное соединение. Шлюз приложений Azure имеет сквозное шифрование TLS для поддержки этих требований.

End-to-end TLS позволяет шифровать и безопасно передавать конфиденциальные данные на серверную часть при использовании функций балансировки нагрузки уровня 7 в шлюзе приложений. Эти функции включают привязку сеанса на основе файлов cookie, маршрутизацию на основе URL-адресов, поддержку маршрутизации на основе сайтов, возможность переписывать или вставлять заголовки X-Forwarded- * и так далее.

Если настроен режим сквозной связи TLS, шлюз приложений завершает сеансы TLS на шлюзе и расшифровывает пользовательский трафик. Затем он применяет настроенные правила, чтобы выбрать соответствующий экземпляр внутреннего пула для маршрутизации трафика. Затем шлюз приложений инициирует новое соединение TLS с внутренним сервером и повторно шифрует данные с помощью сертификата открытого ключа внутреннего сервера перед передачей запроса на внутренний сервер. Любой ответ от веб-сервера передается конечному пользователю через тот же процесс.Сквозной TLS можно включить, установив для параметра протокола в настройках внутреннего HTTP-сервера значение HTTPS, которое затем применяется к внутреннему пулу.

Для шлюза приложений и SKU WAF v1 политика TLS применяется как к внешнему, так и к внутреннему трафику. Во внешнем интерфейсе шлюз приложений действует как сервер и обеспечивает соблюдение политики. На бэкэнде шлюз приложений действует как клиент и отправляет информацию о протоколе / шифровании в качестве предпочтения во время установления связи TLS.

Для шлюза приложений и SKU WAF v2 политика TLS применяется только к внешнему трафику, и все шифры предлагаются внутреннему серверу, у которого есть контроль над выбором конкретных шифров и версии TLS во время рукопожатия.

Application Gateway обменивается данными только с теми внутренними серверами, которые либо разрешили перечислить свой сертификат со шлюзом приложений, либо чьи сертификаты подписаны известными центрами сертификации, а CN сертификата совпадает с именем хоста в настройках внутреннего HTTP. Сюда входят доверенные службы Azure, такие как Служба приложений / веб-приложения Azure и Управление API Azure.

Если сертификаты участников внутреннего пула не подписаны хорошо известными центрами сертификации, то каждый экземпляр в внутреннем пуле с включенным сквозным TLS должен быть настроен с сертификатом для обеспечения безопасной связи.Добавление сертификата гарантирует, что шлюз приложений взаимодействует только с известными внутренними экземплярами. Это дополнительно обеспечивает сквозную связь.

Примечание

Сертификат, добавленный к Backend HTTP Setting для аутентификации внутренних серверов, может быть таким же, как сертификат, добавленный к listener для завершения TLS на шлюзе приложений, или другим для повышенной безопасности.

В этом примере запросы с использованием TLS1.2 маршрутизируются на внутренние серверы в Pool1 с использованием сквозного TLS.

Сквозной TLS и разрешить список сертификатов

Application Gateway обменивается данными только с известными внутренними экземплярами, которые разрешили перечислить свои сертификаты со шлюзом приложений. В процессе настройки сквозного TLS есть некоторые различия в зависимости от используемой версии шлюза приложений. В следующем разделе они объясняются индивидуально.

Сквозной TLS с артикулом v1

Чтобы включить сквозной TLS с внутренними серверами и шлюз приложений для маршрутизации запросов к ним, зонды работоспособности должны быть успешными и возвращать исправный ответ.

Для зондов работоспособности HTTPS SKU шлюза приложений v1 использует точное совпадение сертификата проверки подлинности (открытый ключ сертификата внутреннего сервера, а не корневого сертификата) для загрузки в настройки HTTP.

После этого разрешены только соединения с известными и разрешенными серверными ВМ. Остальные серверные ВМ считаются неработоспособными зондами работоспособности. Самозаверяющие сертификаты предназначены только для тестирования и не рекомендуются для производственных рабочих нагрузок. Такие сертификаты должны быть включены в список на шлюзе приложений, как описано в предыдущих шагах, прежде чем их можно будет использовать.

Примечание

Аутентификация и настройка доверенного корневого сертификата не требуются для доверенных служб Azure, таких как Служба приложений Azure. По умолчанию они считаются доверенными.

Сквозной TLS с артикулом v2

Сертификаты проверки подлинности

устарели и заменены надежными корневыми сертификатами в SKU шлюза приложений v2. Они работают так же, как и сертификаты аутентификации, с несколькими ключевыми отличиями:

  • Сертификаты, подписанные хорошо известными центрами сертификации, чей CN совпадает с именем хоста в настройках серверной части HTTP, не требует дополнительных действий для работы сквозного TLS.

    Например, если серверные сертификаты выпущены известным центром сертификации и имеют CN contoso.com, а в поле хоста серверной части http также задано значение contoso.com, то никаких дополнительных действий не требуется. Вы можете установить протокол настройки HTTP серверной части на HTTPS, и для проверки работоспособности и пути данных будет включен TLS. Если вы используете службу приложений Azure или другие веб-службы Azure в качестве серверной части, то они также являются неявно доверенными, и никаких дополнительных действий для сквозного TLS не требуется.

Примечание

Для того, чтобы сертификат TLS / SSL был доверенным, этот сертификат внутреннего сервера должен быть выпущен известным центром сертификации. Если сертификат не был выпущен доверенным центром сертификации, шлюз приложений затем проверит, был ли сертификат выдающего центра сертификации выдан доверенным центром сертификации, и так далее, пока не будет найден доверенный центр сертификации (в этот момент доверенный, будет установлено безопасное соединение) или доверенный ЦС не найден (в этот момент шлюз приложений пометит серверную часть как неработоспособную).Поэтому рекомендуется, чтобы сертификат внутреннего сервера содержал как корневой, так и промежуточный центры сертификации.

  • Если сертификат внутреннего сервера самоподписан или подписан неизвестным центром сертификации / посредниками, то для включения сквозного TLS в шлюзе приложений версии 2 необходимо загрузить доверенный корневой сертификат. Шлюз приложений будет взаимодействовать только с серверными модулями, корневой сертификат сертификата сервера которых совпадает с одним из списка доверенных корневых сертификатов в настройке HTTP внутреннего сервера, связанной с пулом.

  • В дополнение к соответствию корневому сертификату, шлюз приложений v2 также проверяет, совпадает ли настройка хоста, указанная в настройке HTTP внутреннего сервера, с общим именем (CN), представленным сертификатом TLS / SSL внутреннего сервера. При попытке установить TLS-соединение с серверной частью, шлюз приложений v2 устанавливает расширение Server Name Indication (SNI) для хоста, указанного в настройке HTTP серверной части.

  • Если выбрать имя хоста из серверной цели выбрано вместо поля Host в настройке HTTP серверной части, тогда заголовок SNI всегда устанавливается на полное доменное имя внутреннего пула, а CN на внутреннем сервере TLS / SSL-сертификат должен соответствовать его FQDN .Члены внутреннего пула с IP-адресами не поддерживаются в этом сценарии.

  • Корневой сертификат — это корневой сертификат в кодировке base64 из сертификатов внутреннего сервера.

Отличия SNI в SKU v1 и v2

Как упоминалось ранее, шлюз приложений завершает трафик TLS от клиента в прослушивателе шлюза приложений (назовем его интерфейсным соединением), расшифровывает трафик, применяет необходимые правила для определения внутреннего сервера, на который должен быть перенаправлен запрос, и устанавливает новый сеанс TLS с внутренним сервером (назовем его внутренним соединением).

В следующих таблицах описаны различия в SNI между SKU v1 и v2 с точки зрения внешних и внутренних подключений.

Frontend TLS-соединение (клиент-шлюз приложений)


Сценарий v1 v2
Если клиент указывает заголовок SNI и все многосайтовые прослушиватели включены с флагом «Требовать SNI» Возвращает соответствующий сертификат, и если сайт не существует (согласно server_name), соединение сбрасывается. Возвращает соответствующий сертификат, если он доступен, в противном случае возвращает сертификат первого прослушивателя HTTPS в соответствии с порядком, указанным в правилах маршрутизации запросов, связанных с прослушивателями HTTPS.
Если клиент не указывает заголовок SNI и если все многосайтовые заголовки включены с помощью «Требовать SNI» Сбрасывает соединение Возвращает сертификат первого прослушивателя HTTPS в соответствии с порядком, указанным в правилах маршрутизации запросов, связанных с прослушивателями HTTPS.
Если клиент не указывает заголовок SNI и есть базовый приемник, настроенный с сертификатом Возвращает клиенту сертификат, настроенный в основном приемнике (сертификат по умолчанию или резервный). Возвращает сертификат, настроенный в базовом приемнике

Backend TLS-соединение (шлюз приложений к внутреннему серверу)

Для зондового трафика

Заголовок
Сценарий v1 v2
Заголовок SNI (server_name) во время подтверждения TLS как FQDN Установить как полное доменное имя из внутреннего пула.Согласно RFC 6066, буквальные адреса IPv4 и IPv6 не допускаются в имени хоста SNI.
Примечание: FQDN в фоновом пуле, если DNS разрешает IP-адрес внутреннего сервера (общедоступный или частный)
SNI (имя_сервера) устанавливается как имя хоста из пользовательского зонда, прикрепленного к настройкам HTTP (если настроен), в противном случае из имени хоста, указанного в настройках HTTP, в противном случае из FQDN, указанного в бэкэнд-пуле. Порядок приоритета: пользовательский зонд> настройки HTTP> внутренний пул.
Примечание: Если имена хостов, настроенные в настройках HTTP и пользовательском зонде, отличаются, то в соответствии с приоритетом SNI будет установлен как имя хоста из пользовательского зонда.
Если адрес внутреннего пула является IP-адресом (v1) или если пользовательское имя хоста зонда настроено как IP-адрес (v2) SNI (имя_сервера) не устанавливается.
Примечание: В этом случае внутренний сервер должен иметь возможность возвращать сертификат по умолчанию / резервный сертификат, и это должно быть разрешено в настройках HTTP в разделе сертификата проверки подлинности.Если на внутреннем сервере не настроен сертификат по умолчанию / резервный сертификат и ожидается SNI, сервер может сбросить соединение и приведет к сбоям зонда
В порядке приоритета, упомянутом ранее, если у них IP-адрес в качестве имени хоста, тогда SNI не будет установлен в соответствии с RFC 6066.
Примечание: SNI также не будет установлен в зондах v2, если не настроен пользовательский зонд. и никакое имя хоста не установлено в настройках HTTP или внутреннем пуле

Примечание

Если пользовательский зонд не настроен, то шлюз приложений отправляет зонд по умолчанию в этом формате — <протокол>: // 127.0.0.1: <порт> /. Например, для зонда HTTPS по умолчанию он будет отправлен как https://127.0.0.1:443/. Обратите внимание, что 127.0.0.1, упомянутое здесь, используется только как заголовок хоста HTTP и, согласно RFC 6066, не будет использоваться как заголовок SNI. Дополнительную информацию об ошибках проверки работоспособности см. В руководстве по устранению неполадок работоспособности серверной части.

Для живого движения

Заголовок SNI SNI
Сценарий v1 v2
Заголовок SNI (server_name) во время подтверждения TLS как FQDN Установить как полное доменное имя из внутреннего пула.Согласно RFC 6066, буквальные адреса IPv4 и IPv6 не допускаются в имени хоста SNI.
Примечание: FQDN в фоновом пуле, если DNS разрешает IP-адрес внутреннего сервера (общедоступный или частный)
(имя_сервера) устанавливается как имя хоста из настроек HTTP, в противном случае, если выбран параметр PickHostnameFromBackendAddress или если имя хоста не указано, то оно будет установлено как полное доменное имя в конфигурации внутреннего пула
Если адрес внутреннего пула является IP-адресом или имя хоста не задано в настройках HTTP не будет установлен в соответствии с RFC 6066, если запись внутреннего пула не является FQDN SNI будет установлен как имя хоста из входного FQDN от клиента, а CN сертификата внутреннего сертификата должен совпадать с этим именем хоста.
Имя хоста не указано в параметрах HTTP, но полное доменное имя указано в качестве целевого объекта для члена внутреннего пула SNI будет установлен как имя хоста из входного FQDN от клиента, а CN сертификата внутреннего сертификата должен совпадать с этим именем хоста. SNI будет установлен как имя хоста из входного FQDN от клиента, а CN сертификата внутреннего сертификата должен совпадать с этим именем хоста.

Следующие шаги

Узнав о сквозном TLS, перейдите к настройке сквозного TLS с помощью шлюза приложений с PowerShell, чтобы создать шлюз приложений с использованием сквозного TLS.

Ключи шифрования, предоставляемые заказчиком | Облачное хранилище | Google Cloud

Перейти к примерам

На этой странице обсуждаются ключи шифрования, предоставляемые заказчиком. Для другого шифрования параметры см. в разделе Параметры шифрования данных.

Примечание: Для большей безопасности с меньшим количеством ограничений рассмотрите возможность использования управляемые клиентом ключи шифрования, хранящиеся с помощью Cloud External Key Manager.С участием Cloud EKM, ключи шифрования также хранятся вне Google Cloud. Кроме того, ключи Cloud EKM можно использовать с рядом других Ресурсы Google Cloud, тогда как ключи шифрования, предоставленные заказчиком, могут только использоваться с Cloud Storage и Compute Engine.

Обзор

В качестве дополнительного уровня поверх ключей шифрования, управляемых Google, вы можете предоставить свой собственный ключ AES-256, закодированный в стандартный Base64. Этот ключ известен как , поставляемый заказчиком. ключ шифрования .Если вы предоставите ключ шифрования, предоставленный клиентом, Cloud Storage не хранит ваш ключ на серверах Google постоянно. или иным образом управляйте своим ключом.

Вместо этого вы предоставляете свой ключ для каждой операции облачного хранилища и Ваш ключ удаляется с серверов Google после завершения операции. В облачном хранилище хранится только криптографический хэш ключа, поэтому будущие запросы могут быть проверены по хешу. Ваш ключ не может быть восстановлен из этого хэша, и этот хеш нельзя использовать для расшифровки ваших данных.

Мы рекомендуем вам сделать резервную копию каждого ключа в безопасном месте и принять меры предосторожности, чтобы убедитесь, что ваши ключи не передаются ненадежным сторонам. Если какой-либо файл или компьютер, содержащий ваш ключ шифрования, скомпрометирован, вы должны немедленно выполнить ротацию ключей для всех объектов, зашифрованных с помощью скомпрометированного ключа.

Когда используется ключ?

Когда вы применяете к объекту ключ шифрования, предоставленный клиентом, Cloud Storage использует ключ при шифровании:

  • Данные объекта.
  • Контрольная сумма CRC32C объекта.
  • Хеш MD5 объекта.

Cloud Storage использует стандартные серверные ключи для шифрования оставшихся метаданные для объекта, включая имя объекта. Это позволяет вам читать и обновлять общие метаданные, а также перечислять и удалять объекты, без ключа шифрования, предоставляемого заказчиком. Однако для выполнения любого из эти действия, вы должны иметь для этого достаточное разрешение.

Например, если объект зашифрован с помощью ключа шифрования, предоставленного заказчиком, ключ должен использоваться для выполнения операций с объектом, таких как загрузка или перемещая это.Если вы попытаетесь прочитать метаданные объекта без указания ключ, вы получаете метаданные, такие как имя объекта и Content-Type , но не контрольная сумма CRC32C объекта или хэш MD5. Если вы предоставите ключ вместе с запрос метаданных объекта, контрольная сумма CRC32C объекта и хэш MD5 включены в метаданные.

Примечание: Поскольку большинство метаданных можно прочитать независимо от метода шифрования, выполните не включайте конфиденциальную информацию в метаданные или имена ваших объектов и сегментов.

Проверка HTTPS

Для защиты ваших данных при их передаче через Интернет во время чтения и записи. операций, используйте безопасность транспортного уровня, известную как TLS или HTTPS. TLS — это требуется при предоставлении ключа шифрования. Если вы случайно воспользуетесь своим ключ шифрования по незашифрованному (HTTP) соединению, возможно злоумышленник перехватит ваш ключ. Из-за этой возможности Cloud Storage API возвращает сообщение об ошибке, предупреждающее о том, что ваш ключ может быть скомпрометирован. Если это произойдет, вам следует немедленно повернуть ключи.

Ограничения

При использовании ключей шифрования, предоставленных заказчиком, действуют следующие ограничения:

  • Cloud Storage Transfer Service и Cloud Dataflow не работают. в настоящее время поддерживают объекты, зашифрованные с помощью ключей шифрования, предоставленных заказчиком.

  • Вы не можете использовать Google Cloud Console для загрузки зашифрованных объектов. с заказчика- предоставлен ключ шифрования . Точно так же, когда вы используете Google Cloud Console для загрузки объекта, вы не можете зашифровать объект с помощью Клиент- предоставил ключ шифрования .

  • Вы можете установить ключи шифрования, предоставляемые заказчиком, только для отдельных объектов. Вы не можете установить ключ шифрования по умолчанию для корзины.

  • Если вы выполняете операцию создания для объектов, зашифрованных с помощью ключи шифрования, предоставленные заказчиком, объекты компонентов должны быть зашифрованы тем же ключом, и вам нужно предоставить ключ вместе с запрос. Результирующий составной объект зашифрован тем же ключом.

Ключи шифрования с REST API

Когда вы используете ключ шифрования, предоставленный заказчиком, и работаете напрямую с JSON или XML API, необходимо предоставить ключ AES-256 и SHA256. хеш ключа.Вы должны сохранить как ключ AES-256, так и хэш SHA256 ключ надежно. Google хранит хэш SHA256 вашего ключа в метаданные, откуда их можно будет получить позже. Этот хэш SHA256 не может использоваться Google (или кто-либо другой), чтобы расшифровать ваши данные. Он хранится как способ однозначно идентифицируйте ключ AES-256, который использовался для шифрования определенного объекта.

Включите в запрос JSON или XML следующие заголовки HTTP:

Имя заголовка Значение Описание
алгоритм шифрования x-goog строка Используемый алгоритм шифрования.Вы должны использовать значение AES256 .
x-goog-encryption-key строка Строка ключа шифрования AES-256 в кодировке RFC 4648 Base64.
x-goog-encryption-key-sha256 строка Строка в кодировке RFC 4648 Base64 хэша SHA256 вашего ключа шифрования.

Если вы выполняете операцию перезаписи с помощью JSON API, перечисленные выше заголовки используются для шифрования целевого объекта, и следующие заголовки используются для расшифровки исходного объекта:

Имя заголовка Значение Описание
x-goog-copy-source-encryption-алгоритм строка Используемый алгоритм шифрования.Вы должны использовать значение AES256 .
x-goog-copy-source-encryption-key строка Строка в кодировке RFC 4648 Base64 ключа шифрования AES-256 исходного объекта.
x-goog-copy-source-encryption-key-sha256 строка Строка в кодировке RFC 4648 Base64 хэша SHA256 ключа шифрования исходного объекта.
Важно: Операция перезаписи создает копию объекта.Если вы опустите заголовки, перечисленные в первой таблице в операции перезаписи, место назначения объект зашифрован с использованием шифрования на стороне сервера по умолчанию, а не вашего ключ шифрования, предоставляемый заказчиком.
Ответ

JSON

При использовании JSON API метаданные для шифрования, предоставляемого заказчиком. key возвращается в теле ответа, которое включает в себя следующие недвижимость:

Название свойства Значение Описание
шифрование клиента объект Информация о шифровании, используемом для запроса.
customerEncryption.encryptionAlgorithm строка Использованный алгоритм шифрования. Всегда содержит значение AES256 .
customerEncryption.keySha256 строка Строка в кодировке RFC 4648 Base64 хэша SHA256 вашего ключа шифрования. Вы можете использовать этот хэш SHA256 для однозначной идентификации ключа шифрования AES-256, необходимого для расшифровки объекта, который вы должны хранить в безопасном месте.

XML

При использовании XML API ответ включает следующие заголовки:

Имя заголовка Значение Описание
алгоритм шифрования x-goog строка Использованный алгоритм шифрования. Всегда содержит значение AES256 .
x-goog-encryption-key-sha256 строка Строка в кодировке RFC 4648 Base64 хэша SHA256 вашего ключа шифрования.Вы можете использовать этот хэш SHA256 для однозначной идентификации ключа шифрования AES-256, необходимого для расшифровки объекта, который вы должны хранить в безопасном месте.

Вы получаете ошибку HTTP 400 в следующих случаях:

  • Вы загружаете объект с помощью ключа шифрования, предоставленного заказчиком, и пытаетесь для выполнения другой операции с объектом (кроме запроса или обновления большинство метаданных или удаление объекта) без предоставления ключа.
  • Вы загружаете объект, используя предоставленный клиентом ключ шифрования, и пытаетесь выполнить другую операцию над объектом с неверным ключом.
  • Вы загружаете объект без предоставления ключа шифрования, предоставленного клиентом, и вы пытаетесь выполнить другую операцию с объектом с помощью предоставленного заказчиком ключ шифрования.
  • Вы указываете недействительный алгоритм шифрования, ключ или хэш SHA256.

Ключи шифрования с помощью gsutil

Чтобы использовать ключ шифрования, предоставляемый заказчиком, с gsutil, добавьте следующее в раздел [GSUtil] вашего файла конфигурации Boto:

Название опции Значение Описание
encryption_key строка Строка ключа шифрования AES-256 в кодировке RFC 4648 Base64.
Примечание: gsutil автоматически вычисляет хэш SHA256 для вашего шифрования AES-256. key, поэтому нет необходимости настраивать его в файле .boto.

При желании можно указать один или несколько ключей дешифрования, до 100. В то время как encryption_key Параметр используется gsutil как для шифрования, так и для дешифрования. key, любые указанные вами параметры decryption_key используются только для дешифрования объектов. Несколько ключей дешифрования должны быть указаны в файле конфигурации boto как следует:

 decryption_key1 =...
decryption_key2 = ...
decryption_key3 = ... 

Если у вас есть ключи шифрования или дешифрования в вашей конфигурации Boto файл, они используются для всех команд gsutil. При расшифровке gsutil вычисляет хэш SHA256 предоставленных ключей шифрования и дешифрования и выбирает правильный ключ для использования для конкретного объекта, сопоставляя Хеш SHA256 в метаданных объекта.

Объекты, зашифрованные с помощью ключей шифрования, предоставленных заказчиком, требуют соответствия ключ дешифрования при следующих операциях:

  • Загрузки или копии.Например, используя gsutil cat , cp , mv или rsync команд.

  • Просмотр хэшей CRC32C или MD5 зашифрованных объектов. Например, используя ls -L или stat команды.

    Примечание: При составлении списка объектов метаданные для объектов, зашифрованные с помощью ключ шифрования, предоставляемый или управляемый заказчиком, не включает CRC32C- или MD5-хэши объектов. Для команд gsutil, которым требуются эти поля, например, gsutil ls -L , gsutil выполняет дополнительный запрос GET метаданных для каждый объект зашифрован с помощью шифрования, предоставляемого заказчиком или управляемого заказчиком ключ.Следовательно, для перечисления таких объектов с флагом -L требуется один дополнительная операция для каждого объекта, что значительно медленнее, чем листинг объекты, зашифрованные с помощью ключей, управляемых Google.

Если вы перезаписываете или перезаписываете объект, зашифрованный с помощью или управляемый клиентом ключ шифрования без указания поля encryption_key , происходит следующее:

  • Если вы включите в свою команду соответствующий ключ дешифрования, gsutil шифрует объект, используя ключ шифрования по умолчанию для корзины, или Шифрование под управлением Google при отсутствии ключа по умолчанию.

  • Для перезаписи, если вы не включили соответствующий ключ дешифрования в свой команда, вы получите сообщение об ошибке.

В ситуациях, когда encryption_key может измениться во время частично завершенная операция записи или копирования, например, при повторном запуске gsutil cp загрузка объекта после принудительного завершения работы или тайм-аута сети, gsutil перезапускает частично завершенную операцию, чтобы убедиться, что место назначения объект записывается с новым ключом.

Ротация ключа шифрования

Если объект зашифрован с помощью ключа шифрования, предоставленного заказчиком, вы можете поверните ключ объекта, переписав объект. Переписчики поддерживается через JSON API, но не через XML API. Видеть Ротация ключа шифрования для примеров ротации ключей.

Примечание: Если ваша корзина использует управление версиями объектов, обязательно удалите нетекущие версии ваших объектов после поворота ключа. Не текущий версии не удаляются автоматически и остаются зашифрованными со старым ключом.

Что дальше?

Ransomware: промышленные услуги возглавляют список хит-парадов, но киберпреступники диверсифицируют

Предприятия, производящие промышленные товары и услуги, по-прежнему являются самой популярной целью для атак программ-вымогателей, но киберпреступники все больше диверсифицируют, какие организации они вымогают.

Программы-вымогатели стали серьезной проблемой кибербезопасности, поскольку киберпреступники проникают в сети и шифруют серверы и файлы, прежде чем потребовать выкуп — часто в размере миллионов долларов в криптовалютах — в обмен на ключ дешифрования.

В большинстве случаев жертва уступает требованиям и платит выкуп. Это может быть связано с тем, что у них нет резервных копий, потому что преступники угрожают утечкой украденных данных, если им не заплатят, или просто потому, что жертва считает уплату выкупа самым быстрым средством восстановления сети. Однако на самом деле, даже с правильным ключом дешифрования, службы могут оставаться отключенными в течение долгого времени после события.

В ходе анализа сотен зарегистрированных атак с использованием программ-вымогателей в период с июля по сентябрь этого года исследователи кибербезопасности из Digital Shadows обнаружили, что промышленные товары и услуги были наиболее часто сообщаемым сектором, на который приходилось почти вдвое больше инцидентов, затронувших второй по величине промышленность — технологии.

Одна из самых серьезных атак с использованием программ-вымогателей в этом году затронула промышленную среду, когда Colonial Pipeline стала жертвой программы-вымогателя DarkSide. Кибератака привела к нехватке газа на большей части восточного побережья США, и люди бросились накапливать запасы газа. В итоге компания заплатила выкуп в миллионы долларов за восстановление сети.

SEE: Выигрышная стратегия кибербезопасности (специальный отчет ZDNet)

Промышленные среды являются популярной целью для киберпреступников-вымогателей, потому что, если продукт или услуга не могут быть произведены или доставлены, это влияет на клиентов — и нижняя строка.Таким образом, многие компании предпочитают платить, чтобы быстро восстановить работу служб.

«Компании в секторе промышленных товаров и услуг обычно становятся объектами нападений из-за их чувствительности к длительным отключениям; производителям часто приходится работать круглосуточно и без выходных», — сказал ZDNet Крис Морган, старший аналитик по анализу киберугроз в Digital Shadows.

«Даже малейший сбой в работе может существенно повлиять на цепочку поставок цели. Многие компании в этом секторе — и других секторах, таких как строительство и сельское хозяйство — полагаются на технологии для обеспечения автоматизации.Без этой технологии производительность резко упадет ».

Кроме того, в промышленных средах часто используются технологии, которые упрощают их использование для банд программ-вымогателей. Это может варьироваться от использования старого, устаревшего программного обеспечения, которое не работает. получать обновления безопасности для использования гораздо более новых устройств и датчиков, подключенных к Интернету вещей, которые могут быть использованы киберпреступниками для доступа к сети.

Хотя это не устранит угрозу полностью, предприятия могут предпринять шаги, чтобы не стать жертвой от кибератак, таких как своевременное применение обновлений безопасности и применение многофакторной аутентификации.

Диверсификация целей

В то время как промышленные среды остаются основной целью атак программ-вымогателей, количество атак на них в последнем квартале сократилось, поскольку киберпреступники диверсифицировали свои цели.

Исследование, проведенное Digital Shadows, показало, что отрасль высоких технологий была на втором месте в отчетном периоде. Самая серьезная атака на этот сектор за последние месяцы была совершена против Kaseya, поставщика ИТ-решений, который стал объектом атаки на цепочку поставок, затронувшей тысячи компаний по всему миру.

SEE: Эта компания была атакована программой-вымогателем. Вот что они сделали дальше и почему не заплатили. может использовать рычаги для принуждения жертв к уплате выкупа.

Исследователи предупреждают, что расширение целевых секторов может быть связано с появлением новых групп вымогателей и усилением конкуренции между бандами.«Диверсификация целей, вероятно, происходит естественным образом в результате того, что рынок программ-вымогателей становится более насыщенным», — сказал Морган.

«Digital Shadows в настоящее время отслеживает 35 сайтов утечки данных, которыми управляют отдельные группы программ-вымогателей, и, хотя это число регулярно колеблется, оно, скорее всего, увеличится в 2022 году. Поскольку все больше групп нуждаются в большем количестве жертв, новые секторы будут активны. направление этого вида деятельности ».

ПОДРОБНЕЕ О КИБЕРБЕЗОПАСНОСТИ

Интеллектуальная расшифровка целей.SMART цели: примеры формулировки

У каждого человека есть цель. Мы пытаемся этого добиться и, казалось бы, прилагаем все усилия. Спросите себя, были ли достигнуты все цели, которые вы перед собой ставили? Конечно, нет, и этому есть несколько причин, которые станут очевидными и объяснимыми благодаря системе SMART. Посмотрим на процесс постановки цели на реальном примере.

Основы постановки целей

Зачем человеку цель? Известные философы говорили: «Жизнь — это череда усилий.Мы видим цель, но не всегда видим дорогу. « … Он наполняет нашу жизнь смыслом, превращает бизнес-идеи в задачи, а их реализация приносит нам деньги, свободу -« воздух », как сейчас модно говорить. Видеть путь к достижению цели (ставить себе правильные задачи) главная и единственная задача принципа — SMART, и мы поговорим об этом.

Многие бизнесмены сходятся во мнении: «Просто нужно больше делать и меньше говорить» но что такое действие без цели? Ничего такого! Вы можете всю жизнь совершать какие-то действия, но не получать желаемое.Проблема многих — осознание цели, а не понимание четких действий, задач по ее достижению.

Без реалистичного плана действий и четко поставленных задач невозможно достичь цели!

Фрэнсис Бэкон подтверждает сказанное знаменитой фразой:

Хромой бежит по дороге впереди идущего без дороги

Это метод SMART, который поможет нам увидеть правильный путь.

Что означает SMART?

Эта система умного планирования целей и задач появилась в бизнесе в 1965 году, но сегодня она активно используется как основной инструмент для постановки целей.SMART — это первая буква пяти английских слов:

Специальный — S

Измеримый — M

достижимо — A

Соответствует —

RR

с ограниченным сроком — T

Этот метод помогает претворить теорию в жизнь посредством конкретных действий.

Как ставить цели для системы SMART?

Первым делом заполните таблицу с учетом приведенных ниже рекомендаций и пояснений. Рассмотрим пример:

S — цель должна быть конкретной.SMART часто используется для постановки долгосрочных целей, поэтому ошибки на этом этапе могут дорого обойтись. Не используйте такие фразы, как: «Много / мало», «Увеличить / уменьшить», «Улучшить» и т. Д. «Сделать много денег» — это неправильное утверждение. «Заработай 1 миллион долларов» — правильная постановка цели.

M — Хотите увеличить продажи? Насколько увеличить продажи? Вторая ошибка — это отсутствие четкой цифры, процент которой вы хотите достичь в следующем периоде.Если нет числа, нет стратегии, а значит, нет задач. Определите процент увеличения продаж, учитывая, что чем больше вы планируете роста, тем эффективнее и эффективнее меры по продвижению продаж, которые вы должны предпринять.

A — цель должна быть достижимой. Можно строить самые амбициозные планы, но без ресурсов они навсегда останутся на бумаге. Чтобы установить цель SMART, вы должны изучить свои ресурсы и возможности. Составьте и станет понятно, какого процента прироста продаж вы реально сможете достичь.

Часто можно услышать: «Что-то нужно сделать» — это паника, а не перечень всех возможных мер и инструментов для увеличения продаж. Чтобы увеличить продажи, нужно понимать, как это делать. Через рекламу, скидки, ассортимент, поиск альтернативных каналов сбыта и т. Д. Совершать бесполезные действия — результата не будет.

R — цель должна соответствовать реалиям, а не сиюминутной эмоции. Вы спрашиваете себя: «Насколько я хочу увеличить продажи?» Первая ошибка — неправильный вопрос! Возможно, вы хотели увеличить чистую прибыль, но поставили задачу — увеличить продажи, что не является гарантией увеличения прибыли.Увеличение продаж — это лишь второстепенная цель, которая поможет достичь основной.

T — действия по достижению цели должны иметь срок. Если нет ограничений по времени, зачем спешить? «Мы сделаем это позже!» . Успешный бизнес развивается, потому что постоянно, поэтапно достигаются подцели. Чем быстрее решаются подзадачи, тем быстрее растет бизнес и прибыль. Неделя, месяц, год — у каждой цели или подцели должно быть ограничение по времени. Это помогает взвесить осуществимость мер по обеспечению его реализации.

Давайте посмотрим на пример заполненной таблицы SMART:

Это простой пример, который показывает, как ставить цели и задачи для интеллектуальной системы SMART. Для сложных задач необходимо создать долгосрочную таблицу, содержащую множество подцелей, которые делегируются руководителям отделов, а те, в свою очередь, сотрудникам исполнителей.

Постановка сложных целей, пример

Рассмотрим более сложный пример. Допустим, вам нужно увеличить долю продаж вашей продукции в регионе на 2% за 1 год.Это позволит вам получить больше новых клиентов, больше продаж, больше прибыли. Чтобы эта непростая задача была выполнена, вам необходимо разработать четкий план. Исходные данные:

  • Рыночная доля вашего продукта сейчас составляет 11%
  • Количество торговых точек — 9
  • Количество продавцов — 32
  • Продажи в месяц, в среднем за год — 350 шт.
  • Количество участников — 5

Итак, заполняем SMART таблицу:

В графе S записываем основную цель максимально конкретно: увеличить долю рынка вашей продукции на 2%.

В графе М пишем — увеличить продажи до 413 шт. к двенадцатому месяцу (число, дата, год). Мы не учитываем рост или падение рынка. Если у вас есть исторические данные и вы следите за тенденциями изменений в своем бизнесе, вы можете использовать коэффициенты увеличения или уменьшения, чтобы получить более точный прогноз продаж через 12 месяцев. Мы рассчитываем количество продаж, необходимых для получения доли рынка в регионе 13%, и устанавливаем четкую количественную цель — 413 единиц. в месяц.

В ячейке А Делаем анализ имеющихся ресурсов Взвешиваем достижимость цели. Принимая во внимание сезонность и данные о продажах за прошлый период, мы можем предположить активный и пассивный периоды и преодолеть нашу главную цель в 413 единиц. на подцели. Это поможет нам разработать ежемесячный план действий по увеличению доли рынка. Определяем ежемесячный план продаж с учетом внутренних и внешних рыночных факторов:

Получаем новые SMART цели по ежемесячным продажам (синие столбики на диаграмме), к которым будем стремиться на пути к основной — 13% доли рынка.Красные столбцы — данные за предыдущий год. Как правильно планировать продажи читайте.

  • Взвешиваем ресурсы предприятия и разрабатываем конкретные меры по увеличению продаж, на каждый месяц:
  • Июнь и декабрь нуждаются в активных действиях, продажах, т.к. в предыдущем периоде был рост продаж и рынок вырос на 5%, т.е. плановые показатели вполне достижимы.
  • Мы уделяем особое внимание поиску новых клиентов. Используем e-mail и sms рассылки, холодные и теплые звонки по клиентской базе.
  • Каждую встречу с клиентом записываем в таблицу или. Мы никого не бросаем, всех давим. Начальник отдела должен следить за каждым отказом от контакта (консультация была получена, но продажа не состоялась) и прорабатывать причины отказа в продаже и меры по возвращению клиента в магазин.
  • Лидер должен вести и уметь это анализировать. Если на каком-то этапе воронки происходит утечка клиентов, мы немедленно принимаем меры.
  • Проводим анализ конкурентов.Чем они лучше, какие у вас плюсы и минусы? Пройдите все критерии:
  1. Обучение персонала.
  2. Состояние товарного склада.
  3. Диапазон.
  4. Рекламный бюджет (наружная реклама, интернет, раздаточные материалы).
  5. Мотивация персонала.
  6. Финансовые возможности.

Проведя такой анализ и взвесив свои ресурсы, можно понять, насколько цель достижима. Это даст вам четкий список действий и задач, которые помогут вам достичь вашей основной цели.

Теперь ячейка R — соответствие поставленной цели действительно важной и правильной стратегии компании? Зачем вы этого добьетесь? Увеличение доли рынка приведет к:

  • Увеличение продаж.
  • Увеличение клиентской базы.
  • Повышение качества обслуживания.
  • Развитие бизнеса в регионе.
  • Повышение материальной мотивации менеджеров по продажам. …

Это цели, которые ставит перед собой почти каждая компания, но они достигаются в единицах.

Теперь посчитайте T — время, за которое цель должна быть достигнута. Если, заполнив все поля, вы понимаете, что это неосуществимо, не спешите опускать планку, возможно, вам просто нужно немного увеличить временные рамки для реализации своей цели. Важно, чтобы сроки были соблюдены! Год для такой цели — довольно оптимистичный прогноз.

«Проблемы и трудности — это завуалированные возможности, которых раньше не было видно!»

Итак, перед нами SMART-модель постановки сложной цели.Этот пример поможет вам по аналогии заполнить вашу электронную таблицу.

Мотивация к достижению целей

Согласитесь, если у вас нет мотивации для достижения цели, то она не будет достигнута. Это может произойти, если это второстепенно, неважно или просто фантастически недостижимо для человека. Например, если вы поставили себе цель купить яхту за 1 400 000 евро в следующие 10 лет, и умно, вы определили, что вам нужно откладывать 11 700 евро каждый месяц до установленного срока… Вы понимаете, что в нашей стране лишь единицы получают такую ​​зарплату, а значит, цель погашена и становится недостижимой и неважной.

Однако система SMART показала нам, что, исходя из доступного дохода в 1000 евро в месяц, вы можете запланировать покупку яхты за 36000 евро, и это уже реально и достижимо, что соответственно мотивирует и становится важным. Отсюда у человека появляется мотивация для достижения цели, и SMART начинает работать.

Привет! Вы замечали, что такие задачи, как «мыть посуду» или «пробежать 5 км», обычно не встречают серьезного психологического сопротивления? Но цели формата «стать одним из первых по продажам» или «выучить английский» мы воспринимаем как нечто пугающее и невозможное.В результате работа над такими «проектами» откладывается на неопределенный срок …

Однако нерешаемых проблем нет, поэтому люди придумали технологию SMART целей. Этот метод одинаково хорошо работает как для крупных корпораций, так и для вас самих. Итак, постановка целей — это умно — что искать и как с этим работать?

Английское слово « smart » переводится как «быстрый, умный, умный, проворный, ловкий». Кто изобрел технологию для постановки «умных» целей? Автором был американский экономист, публицист и педагог Питер Друкер (еще в 1954 году).

У Питера Друкера сотни статей в Harvard Business Review и Wall Street Journal и около 40 книг. Кстати, именно он сформулировал теорию инновационной экономики в новом информационном обществе!

SMART — это аббревиатура, где каждая буква обозначает собственный критерий эффективности поставленной цели.

S — специальный

Согласно SMART, любая поставленная цель должна быть конкретной. Еще на этапе постановки задачи результат должен быть четко определен по принципу «одна цель — один результат».

Возьмем для примера цель: увеличение дохода.

  • Неверно: «Я хочу зарабатывать больше». Уверен, вы уже не раз ставили себе такую ​​цель. К сожалению, это не сработает.
  • Верно: «Я хочу увеличить свой ежемесячный доход на 20%». Это намного лучше. Цель стала конкретной, теперь можно однозначно оценить конечный результат.

Некоторые американские авторы предлагают проверять цель на «специфичность» с помощью пяти Ws: What (что нужно достичь) Почему (зачем мне это), Who (кто поможет мне в работе) , Где (где будут производиться работы), Где (какие требования и ограничения нужно учитывать).

Почему это важно? Подсознание — важный помощник в процессе достижения цели. Но это практически бесполезно, если не дать ему четкую и конкретную точку отсчета (что-то вроде яркой картинки). Разобравшись с этим, продолжим.

M — Измеримый

Для любой цели важно установить четкие критерии оценки конечного результата. Вот пара примеров таких критериев в разных сферах жизни.

  • Внешний вид: талия и бедра, вес, размер одежды
  • Бизнес или работа: количество клиентов или транзакций, ежемесячный доход, оборот банковского счета
  • Личные отношения: количество друзей и знакомых, количество свиданий в месяц, количество приглашений (в кино, на вечеринку, в кафе)

Я возьму другую популярную цель: похудение.

  • Ложь: «Хорошо выглядишь» Скажите, как вы собираетесь оценивать результат такого гола? Неужели это возможно оценить? Насколько хорошо ты сейчас?
  • Правильно: «Похудей на 10 кг» или «Похудей с 50 до 46».Намного лучше!

Почему это важно? Без четких и конкретных показателей мы не можем определить (измерить, если хотите), достигнута ли цель.

A — достижимо

Любая цель SMART должна быть достижимой с учетом всех ограничений: времени, инвестиций, знаний и навыков, людей, доступа к ресурсам и информации. Если честно, с этим критерием не все так просто. Дело в том, что понятие достижимости довольно эфемерно, но статистика всегда приходит мне на помощь.

В среднем люди склонны переоценивать свой потенциал на ближайшее будущее (до 1 года) и недооценивать свой потенциал при планировании долгосрочных целей (5 и более лет).

Еще один классный пример: написание диссертации

  • Неверно: «Напишите диссертацию за три месяца». Не берусь утверждать со 100% уверенностью, но, на мой взгляд, цель нереальна
  • Это правда: «Напишите работу за три года». Такая постановка задачи выглядит более приземленной, и вы легко можете сохранять мотивацию на протяжении всего пути к желаемому результату.

Кроме того, есть цели, которые в принципе недостижимы. Допустим, 35-летняя женщина уже не может с нуля стать профессиональной балериной. Но она вполне может освоить латиноамериканские танцы.

Почему это важно? Недостижимые цели отнимают много времени и энергии и лишают уверенности в себе. При этом не бойтесь мечтать и ставьте перед собой смелые задачи на более длительные сроки (от 5 лет)!

R — Соответствующий

Критерий Актуальный отвечает на вопрос: «Как достижение цели повлияет на решение глобальных проблем»? Компания (или вы) должны получить выгоду от достижения любой цели SMART.В противном случае цель считается бесполезной, и по ее достижении вы не будете вознаграждены выбросом эндорфинов. 🙂

Пример задачи: «Зарабатывайте 1000 долларов в месяц»

  • Недействительная цель: «Жить в условиях строгой экономии». Подумайте, хотите ли вы начать зарабатывать больше, но при этом не сможете его тратить?
  • Несомненная цель: «Найти три новых источника дохода». Еще одна вещь! Вы чувствуете разницу?

Почему это важно? Потому что, если мы разбросаны по целям, которые противоречат друг другу (или дают слабый эффект), масштабные задачи останутся нерешенными.А этого допустить нельзя.

T — Ограничение по времени

Любая цель SMART имеет фиксированные временные рамки. Временные рамки позволяют взять под контроль процесс управления и преодолеть. Без них шансы на выполнение задачи стремятся к нулю.

Приведу личный пример цели: выучить английский

  • Неверно: «Я буду бегло говорить по-английски». Однажды, в следующей жизни … ну тогда ты сам знаешь.
  • Верно: «К 1 марта 2017 года я буду свободно говорить по-английски.«Вот и все, теперь у вас есть крайний срок, и вы не можете от него спрятаться …

Почему это важно? Потому что решить проблему можно без жесткого ограничения по времени. Вы замечали, что умеете «лизать» огромную квартиру за час до прихода гостей? И потратить целый день на одно и то же, если впереди много времени?

Кстати, по таймингу целей SMART могут быть:

  • Краткосрочные (1-3 месяца)
  • Среднесрочная (3-12 месяцев)
  • Долгосрочные (более года)

Примеры хороших SMART-целей

А теперь пора объединить все 5 принципов и наконец приступить к постановке правильных целей.Вот пара примеров:

  1. Повысить доходность сайта «Видео о Тайланде» до 300 долларов в месяц к декабрю 2017 года.
  2. Получить водительское удостоверение категории А до 1 июня 2017 г.
  3. Похудеть за три месяца к 1 апреля 2016 года на 10 кг
  4. Прочтите 5 книг Роберта Кийосаки за шесть месяцев до 1 июня 2017 г. (с кратким изложением основных мыслей)
  5. Научитесь плавать в стиле бюстгальтеров и к концу зимы (25 февраля) проплывите один километр без остановок
  6. Выход на пассивный доход в размере 100 долларов в месяц до 1 ноября 2017 года
  7. Увеличить количество участников группы ВКонтакте до 5000 человек к юбилею группы 15 мая

Ясно, что любая SMART-цель должна соответствовать всем пяти критериям.Но есть еще один (почти секретный!) Косвенный признак проверки цели на «сообразительность»: цель должна быть масштабной.

Хорошая цель SMART не должна быть слишком простой или легкой для достижения. «Бежать 300 метров», «Выучить 50 новых немецких слов», «Заработать на 10% больше, чем сейчас» — это нонсенс, а не глобальная задача. Правильная цель всегда чуть выше вашего предела! К тому же заставляет выйти из зоны комфорта и попробовать что-то новое.

Насколько легко ставить SMART-цели?

Шаг первый.Примите вызов

Необходимо четко понимать, что достижение будущей цели необходимо, прежде всего, Вам. Все мы любим жаловаться на обстоятельства и извиняться. Но вы и только вы несете ответственность за успех или неудачу! Это, пожалуй, самый важный момент в постановке целей (и не только …)!

Второй шаг. Осознайте важность

Объясните себе важность будущей цели. Это не обязательно должна быть сиюминутная прихоть или спонтанное желание.Хотели бы вы / свободно говорить по-итальянски / открыть кофейню? Затем продумайте до мелочей, как после этого изменится ваша жизнь.

Шаг третий. Получить поддержку

Как правило, внешняя поддержка ускоряет достижение цели в несколько раз. Другие люди могут контролировать вас, мотивировать вас или брать на себя некоторые задачи. Прекрасно, если конечный результат затронет не только вас, но и людей, которые для вас важны.

Шаг четвертый. Разбейте цель на более мелкие задачи

Иногда даже самая конкретная цель кажется настолько амбициозной, что пугает и заставляет сдаться с самого начала.Подсознание можно обмануть, разбив «большую» цель на более мелкие задачи. Не «похудеть на 20 кг в год», а «похудеть на 2 кг в месяц в течение года». Важно, чтобы каждый промежуточный результат приближал еще на один шаг к желаемому результату.

Вы когда-нибудь использовали SMART-цели? Подписывайтесь на обновления и делитесь ссылками на свежие публикации с друзьями в социальных сетях!

П.С. Начав применять эту технику, вы сначала можете заметить, что как будто весь мир повернулся против вас! Лучшие друзья или даже ваши родители могут начать уверять вас, что это невозможно и не стоит даже пытаться.Кто-то даже приведет пример, что он уже пытался это сделать, но у него ничего не получилось.

Единственный совет, который я могу вам дать, — не сдаваться. Сжимайте зубы, игнорируйте негатив и продолжайте. Представьте, что вы — локомотив, набирающий скорость, и ничто не может остановить вас на пути к цели. Поверьте, результат превзойдет все ваши ожидания! Удачи!

П.С.С. Кстати, я предпочитаю ставить новые цели вместе с подведением итогов прошлого года.А потом — в сети делюсь своими результатами в их достижении. Это меня дополнительно мотивирует, и я достигаю их даже раньше срока. Если интересно, почитайте о них.

Здравствуйте уважаемые читатели. Сегодня я хотел бы поговорить о целях и секретах их достижения. Вы когда-нибудь задумывались о том, почему одни люди преуспевают практически во всем, как будто препятствия рушатся перед ними, как только они берутся за дело, а для других все выходит из-под контроля и малейшее затруднение превращается в глобальную стену, парализующую всю деятельность ? Один из главных факторов успеха — умение правильно ставить цели.Вы можете этому научиться? Конечно. В управленческой практике давно успешно применяется методика постановки целей SMART, позволяющая ставить цели, неизменно ведущие к успеху.

Почему эта методика может быть эффективной в обычной жизни каждого человека и помочь осуществить мечты? Потому что в его основе лежат основные принципы работы мозга, регулирующие деятельность человека.

Введение

Фактически, технология SMART позволяет сознательно запускать внутренние механизмы мотивации, направлять жизненный тонус в нужное русло.Это кажется фантастическим, но именно то, как сформулирована цель, имеет решающее влияние на главное: удастся ли убедить мозг направить энергию на ее достижение.

Спросите себя: какой лев поймает антилопу? Ленивый, неохотно шевелящий лапами, как-то оглядывающийся, или стремительно летящий по прерии, вкладывая всю свою энергию в охоту и не замечая ничего вокруг, кроме будущей добычи? Ответ очевиден. Технология SMART — это удивительный способ мобилизовать энергию и направить ее на достижение желаемого результата.

Как работает технология SMART и в чем секрет ее эффективности?

Слово SMART состоит из первых букв слов, обозначающих основные критерии оценки правильности поставленной цели:

  • S — Конкретное , что означает конкретное, выраженное в терминах реальности;
  • M — Измеримый , то есть измеримый, выраженный в каких-то конкретных единицах: штуках, килограммах, рублях — что угодно, лишь бы были числа.
  • A — Достижимое — что можно перевести как достижимое, то есть действие, осуществление которого оценивается сознанием как вполне возможное.
  • R — Реалистик — полезное, актуальное, необходимое для чего-то действительно значимого для человека.
  • T- Timed — ограниченный по времени, когда для получения результата назначается четкая дата: день, месяц и год, иногда даже час.

Давайте разберемся, почему и как цели, соответствующие каждому из этих критериев, вызывают в человеке прилив внутренних сил, пробуждают вдохновение и энтузиазм к результату.

S — Конкретный: Почему конкретные цели легко достичь?

Что лежит в основе сложностей, связанных с постановкой конкретных целей? Шутка, которую природа сыграла с нами. Научившись мыслить абстрактно и оперировать понятиями на очень высоком уровне обобщения, человек все еще может действовать только с конкретными предметами … Мозг вырабатывает ферменты, которые стимулируют активность, только если он получает сигнал действовать в окружающем его физическом мире.

Следовательно, только конкретные действия могут привести к достижению даже самой абстрактной цели и только тогда, когда они выполняются.

Силой мысли ничего не добиться.

Быть счастливым в физическом мире может означать женитьбу и завести детей, занять высокое положение в респектабельной компании или переехать в теплую страну. Чтобы стать богатым, нужно заработать 100000000 долларов или построить дом, купить ферму и т. Д.

Как только цель сформулирована на языке реальности, мозг начинает воспринимать ее не как объект рассуждения, а как команду для действие.Немедленно срабатывают доступные в нашем сознании механизмы, включающие в себя привычные модели мышления, и наш мозг, иногда даже подсознательно, начинает искать способы достижения цели, искать решения возникающих проблем. А кто ищет, всегда найдет.

M — Измеримость: Как сила чисел влияет на вашу силу?

Почему так сложно достичь неизмеримых целей? Ответ прост. Даже если вы их уже достигли, вы не сможете этого понять.Только когда желаемый результат выражен в каких-то точных единицах, можно сказать, есть он или нет. Вы даже можете точно определить, сколько единиц уже установлено, а сколько отсутствует. Это очень важно для человеческого сознания.

Доказательством могут служить эксперименты, проводимые учеными в группах детей. Испытуемым предлагались неинтересные, однообразные задания, например, зачеркивание ячеек в тетради. Если в начале работы участники действовали активно, то к концу надоедало, дети начинали отвлекаться, либо вообще перестали работать.Затем экспериментатор сказал, что до конца задания осталось зачеркнуть 10 клеток.

После этого страсть к работе и скорость выполнения задания значительно возросли, ведь дети точно знали, сколько нужно сделать, чтобы достичь желаемой цели.

A — Достижимое: Почему невозможно делать то, во что ты не веришь?


Почему вы не можете достичь недостижимых целей? Человеческий мозг создан для экономии денег.жизненной энергии, заставить его тратить энергию не так-то просто.

Следовательно, если сознательно или подсознательно вы не верите, что действие может быть выполнено с запланированным результатом, несмотря на твердо принятые решения, вас одолеет лень или вы найдете миллион причин и отговорок, чтобы отложить дело горелка.

Только понимание достижимости цели, четкое понимание того, что и в каком порядке нужно делать, яркий и значимый образ конечного результата позволяет пробудить в себе активность, азарт и работоспособность.

Но без этого добиться результата практически невозможно. Поэтому, сформулировав цель так, чтобы ее достижимость стала очевидной, тщательно продумав план и порядок действий, инвентаризировав и осознав наличие средств решения поставленных задач, человек запускает естественный мотивационный механизм. , испытывает прилив сил и желание действовать, превращается в мощную машину для воплощения мечты в реальность….

R — Реалистик: Можно ли добиться того, чего не нужно?

Все знают, что даже мухи просто так не летают, а если что-то делается, значит, кому-то это нужно. Неслучайно эти пословицы заслужили любовь народа. Для совершения человеком какого-либо действия необходима энергия, и наш умный мозг отвечает за ее потребление.

Если ваше сознание воспринимает цель, которую вы поставили перед ним, как не связанную с существующими, нужными в данный момент, систему целей и задач, которая существует в вашей голове, как бы вы ни старались, вы будете преодолены лень или поиск бесконечных оправданий и отговорок.Это означает, что ваш мозг не осознает, что поставленная вами цель удовлетворит ваши непосредственные потребности.

T — Timed: зачем знать точное время исполнения?

Цели без конкретной даты достижения тонут в потоке текущих дел и событий. Каждый день размышляешь о том, что уже сделано и что нужно сделать завтра. Чтобы мечта сбылась и был получен результат, цель должна попасть в этот непрерывный поток сознательного или бессознательного планирования.

Иначе по прошествии недель, месяцев, лет вы даже не сможете понять, как идут дела, продвигается ли работа для достижения цели или стоит на месте.

Если установлена ​​точная дата, то тот факт, что результат не достигнут к сроку, может стать поводом для поиска проблем, замедляющих приближение к желаемому, а, следовательно, и разработку их решений. Ведь отрицательный результат — это тоже результат.

Как превратить несбыточную мечту в Умную цель и осуществить ее?


Итак, чтобы пробудить вашу внутреннюю силу, открыть вулкан энергии и получить желаемое, вам нужны вялые и безжизненные мечты, которые не сбылись, другими словами, используя метод SMART.

И вот яркий пример. Как по волшебству, пирог в небе, недостижимая голубая мечта «Хотел бы я когда-нибудь уйти в теплое море», , который не выходил из головы уже десяток лет, превращается в «птицу в руках», сформулированную как СМАРТ-цель: «В следующем июле поехать в Таиланд на 1 неделю». .

Именно такая формулировка побудит искать в Интернете недорогие туристические предложения, задуматься о возможности получения дополнительного дохода, чтобы накопить на поездку в течение года, и изобретать способы убедить начальника дать недельный доход. каникулы следующим летом.

И даже если отпуск не удался сразу, и найти дополнительный доход потенциально проблематично, вы всегда можете поставить промежуточную SMART цель для этого конкретного случая: «В течение 30 дней найдите 5 вариантов дополнительного дохода не менее 3000 рублей в месяц в газетах, в Интернете, через друзей и коллег ». А если через 30 дней результат не будет достигнут, можно проанализировать свои ошибки и сформулировать новую цель.

Важно помнить, что вода не течет под лежащий камень, и все проблемы можно решить, если их решить.

Попробуйте, и у вас все получится.

Заключение

Всего наилучшего, уважаемые читатели, подписывайтесь на блог и вы не пропустите полезные советы, которые могут сделать вашу жизнь лучше. Если информация была вам интересна, возможно, ваши друзья тоже сочтут ее полезной, поделитесь статьей в социальных сетях.

Обратившись в любую современную отрасль деятельности, будь то строительство, образование или информационные технологии, вы можете столкнуться с проектной деятельностью.позволяет правильно сформулировать задачу, выбрать цель и сделать акцент на важных моментах, направив общий ход работы в нужное русло. Важной вехой в проектной деятельности является постановка целей. Одним из популярных и эффективных методов постановки целей является технология

Что такое SMART постановка целей?

Эта целеполагающая технология появилась очень давно и уже успела зарекомендовать себя с лучшей стороны. Благодаря этому методу можно четко сформировать задачу, обобщить имеющуюся информацию, выбрать сроки и количество ресурсов.Любой уважающий себя менеджер должен уметь ставить цели для SMART.

SMART — это аббревиатура, обозначающая:

  • Specific — Specific.
  • Измеримое — Измеримое.
  • Achieveable — достижимо.
  • Реалистичный — Прагматичный (Реальный).
  • По времени — определяется временем.

Разберем каждую составляющую более подробно.

Конкретный — задача должна быть конкретной

Чтобы повысить вероятность успешной реализации проекта, необходимо поставить конкретную цель.По сути, вам уже на начальном этапе нужно определиться, каким будет результат. Ряд вопросов, скрытых за аббревиатурой 5W, помогают конкретизировать будущую цель:

  • Что? (Что?) — Что мне нужно, какую цель я преследую, чего хочу достичь?
  • Почему? (Почему?) — Зачем мне или моей команде / компании это нужно?
  • Кто? (Кто?) — Кто будет работать над этой задачей?
  • Где? (Где?) — Где решать эту задачу?
  • Какой? (Что?) — С какими требованиями и ограничениями придется столкнуться?

Важно понимать: если цель одна, то за результатом следует единица.Любое изменение в плане результатов должно приводить к изменению количества целей.

Измеримый — задача должна быть измеримой

Для постановки целей и задач SMART требуется четкое понимание того, что составляет успешное выполнение задачи. Измерение успеха может быть выражено в виде определенной денежной прибыли или увеличения веб-трафика, аудитории и т. Д.

Чтобы более четко сформулировать измеримую задачу, задайте себе следующие вопросы:

  • В какой момент цель будет считаться решенной?
  • Какой из выбранных показателей (сумма выручки, количество посещений веб-ресурса) больше влияет на успех и свидетельствует о том, что задача выполнена?
  • Каким должно быть значение этого показателя, чтобы проект или задача считались успешно выполненными?

Достижимая — задача должна быть достижимой

Постановка цели SMART означает постановку реалистичной цели, которую может достичь ваша команда или компания.Это чрезвычайно важный элемент системы SMART, так как он оказывает огромное влияние на мотивацию исполнителя. Недостижимые цели почти никогда не достигаются. Чтобы лишний раз не мечтать, а придерживаться реальности, следует опираться на опыт работы, наличие определенных ресурсов. Также необходимо учитывать существующие ограничения.

Возможные ограничения:

  • Временной ресурс.
  • Наличие вложений.
  • Количество сотрудников / исполнителей.
  • Имеющиеся знания и опыт (человеческий капитал).
  • Доступ к необходимой информации.
  • Умение руководителя полностью контролировать рабочий процесс.

Реалистично — задача должна иметь значение

Постановка задач SMART отличается своей адекватностью, важно не только прописать рабочий процесс, но и реализовать именно те цели, которые будут значимы для компании. Вам нужно выбрать цели, которые будут полезны в долгосрочной перспективе и позволят команде / компании развиваться.

Проще говоря, если цель, которую вы преследуете, не приносит никакой пользы, значит, это не СМАРТ-цель, и работа над ней тратится зря.

Важно отметить, что важна не только прагматическая составляющая, но и совместимость цели с реалиями компании, принципами исполнителей, общей стратегией развития.

Timed — задача должна иметь временные рамки

Система постановки задач SMART накладывает на исполнителя ряд ограничений, в том числе ограниченных.Формируя такую ​​задачу, необходимо установить дедлайн (deadline), превышение которого автоматически делает цель / проект провалом.

Такое ограничение положительно сказывается на мотивационной составляющей, а также облегчает контроль над задачей.

Естественно, сама задача, расчет ресурсов и т. Д. Должны формироваться с учетом временных ограничений. Проще говоря, время, необходимое для выполнения задачи, должно быть связано с крайним сроком.

Постановка целей для SMART: пример

Вот один наглядный пример.

Допустим, сотрудница предприятия по производству труб (назовем ее Лена) получила крупный заказ от одного из покупателей, после проверки базы данных на наличие товара Лена соглашается доставить его клиенту. Через некоторое время клиент звонит Лене и заявляет, что количество товара не соответствует заранее оговоренному. Это произошло потому, что другой служащий продал трубы другому покупателю часом ранее.

Такого любопытства можно было бы избежать, если бы Лена работала по схеме SMART:

  • S — Лена четко формирует заказ, узнает, что нужно клиенту.
  • M — Лена уточняет количество необходимого товара, которое должен получить клиент.
  • A — Лена согласовывает заказ с клиентом, а также с сотрудниками компании. Например, она может позвонить на склад и убедиться, что к тому времени, когда клиенту понадобится, будет достаточно товаров.
  • R — Предпринятые действия помогут гарантировать выполнимость задачи и не создадут проблем для компании.
  • T — На основании полученной информации можно будет указать реальное время.

Таким образом, постановка целей для SMART поможет сотруднику осуществить задуманную сделку, не подрывая доверия к компании.

Технология постановки целей SMART в повседневной жизни

Навыки постановки целей SMART могут быть полезны в повседневной жизни, потому что структура проектной деятельности может быть применена для любых целей.

Представим, что кто-то хочет выучить иностранный язык, поскольку это предполагает перспективную работу переводчиком.

  • S — Человек четко формулирует свою цель: выучить язык. Он знает, что будет работать один, он знает, что этот навык позволит ему получить работу на Хорошей работе … Он также знает, с какими трудностями связан этот процесс и с чего начать.
  • M — Как измеряется уровень владения языком? Мерой в этом случае может стать наличие справки. Аналогичный сертификат можно получить, сдав международные экзамены.
  • A — Достижима ли такая цель? да.У человека много свободного времени, доступ в Интернет, возможность посещать курсы и средства на эти самые курсы.
  • R — Есть ли польза от выполнения этой задачи? да. Вы можете извлечь выгоду из такого навыка, как владение иностранным языком.
  • T — Чтобы не пропускать занятия и не фальшиво, человек может установить определенные временные рамки, скажем, год. Этого времени достаточно, чтобы получить необходимые навыки.

Трагедия жизни не
, что цель не достигнута.
Трагедия жизни
заключается в отсутствии цели, которую нужно достичь.

— Бенджамин Мэйс

Задайте себе два довольно простых вопроса. Все ли, что вы делаете в профессиональной сфере, эффективно и приводит ли к желаемому результату? Даже если ответ «нет» не является категоричным, но вы хотели бы изменений в лучшую сторону, эта статья о постановке целей SMART будет однозначно полезной.

Система постановки целей в соответствии с критериями SMART зарекомендовала себя как достаточно прогрессивная и эффективная в управлении.Но это не значит, что его можно только использовать. Цель — это то, чего нужно достичь, к чему стоит стремиться. Из этого определения следует, что методика постановки умной цели пригодится не только в работе, но и при решении любых личных задач.

У вас есть идея для стартапа? Вы уверены, что ваш бизнес может быть более эффективным? Не можете навести порядок? Хотите применить умные цели к своей учебе? Образовательный портал предлагает подробно ознакомиться с целеполаганием по SMART — методике, которая научит вас правильно ставить и достигать цели, экономить время и силы, повышать производительность труда и избегать неэффективности.Для этих случаев мы проанализируем не только теорию и методологическую основу, но и сделаем акцент на конкретных примерах.

Исторический аспект

SMART Criteria — это мнемоническая аббревиатура, используемая для определения целей и задач в управлении проектами, производственном управлении и личном развитии.

В разных источниках авторство термина связывается с несколькими названиями. Некоторые утверждают, что SMART был впервые использован в 1965 году П. Мейером, изучавшим проблемы эффективного управления.Другие основываются на развитии концепции умных целей Дж. Дорана в статье, опубликованной в Management Review за 1981 г., и считают его автором. Также упоминается имя П. Друкера, который работал над теорией управления по целям, широко применяя целеполагание по SMART.

Оставим на суд истории вопрос пионера в области техники умных мишеней. Отметим только, что известная сегодня расшифровка со смыслом, заложенным в каждое отдельное понятие, описана в уже упомянутой статье Дж.Доран: «Есть S.M.A.R.T. способ писать цели и задачи менеджмента »(дословно« Вот умный способ написать цели и задачи управления »). Исходя из русского перевода, остановимся на том, что помимо значения термина SMART как аббревиатуры, В английском языке слово «умный» используется в значении «умный». Отсюда требование к процессу постановки целей, который должен быть умным, и синонимичная форма — умные цели, которые мы и многие другие используем параллельно с SMART. цели.

Возвращаясь непосредственно к работе Дж. Дорана, представляем перевод его расшифровки аббревиатуры (она изменилась по сравнению с ноябрем 1981 г. и сегодня выглядит несколько иначе, но об этом позже). Итак, цели, которые ставятся перед корпорацией, компанией, отделом, должны быть:

S ( Specific ) — специфический ; направленные на определенные аспекты в одной области;

M (измеряемый) — измеримый ; так что на основе их анализа можно вывести показатель прогресса;

A (назначаемый) — назначаемый ; нужно указать, кто отвечает за реализацию;

R ( Realistic ) — реальный ; с упором на результаты, которые могут быть достигнуты при имеющихся ресурсах;

T ( Время связанные ) — связанные по времени ; границы достижения цели должны быть четко определены.

Расшифровка

Как уже упоминалось, использование постановки целей для SMART приобрело значительную популярность в менеджменте, что послужило дальнейшему развитию как техники в целом, так и значения инвестиций в каждый отдельный элемент … Это привело к накоплению огромный эмпирический опыт, который иногда акцентирует внимание на совершенно разных требованиях к процессу целеполагания. Рассмотрим более подробно современные трактовки:

SPECIFIC (реже, но возможны вариации — значительные, растягивающие, простые).В переводе на русский язык это означает СПЕЦИФИЧНОСТЬ … Умная цель должна быть конкретной в силу нескольких факторов. Управление в крупных корпорациях предполагает долгий путь между лицами, принимающими решения, и теми, кто их реализует. Насколько эффективно общение и, следовательно, общение между ними? Достаточно ли четко видит цель рядовой сотрудник и, главное, в том же ключе, что и руководство? Из ответов на эти вопросы становится абсолютно ясно, что чем лаконичнее и конкретнее сформулирована цель, тем больше шансов на успех в ее достижении.Но это не все. Специфика подразумевает не только необходимость постановки цели, но и одинаковое ее понимание на всех уровнях, через которое она будет проходить в процессе реализации.

В частности, описанное выше условие согласия может объяснить позицию тех авторов, которые используют значение просто вместо конкретного. Простота цели с большей вероятностью гарантирует, что подрядчик или сотрудник, который ее реализует, поймет ее правильно, поскольку сама формулировка не оставляет вопросов.

Таким образом, первым критерием при постановке умной цели является конкретность. Американские авторы утверждают, что для достижения этой характеристики необходимо ответить на пять вопросов типа «W»:

Что : чего нужно достичь?

Почему : Почему это должно быть достигнуто? Какие выгоды и преимущества будут получены?

Кто : Кто участвует в работе?

Где : Где работа?

Какой : Какие требования, условия и ограничения накладываются на работу?

ИЗМЕРИВАЕМЫЙ (реже — мотивационный, управляемый). ИЗМЕРИМОСТЬ — критерий SMART, задача которого — продемонстрировать на количественном материале, как достигается цель. Цель должна быть осязаемой, этот постулат не подлежит сомнению. Любая работа — это результат. Для токаря на заводе это количество деталей, выпускаемых за смену. Для писателя — печатный роман или рассказ. Выражаясь обычным языком, измеримость — это система мер, с помощью которых определяется степень достижения цели. Если таких критериев нет, то невозможно ни оценить выполнение работ, ни проконтролировать сам процесс.

С другой стороны, как справедливо отмечают некоторые исследователи, количественные показатели (независимо от их формы) в любой деятельности являются неотъемлемым атрибутом. В связи с этим возникает естественный вопрос: насколько необходимо выделять очевидный аспект в отдельный пункт при постановке умной цели? Вместо этого предлагается другой, довольно популярный сегодня критерий — мотивационный. Суть в том, что после постановки цели сотрудники должны быть мотивированы на ее выполнение. Но здесь есть своя специфика, прежде всего в сфере применения — прямые должностные обязанности, которые человек обязан выполнять, и мотивация здесь не должна исходить от тех, кто ставит цели.Другое дело, если ставится цель, например, сократить время, затрачиваемое на перекуры. В этом случае необходимо поощрять некурящих, поощрять желание бросить курить среди курильщиков.

ДОСТИЖЕНИЕ (возможные варианты — соответствующие, согласованные, достижимые, требующие принятия мер). ДОСТУПНОСТЬ — очень важный индикатор постановки целей SMART. Фактически, вы можете проверить смекалку поставленной задачи, ответив на вопрос: как достичь цели с учетом имеющегося персонала?

Хороший руководитель ставит перед подчиненными цели, основываясь на знаниях о них, их опыте и других факторах.Это объясняет тот факт, что многие расшифровки этого элемента на английском языке связаны с тем, что термин «достижимость» следует использовать в отношении каждого сотрудника компании отдельно, на индивидуальной основе. Для достижения запланированного результата работают разные люди с разным образованием, способностями к работе, уровнем самоотдачи, самоорганизацией и многим другим. Поэтому часто используется слово «соответствующий» — соответствующий, означающий, что руководитель использует разные подходы по отношению к каждому сотруднику, работающему для достижения поставленной цели, за счет возможного, описанного выше и свойственного только ему.

СООТВЕТСТВУЮЩИЙ (также — ориентированный на результат, резонансный, реалистичный). Критерий SMART РЕЛЬЕВНОСТЬ объясняет, как максимально эффективно достичь поставленной цели, выяснить, достаточно ли актуальны (правильно определены) способы достижения результата, есть ли возможности для положительного решения. Для определения цели в соответствии с данной категорией испытуемому задаются следующие вопросы: стоит ли эта цель? Правильно ли время для принятия решения? Совпадает ли это с другими нашими усилиями и потребностями? есть ли люди, способные на это? осуществимо ли это в условиях нашей деятельности (экономических, технических)?

Не менее популярна расшифровка этого элемента как «реальности» достижения цели, справедливой и честной оценки собственными силами… Амбициозные цели приветствуются, но их не следует заменять фантастикой, пусть даже с примесью науки. Хотите начать бегать утром? Хорошее намерение, хорошая цель. Со временем вы достигнете уровня физической подготовки среднего человека, который регулярно бегает или даже немного занимается, но глупо полагать, что вы можете пробежать 100 метров так же быстро, как У. Болт. То же самое происходит с целью, реальность которой измеряется адекватной оценкой имеющихся ресурсов.

TIME-BOUND (ограничение по времени) — последняя характеристика из классического декодирования. Хотя это легче всего понять, это одна из самых важных задач. Любая важная цель должна быть ограничена во времени, должен быть определенный промежуток времени для ее реализации. Этот критерий SMART имеет особое значение при составлении программ личностного роста, где, как и в случае реализации проектов в производстве, должны быть четко определены временные рамки.

Параллельно с классической формулировкой SMART, а точнее в дополнение к ней, также используется аббревиатура SMARTER. E — Evaluate и R — Reevaluate (оценка и пересмотр) характеризуют последовательность процесса постановки целей, где каждый следующий процесс должен корректироваться, учитывать и использовать предыдущий опыт планирования. Такое целеполагание — умнее (по-английски умнее — сравнительные сравнения, в переводе «умнее»).

Примеры использования SMART целей

Рассмотрим на конкретных примерах, каковы преимущества умного планирования в разных сферах.В центре нашего внимания не весь цикл, а отдельный этап, который мы охватываем с двух позиций — используя SMART и не используя его. Персонажи — начинающий профессиональный фотограф, работающий не по найму, и студент, желающий самостоятельно улучшить свой английский. Это дает возможность более широко показать применимость методики как в работе, так и для саморазвития или решения любых личных проблем в целом.

1. Цель должна быть конкретной

Цель: «Я должен больше зарабатывать» для фотографа — пример неправильной постановки задачи, потому что она никогда не может быть реализована из-за бессмысленности.Имея на руках смету, умение посчитать среднее количество заказов в месяц и т. Д., Фотограф может сформулировать умную цель: «Я должен зарабатывать на 20% больше в месяц». Несмотря на кажущуюся незначительность различий между двумя составами, разница между ними на самом деле огромна. Возьмите конкретные суммы и произведите с ними любые арифметические операции и с абстрактным числом «больше чем», а с ними и с 20%. В каком случае результат реален?

Теперь очередь студентов.Желание повысить уровень владения языком — это неправильная или, если хотите, глупая цель. Она не конкретна. Из такой формулировки непонятно, над чем стоит работать в первую очередь: над грамматикой, умением воспринимать текст и понимать собеседника или пополнением словарного запаса? Это далеко не одно и то же, хотя связано и требует разных условий и материалов. Цель SMART в данном случае формулируется следующим образом: «Я хочу знать грамматику английского языка на продвинутом уровне» или «Я хочу свободно говорить по-английски.«

2. Измеримость

Результат для фотографа будет измеряться ростом доходов. По его подсчетам, чтобы заработать + 20%, ему нужно в неделю фотографировать на 1 клиента больше, чем обычно.

Для учащегося, в зависимости от поставленной цели, результат будет измеряться увеличением словарного запаса или приобретением более уверенных разговорных навыков.

3. Как достичь цели?

Для фотографа — за счет увеличения количества клиентов.Для этого в рекламных целях можно принять участие в нескольких популярных уличных выставках, дать скидку каждому 10 клиенту, бесплатно сфотографироваться с друзьями (фото в соцсетях позже — лучшая реклама) и т. Д.

Студент, в свою очередь, выделяет время на занятия, разрабатывает план, следуя этому плану, изучает язык. Иногда ходит на специальные встречи с иностранными послами или писателями, находит для практики носителей языка.

4.Актуальность

Ответы на все вопросы, поставленные в блоке декодирования, утвердительные. Соответствуют ли выбранные методы достижению цели? Довольно. Принесет ли это 20% дохода, как задумал фотограф? да. При этом он не будет тратить больше времени на получение большего количества заказов, если будет применять современные графические редакторы для обработки фотографий и работать на мощном мультимедийном компьютере.

Позволит ли запланированный план ученику выполнить поставленную задачу? Здесь немного сложнее контролировать ход выполнения (все на совести ученика), но если он приложит необходимые усилия и будет следовать разработанной программе, результат не заставит себя ждать.

5. Срок

В какой период времени должна быть достигнута цель? Фотографу будет сложно выйти на постоянный уровень дохода за 1 месяц, как он планировал. С учетом всех нюансов он определил для себя срок в 3 месяца — первый на перестройку, проведение рекламы и промо-акций, последующие, чтобы выйти на необходимый уровень заработка и иметь возможность судить о тенденции.

Студент ставит себе 6 месяцев, из которых 2 для теоретической подготовки (в соответствии с разработанными уроками), 4 для непосредственного обучения коммуникативным навыкам с носителями языка.

Уважаемые посетители сайта! Эти цифры выбраны только для демонстрации, на практике цифры зависят от многих производственных, экономических, социальных и других факторов.

Постановка целей с помощью SMART — это метод постановки целей, который во всем мире относится к навыку управления временем. Если вы заинтересованы в развитии этого навыка и хотите научиться тайм-менеджменту, добро пожаловать. Присоединяйтесь к нам!

Протокол зашифрованной полезной нагрузки и механизм сценариев на стороне цели

Протокол зашифрованной полезной нагрузки и механизм сценариев на стороне цели

Дино А.Дай Зови
[email protected]


Аннотация:

Современные полезные нагрузки эксплойтов в коммерческих и открытых источниках фреймворки тестирования стали намного более продвинутыми, чем традиционный шеллкод они заменили. Эти полезные нагрузки позволяют интерактивный доступ без запуска оболочки, сетевого проксирования и многие другие богатые возможности. Доступные фреймворки полезной нагрузки имеют несколько ограничения, однако. Они мало используют шифрование для защиты доставка и связь, особенно на ранних стадиях полезной нагрузки.Кроме того, их расширенные возможности требуют постоянной сети. подключение к тестеру проникновения, что делает их непригодными для мобильные клиенты, такие как ноутбуки, КПК и смартфоны.

Эта работа представляет полезную нагрузку первого этапа эксплойта, которая может безопасно установить зашифрованный канал с помощью соглашения о ключах Эль-Гамаля и потоковый шифр RC4. Реализация ключевого соглашения требует только модульного возведения в степень, и RC4 также поддается реализация, требующая очень небольшого количества исполняемого кода.Этот безопасный канал используется для отправки исполняемого кода и предоставить полнофункциональный интерпретатор для выполнения логики миссии написан на языке сценариев высокого уровня Lua. Этот сценарий среда допускает безопасную доставку кода, а также отключена работа и выполнение логики миссии тестирования на проникновение.

Хотя большая работа была направлена ​​на обнаружение, смягчение и предотвращение их эксплуатации, уязвимости удаленного выполнения кода остаются одними наиболее распространенных и серьезных классов уязвимостей в программном обеспечении Cегодня.В то время как сообщалось об уязвимостях удаленного выполнения кода в общих серверное программное обеспечение стало более редким, они по-прежнему широко распространены в веб-браузерах, офисных пакетах, медиаплеерах, антивирусных пакетах и другое местное прикладное программное обеспечение.

Уязвимости удаленного выполнения кода эксплуатируются путем внедрения небольшое количество исполняемого машинного кода в удаленный процесс и затем запускает уязвимость ( вектор инъекции ) в чтобы заставить удаленный процесс выполнить введенный код ( полезная нагрузка ).Традиционно эти полезные данные записывались на специфичный для процессора язык ассемблера, собранный и извлеченный вручную в повторно используемые компоненты машинного кода. Эти полезные нагрузки обычно small и выполнял оболочку операционной системы, в результате чего они обычно обозначается как шеллкод . Общие варианты шеллкода включены функции, такие как восстановление удаленных привилегий, нарушение вне среды chroot и прикрепляя оболочку к входящему или исходящее сетевое соединение. Такой стиль конструкции полезной нагрузки был как трудоемкие, так и требующие высокой квалификации.

С ростом коммерческих услуг по тестированию на проникновение и особенно коммерческие продукты для тестирования на проникновение, используют полезные нагрузки стали значительно более способными и сложными. Эти полезные нагрузки облегчили создание продуктов, которые помогают меньше опытные тестеры на проникновение лучше демонстрируют представленный риск с помощью эксплуатируемых уязвимостей в системе безопасности. Кроме того, увеличенный преобладание многоуровневой защиты безопасности хоста требует, чтобы более надежный и способный к более сложной логике.Chroot Unix системный вызов обычно используется для запуска сетевой службы в ограниченном среда файловой системы. Расширения, включая тюрьму FreeBSD [1] расширить эту модель, чтобы назначить выделенный IP-адрес. обратиться в изолятор . Более свежие разработки включают Windows Механизм целостности в Windows Vista. Механизм целостности Windows является моделью честности Биба [2] Обязательный доступ Система контроля безопасности, используемая для реализации Internet Explorer « Защищенный режим » и контроль учетных записей (UAC).Защищенный режим Internet Explorer работает как процесс с низким уровнем целостности , который предотвращает это от записи куда угодно, кроме определенных мест в файловой системе или в реестре, независимо от дискреционного контроля доступа список по объектам. Повышение привилегий в этих ограниченных среды разрешений, поворот через сетевые узлы или достижение целей миссии из этого ограниченного выполнения среды требуют сложной логики полезной нагрузки.

Эта работа устраняет два недостатка существующих полезных нагрузок эксплойтов. можно найти в коммерческих и открытых инструментах тестирования на проникновение.В во-первых, это отсутствие безопасной доставки полезной нагрузки и связи механизмы. Большинство доступных систем предлагают частичные решения этой проблемы на в настоящее время, поддерживая шифрование только на более поздних стадиях исполняемые агенты или поддерживая только простые Кодирование трафика на основе XOR. Вторая область, которой посвящена эта работа применимость существующих полезных нагрузок к мобильным клиентам. Большинство существующих фреймворков требуют постоянного сетевого подключения. к скомпрометированной цели для выполнения задач миссии.В этом документе представлена ​​среда сценариев на целевой стороне, чтобы подтолкнуть к цели логику миссии и цели. Безопасный канал установленная полезной нагрузкой на более ранней стадии гарантирует, что миссия объективная логика не нарушается при переходе к цели.

Эта статья организована следующим образом. Во-первых, краткое изложение существующих передовые методы и платформы полезной нагрузки представлены в следующем раздел. После этого протокол зашифрованной полезной нагрузки описывает систему. для криптографической защиты доставки полезной нагрузки и коммуникация.Заключительный этап этой системы полезной нагрузки, легкий и мощный удаленно скриптовый агент представлен в разделе под названием Target-Side Scripting. Наконец, статья завершается некоторыми обсуждение безопасности и полезности описанной системы полезной нагрузки.

Как упоминалось выше, разработка коммерческого тестирования на проникновение приложений и многоуровневой защиты узлов увеличили сложность полезных нагрузок эксплойтов. В этом разделе описывается системы полезной нагрузки эксплойтов, найденные в основных доступных коммерческих и фреймворки для тестирования на проникновение с открытым исходным кодом.

Проксирование системных вызовов [3] — это простой и гибкий метод. для имитации удаленного исполнения. Syscall проксирование реализует жирный клиент, протокол удаленного вызова процедур на тонком сервере на основе передача кадров стека. Чтобы выполнить удаленный системный вызов, прокси-клиент syscall упорядочивает требуемые значения регистров аргументов и буферы памяти в один буфер. Прокси-сервер системных вызовов записывает этот упорядоченный буфер стека непосредственно в его сегмент стека, извлекает из него общие значения регистров и выполняет системный вызов указано.После возврата системного вызова сервер подталкивает все регистры общего назначения в стек и переносят стек буфер обратно клиенту. Этот общий механизм требует очень небольшая серверная логика, но обеспечивает большую гибкость, позволяя удаленному клиенту открывать файлы, устанавливать сетевые подключения, и даже использовать другие уязвимости на том же или другом удаленном системы.

Однако есть некоторые ограничения, связанные с простым прокси-сервером syscall. серверная логика.Например, он не может обрабатывать вилочную систему. вызов. Кроме того, ввод и вывод файла или сокета с чтением или Системные вызовы write требуют двойной передачи буфера, потому что выделение пространства стека требует отправки неиспользуемых данных в упорядоченном виде буфер стека. Аналогичным образом, круговой обход для каждого системного вызова может добавить значительная задержка для операций с интенсивным вводом / выводом. Наконец-то, вся связь с прокси-сервером syscall осуществляется незашифрованный. Это может быть проблемой, когда удаленный тестер на проникновение получает доступ к чувствительным хостам или файлам.ВЛИЯНИЕ НА ОСНОВУ [4], коммерческое приложение для тестирования на проникновение, которое использует проксирование системных вызовов, решает эти проблемы, также используя более сложные агенты с более богатым сетевым транспортом, которые выполняют шифрование. Первоначальный прокси-сервер системных вызовов может использоваться для развертывания более способный удаленный агент, но для этого требуется запись исполняемого файла в жесткий диск удаленной системы.

CANVAS от Immunity [5], конкурирующее тестирование на проникновение приложение, использует настраиваемую систему построения полезной нагрузки на основе компилятора называется MOSDEF [6].Компилятор MOSDEF принимает подмножество язык программирования C и генерирует в значительной степени независимые от позиции машинный код, подходящий для динамического внедрения в удаленные процессы. Удаленно выполняемая полезная нагрузка может использовать системные функции или другие локально скомпилированные функции. Циклы, условные пути выполнения, и вызовы функций выполняются внутри удаленного скомпрометированного процесс и только минимально необходимая информация передается или из удаленного процесса. Это позволяет автору полезной нагрузки создавать сложные полезные данные, которые могут, например, передавать весь удаленный файл в случае успеха или только меньший код ошибки, если произошла ошибка.

Подход в стиле компилятора, такой как MOSDEF, обращается ко многим из ограничения проксирования системных вызовов за счет реализации сложность. Программа MOSDEF может создавать несколько процессов и выполнить значительный объем работы над клиентом, не требуя сетевые циклы или передача данных. Гибкость C на низком уровне также позволяет программе MOSDEF выполнять память на уровне байтов манипуляции легко. Это важная возможность для выполнения Эксплойт метаданных кучи обычно повреждает кучу до точки вызывая любые последующие операции с кучей, приводящие к сбою программы.МОСДЕФ программа может систематически восстанавливать кучу перед выполнением функции более высокого уровня, которые могут потребовать выделения памяти в куче. Однако MOSDEF не шифрует передаваемые данные или код полезной нагрузки. Иммунитет также предоставляет троянскую программу удаленного доступа под названием Hydrogen, которая использует RSA и Twofish для защиты связи. Сервер водорода исполняемый файл содержит встроенный ключ RSA, который используется для безопасной отправки случайно сгенерированный сеансовый ключ Twofish для клиента. В Сервер Hydrogen обычно копируется в удаленную систему с помощью MOSDEF. и выполнен [7].

Альтернативный подход — внедрение удаленной библиотеки. Удаленная библиотека инъекция использует специальные методы связывания и загрузки для инъекции произвольные разделяемые библиотеки на удаленный адрес скомпрометированного процесса Космос. Подход удаленного внедрения библиотеки был реализован для как Linux ELF [8], так и Windows DLL [9], и обе реализации включены в Фреймворк для разработки эксплойтов с открытым исходным кодом Metasploit [10]. Преимущество этого подхода в том, что произвольно сложные полезные нагрузки или существующее программное обеспечение можно легко повторно связать и удаленно выполняется.Существующие реализации загружают общие библиотека чисто в памяти без записи библиотеки на пульт жесткий диск системы.

В проекте Metasploit реализовано несколько полезных нагрузок с использованием DLL. внедрение, включая внедренный сервер VNC [11] для удаленного графическое управление хостом и Meterpreter [12], динамически расширяемая на стороне сервера скриптовая среда. Meterpreter состоит из базы Библиотека Meterpreter, которая удаленно внедряется в процесс жертвы, интерактивная оболочка, запущенная на хосте злоумышленника, и настраиваемая расширения.Расширения Meterpreter добавляют новые функции в Оболочка Meterpreter, реализованная как комбинация локальных код языка сценариев и удаленно внедренная библиотека. Использование локальный язык сценариев (Ruby в Metasploit 3.0 и Perl в предыдущих версиях версий) позволяет быстро развивать функциональность полезной нагрузки и развертывается на лету. Meterpreter может опционально XOR-кодировать пакеты в для уклонения от сигнатур системы обнаружения вторжений.

В другом приложении, но похожем по духу, Адам Янг и Моти Юнг исследовал множество способов, которыми сильная криптография может улучшить и предотвратить компьютерные вирусы [13].

Профессиональный тест на проникновение не должен раскрывать целевого клиента. сеть к дополнительным рискам безопасности в процессе проникновения test, даже если тест выполняется в ненадежных сетях (то есть в Интернете). Это включает в себя недостаточную защиту клиента данные в пути к тестеру проникновения или с помощью инструментов, которые открывают дополнительные уязвимости безопасности в сети клиента во время тестовое задание. Например, злоумышленник на интернет-маршруте между тестер проникновения и его клиентская цель не должны иметь использовать тест на проникновение, чтобы получить доступ к сеть клиента.Кроме того, тестер на проникновение может быть использование проприетарных уязвимостей, эксплойтов и методов, которые не должен быть скомпрометирован неавторизованным злоумышленником между тестер проникновения и целевая сеть.

Мы определяем нашего злоумышленника как пассивного перехватчика трафика или активного транспортный манипулятор на пути между системами тестера на проникновение и целевой клиентской сети, но не включая злоумышленника на сеть клиента или цель-приманка. Наш сценарий тестирования на проникновение это тест на проникновение на стороне клиента в отношении предприятия клиента сеть.Клиентские тесты на проникновение с использованием Интернета и электронной почты. атаки становятся все более распространенными, поскольку интернет-злоумышленники также использование этих атак все больше и больше в последние годы. Кроме того, пока Безопасность периметра Интернета является относительно зрелой и понятной дисциплина, безопасность клиентов по-прежнему остается сложной проблемой для большинства организации.

Описана открытая проблема с существующими системами полезной нагрузки эксплойтов. выше — криптографически безопасная доставка полезной нагрузки и обмен данными. Некоторые из описанных выше систем передают агент второй стадии. исполняемые файлы по каналам связи полезной нагрузки первого этапа.В то время как агенты второго уровня используют сильную криптографию для защиты сообщения, они отправляются в открытом виде по незашифрованному первому сценический канал связи полезной нагрузки. Исполняемые агенты не полиморфна и может быть легко снята по отпечатку пальца и идентифицирована по сигнатурная система обнаружения вторжений по мере их передачи целевая система. Поскольку их легко идентифицировать, активный злоумышленник, способный выполнить атаку «злоумышленник посередине», также может изменять исполняемые файлы при передаче в целевую систему.Злоумышленник может сделать это, чтобы получить доступ к скомпрометированным хостам без предварительного знание уязвимостей или эксплойтов, использованных при проникновении тестер. Даже если сам исполняемый файл агента был сделан полиморфные, пользовательские протоколы, используемые для доставки их к цели Система все еще может быть идентифицирована активным злоумышленником и подвергаться манипуляциям с ней.

В тесте на проникновение на стороне клиента эксплойты обычно доставляются как вложения к целевым сообщениям электронной почты или на веб-страницах, размещенных на веб-сервер тестера на проникновение.Атаки включают некоторое количество социальная инженерия, поскольку пользователя нужно убедить открыть письмо сообщение, вложение или веб-страницу, чтобы эксплойт был попытался. Защита секретности этих потенциально проприетарных использование эксплойтов — сложная проблема, которую эта работа не решает. адрес. Однако эта работа показывает, как создание безопасного канал в полезной нагрузке первой ступени защищает все коммуникации за пределами доставка эксплойта. Этого достаточно для защиты от пассивный злоумышленник.Если доставка эксплойта может быть обеспечена, для например, отправив электронные письма с эксплойтами с использованием Secure SMTP через TLS или размещение веб-эксплойтов на веб-сервере SSL с сертификатом предоставлен доверенным корневым центром сертификации, затем связь между тестером проникновения и целевой сетью может даже быть защищенным от активного злоумышленника, способного манипулировать трафиком. Эта конструкция обеспечивает безопасный механизм для доставки полезные нагрузки на более поздних стадиях эксплуатации, а также безопасный транспорт для полезная нагрузка и удаленное управление и контроль агента.Это защищает инструменты тестера проникновения, логика миссии и удаленная цель сообщения от пассивного противника. Полиморфное кодирование эксплойт и полезная нагрузка первого этапа делают активную атаку разумной сложно, особенно если эксплойт доставляется по SSL.

Доставка полезной нагрузки осуществляется в несколько этапов с целью постепенно устанавливать более безопасное и эффективное исполнение среды. Кроме того, поэтапная система полезной нагрузки позволяет функциональность высокого уровня, которая будет реализована на более поздних этапах, обычно имеют меньше ограничений на их реализацию.Например, полезная нагрузка первого этапа, включенная в эксплойт внедрения кода, обычно должны быть реализованы в рукописной сборке, чтобы гарантировать полное независимое от позиции исполнение. Кроме того, там могут быть ограничения байтового значения на кодирование машинного кода полезная нагрузка. Обычно это связано с тем, что полезная нагрузка включены с вектором инъекции в определенный формат файла или сетевой протокол. Наиболее распространенным примером этого ограничения является невозможность использования байта NULL в полезной нагрузке, поскольку значение также используется как признак конца строки ASCII.Чтобы обойти это, самоисполняющиеся декодеры полезной нагрузки обычно используются для преобразования фрагмент произвольного машинного кода в строку, состоящую только из « безопасные » байтовые значения. Более продвинутые кодировщики добавляют полиморфизм и например, ограничить набор выходных байтов печатаемым кодом ASCII.

Наша полезная нагрузка первого этапа инициирует обмен данными путем согласования общий ключ и установление безопасного канала для доставки полезной нагрузки сервер. Защищенный канал устанавливается полезной нагрузкой первого этапа. чтобы помешать активному противнику, желающему идентифицировать и мешать обмену полезной нагрузкой.Это делается в первом стадии, потому что коммуникации на более поздних стадиях может быть легче идентифицировать и вмешательство, чем первоначальная передача фактической инъекции кода эксплуатировать. Например, учтите, что браузерные эксплойты могут быть доставляется через SSL, и полезные данные эксплойта обычно используют полиморфные самодекодеры, которые может быть трудно идентифицировать обнаружение сетевых вторжений (IDS) и предотвращение (IPS) на основе сигнатур системы. В обоих случаях выявление и перехват доставки исходный эксплойт сложен в принципе и невозможен при использовании в настоящее время доступна коммерческая технология IPS.Хотя технически возможно, перехват, декодирование и изменение полиморфной полезной нагрузки внутри произвольного эксплойта в пути — очень сложная задача.

Протокол безопасной доставки полезной нагрузки был разработан для минимизации необходимого кодовое пространство для полезной нагрузки первого этапа за счет использования простых, но безопасные криптографические операции и алгоритмы. Кроме того, на заказ криптографические процедуры были выбраны для максимальной переносимости между целевые операционные системы. Наша полезная нагрузка первого этапа устанавливает безопасный канал и должен сделать это с учетом ограничений размера первого с помощью внедрения кода стадии эксплуатировать полезные нагрузки.В системе используется ключ ЭльГамал соглашение (также называемое полусертифицированным Diffie Hellman [14]), чтобы безопасно установить сеансовый ключ с сервер полезной нагрузки и потоковый шифр RC4 для шифрования связи. Ключевое соглашение Эль-Гамаля было выбрано, потому что оно требует только одного целочисленная операция произвольной точности, модульное возведение в степень. RC4 — это также очень простой потоковый шифр, генерирующий поток ключей путем замены элементы во внутреннем S-боксе. Использование криптографии с открытым ключом был выбран по сравнению с традиционной симметричной криптографией, чтобы предотвратить пассивный злоумышленник от анализа первоначального эксплойта, восстанавливая ключ и расшифровка последующих сообщений.Использование открытого ключа криптография для защиты всех коммуникаций предотвращает постанализ злоумышленник, который записал весь сетевой трафик.

Рисунок 1: Размер обычного криптографического кода

Обе эти криптосистемы также были выбраны из-за простоты их использования. реализация на языке ассемблера или низкоуровневая независимая от позиции В. Модульное возведение в степень, единственная требуемая математическая операция для ключевого соглашения ЭльГамал, может быть реализовано компактно с помощью классические методы или возведение в степень Монтгомери [14] для больше эффективности.Чтобы оценить пространство кода, необходимое для модульного возведения в степень, мы модифицировали математику с быстрой фиксированной точностью с открытым исходным кодом библиотека [15], чтобы использовать более компактные алгоритмы для модульное возведение в степень и умножение. Компактный модульный функция возведения в степень fp_exptmod_small использует направление справа налево двоичное возведение в степень [14]. Компактный модульный функция умножения fp_mulmod_small использует повторяющиеся вычитание, а не деление для шага модульного сокращения. Общий размер кода, необходимого для реализации модульного возведения в степень, составляет около 1200 байт.Точные размеры кода необходимых процедуры перечислены в таблице 3.1.

Потоковый шифр RC4, использующий один S-блок, может быть реализован очень компактно. Большинство потоковых шифров оптимизированы для оборудования. реализации, но RC4 требует наименьшего количества операций с универсальный процессор. Дополнительное пространство, необходимое для использования эти криптографические алгоритмы посвящены размеру Эль-Гамаля открытый ключ, примерно в два раза превышающий длину в битах основного модуля . Использование криптографического эквивалента эллиптической кривой ключа Эль-Гамаля соглашение сэкономит место для ключа за счет увеличения сложность реализации и может фактически потребовать больше места для кода.Криптография с эллиптической кривой обычно используется на устройствах с низким мощность процессора и мало памяти, поэтому увеличение пространства кода в возврат для ключей меньшего размера и, следовательно, менее требовательных к вычислениям операции — разумный компромисс. Целевые системы в нашем случае Предполагается, что это современные компьютеры с процессором и памятью Достаточно для основных криптографических операций. Общая полезная нагрузка размер, включая базовую сеть сокетов, соглашение о ключах Эль-Гамаля, ключи, и подпрограммы RC4, по оценкам, составляют менее двух килобайт, предполагая, что простая реализация на ассемблере x86 и 1024-битная Эль-Гамаль.

Второй этап загружается по защищенному каналу, созданному первый этап и выполняется на месте в уязвимом процессе ‘ адресное пространство. Второй этап выполняется без кодового пространства. ограничения, но может выполняться в поврежденном адресном пространстве. Этот препятствие преодолевается путем загрузки и выполнения удаленного агента исполняемый файл, описанный в следующем разделе. Каждый этап полезной нагрузки более подробно описано в следующих разделах ниже.

Рисунок 2: Псевдокод полезной нагрузки этапа 1

Полезная нагрузка Этапа 1 — это компонент машинного кода, включенный в эксплойт доставлен в целевой веб-браузер или локальное приложение.Многие векторы внедрения имеют ограниченное пространство для кода полезной нагрузки, поэтому основная цель полезной нагрузки Этапа 1 — установить связь с сервером, контролируемым тестером на проникновение в чтобы загрузить полезную нагрузку следующего этапа, не имеющую размера кода ограничения. Полезная нагрузка может быть заключена в полиморфный декодер в чтобы избежать обнаружения вторжения и устранить интерпретируемый байт значения из буфера эксплойтов.

Полезная нагрузка включает открытый ключ Эль-Гамаля для сервера полезной нагрузки. (генератор , простой модуль , общественная ценность , куда — секретный показатель степени).Полезная нагрузка переходит к завершению протокол согласования ключей Эль-Гамаля и вычислить сеансовый ключ для использования при взаимодействии с сервером доставки полезной нагрузки. Полезная нагрузка генерирует случайное число с использованием предоставленной операционной системы безопасный случайный объект. В Windows RtlGenRandom из ADVAPI32.DLL можно использовать для простой генерации безопасных случайных байтов. Точно так же в Linux или других Unix-подобных операционных системах / dev / urandom можно читать для безопасных случайных байтов. Тогда полезная нагрузка вычисляет с помощью генератора и простой модуль из открытого ключа сервера.Полезная нагрузка также вычисляет ключ сеанса . С генератор над а также криптографически случайный, вычисленный сеансовый ключ будет иметь достаточную энтропию. Полезная нагрузка переходит к отправке к серверу полезной нагрузки и дальнейшее общение зашифрован с использованием сеансового ключа и потоковый шифр RC4. В начальные 256 байтов ключевого потока RC4 являются отброшены [16] и отдельные ключевые потоки RC4 используется для движения в каждом направлении, чтобы устранить недостатки в RC4. Кроме того, случайный вектор инициализации используется для каждого stream, чтобы предотвратить повторное использование ключевого потока.

Наконец, полезная нагрузка Этапа 1 входит в цикл многократной загрузки, расшифровка и выполнение кода с сервера полезной нагрузки.

Рисунок 3: Псевдокод полезной нагрузки этапа 2

Полезная нагрузка этапа 2, выполняемая как позиционно-независимый машинный код фрагменты в адресном пространстве уязвимого процесса, свободны от ограничения кодового пространства для полезной нагрузки Этапа 1, но все еще могут быть другие ограничения среды выполнения.Например, эксплойт может повредили метаданные кучи, и последующие операции с кучей могут вызвать сбой процесса. В этих случаях полезная нагрузка Этапа 2 имеет восстановить кучу, прежде чем пытаться выполнить более сложную операции, требующие явного или неявного выделения кучи. Под Windows XP и более поздние версии операционных систем Windows, куча по умолчанию может быстро переключиться на кучу с низкой фрагментацией, используя HeapSetInformation (), отказавшись от использования потенциально поврежденная стандартная куча по умолчанию.

Чтобы полностью избежать ограничений выполнения и реализации, Полезная нагрузка этапа 2 переходит к загрузке и выполнению двоичного исполняемого файла. с сервера полезной нагрузки. В текущем дизайне этот исполняемый файл является специально построенный интерпретатор языка программирования Lua, описано в следующем разделе.

Как описано выше, протокол доставки полезной нагрузки не совсем защитить от активного злоумышленника. Многие дизайнерские решения были взяты для того, чтобы помешать активному атакующему, но не допустить активного атака невозможна, если доставка эксплойта небезопасна.Например, активный противник может изменить полезную нагрузку первого этапа. для вставки собственного открытого ключа в полезную нагрузку или предотвращения генерации или использование истинных случайных чисел. Единственная защита от этого — использование полиморфных самодекодеров, позволяющих идентифицировать атаковать сложнее. В качестве альтернативы тестер проникновения может размещать свои эксплойты на защищенном веб-сервере с сертификатом от доверенный корневой центр сертификации. Это обеспечит доставку полезной нагрузки первого этапа от модификации активным злоумышленником.Однако дальнейшее общение может подвергаться атакам с использованием известного открытого текста. Описанное использование RC4 не гарантирует целостности потока. Активный злоумышленник со знанием открытого текста может выбирать байты в расшифрованный поток. Как описано в модели угроз выше, система не совсем защищена от активного злоумышленника, но принимает разумное усилие, чтобы затруднить активную атаку.

В то время как общие цели эксплойтов выполнения кода сместились с от серверов до клиентских компьютеров и ноутбуков, наиболее доступный эксплойт полезные нагрузки в коммерческих и открытых инструментах тестирования на проникновение Предположим, что цель остается в фиксированном сетевом местоположении.Это не может быть в случае многих современных тестов на проникновение. Например, Самый простой способ войти в сеть — взломать мобильный ноутбук. когда он связан с беспроводной сетью « горячей точки ». Существующий Фреймворки тестирования на проникновение требуют, чтобы цель постоянно доступный для тестера на проникновение, чтобы поддерживать команду и контроль. Полезная нагрузка эксплойта, поддерживающая отключенную работу позволит тестеру проникновения воспользоваться преимуществом цели мобильность, чтобы получить доступ к каждой сети, которую клиент подключается к.

Некоторые из существующих систем полезной нагрузки эксплойтов предлагают динамические поддержка сценариев. Однако вся эта поддержка предназначена для атакующей стороны. выполнение скрипта. Выполнение этих скриптов требует постоянного сетевое подключение к машине тестера на проникновение. Это может быть невозможно при нацеливании на мобильных клиентов, таких как беспроводные ноутбуки. В кроме того, логика атакующей стороны может потребовать недопустимого количества ввод / вывод к цели. Например, рассмотрим полезную нагрузку с файлом поисковая логика.С логикой атакующей стороны это потребует большого количество неинтересных данных, которые нужно загрузить злоумышленнику. Направление логики на цель позволяет выполнять поиск где файлы локальные. В то время как сценарии злоумышленника защищают логика полезной нагрузки, описанная криптографическая система доставки полезной нагрузки выше адекватно защищает транспортировку логики полезной нагрузки на стороне цели к цель. Механизм сценариев может реализовать аналогичный криптографический протокол или используйте доступную реализацию SSL для загрузки скриптов от тестера на проникновение.

В качестве целевой стороны был выбран язык программирования Lua [17]. язык сценариев. Lua имеет много преимуществ для этого типа заявление. Его интерпретатор небольшой (примерно 200 КБ), очень портативный. благодаря чистой реализации ANSI C и языку Lua довольно гибкий и мощный. Lua исторически был популярен как язык сценариев и расширяемости для игр, однако в последнее время многие инструменты безопасности с открытым исходным кодом также начали использовать его (Wireshark [18], NMAP [19] и Snort [20]).

Конкретный интерпретатор Lua, выбранный для сценария на целевой стороне среда включает библиотеку C / Invoke [21], Библиотека LuaSocket [22] и настраиваемый криптографический подпрограммы, используемые в ранее описанных защищенных данных. Этот Библиотека C / Invoke позволяет загружать и вызывать в произвольные динамические библиотечные функции. C / Invoke поддерживает маршалинг основные типы (типы машин и строки), конструкции и даже опоры функции обратного вызова, написанные на Lua. По этим причинам было выбрано как идеальный динамический интерфейс для системных API.Например, Программист Lua использовал бы код на рисунке 4 для загрузки Win32 MessageBox () и вызовите ее.

Рисунок 4: Пример Lua C / Invoke Win32 API

Библиотека LuaSocket предоставляет интерфейсы для сокетов TCP и UDP как а также протоколы более высокого уровня, такие как HTTP, SMTP и FTP. Комбинированный с включенным соглашением о ключах Эль-Гамаля и процедурами шифрования RC4, Доступ к сети LuaSocket можно использовать для установления безопасных соединений. вернуться к тестеру на проникновение для получения дальнейших инструкций и отправки обратно зашифрованные результаты.В настоящее время криптографическая поддержка ограничивается согласованием ключей и симметричным шифрованием. Достаточно, тем не менее, чтобы защитить сообщение от подслушивания.

Гибкость среды сценариев Lua с полной доступ к системной библиотеке позволяет автору полезной нагрузки быстро разрабатывать и развертывать произвольно сложные полезные нагрузки. Кроме того, их реализация в виде чисто текстового скриптового кода позволяет им быть легко зашифровывать, подписывать, загружать и хранить. Дальнейшая работа будет опираться на настроенный интерпретатор Lua для создания более богатых криптографические возможности.

В следующем разделе мы опишем несколько полезных нагрузок, которые сложно или невозможно реализовать с существующим тестированием на проникновение инструменты, но простые с полезной нагрузкой сценария на стороне цели, такой как тот, что описал. Эти полезные данные также могут быть реализованы как автономные исполняемые файлы, но есть несколько преимуществ реализация их в среде сценариев полезной нагрузки целевой стороны. В качестве сценарии, они более временны, чем исполняемые файлы. Например, код сценария легче загружать и выполнять на лету, тогда как исполняемый файл должен быть сначала сохранен на диск.Это облегчает уборку целевые системы после завершения задания по тестированию на проникновение. Целевой агент можно даже настроить на автоматическое удаление сам и любые загруженные скрипты и данные в определенное время совпадающий с окончанием теста на проникновение.

Встраивание богатой логики в целевые скрипты обеспечивает быструю разработку полезных нагрузок, которые лучше подходят для тестов на проникновение на стороне клиента. Эти полезные данные могут использовать тот факт, что они могут выполнять без постоянного сетевого подключения к тестеру на проникновение.Это полезно при атаке мобильных клиентов, таких как ноутбуки на беспроводные сети « горячих точек ». Например, проще всего поставить под угрозу внутреннюю сеть, поставив под угрозу ноутбук с доступом к эта сеть, когда ноутбук связан с беспроводной точкой доступа сеть в кафе, аэропорту или отеле.

Идеальная полезная нагрузка для мобильного клиента — подключиться к тестер проникновения из любой сети, к которой был подключен клиент. Полезная нагрузка может отслеживать состояние сетевых интерфейсов и всякий раз, когда сетевой интерфейс становился активным, он « звонил домой », чтобы сервер в Интернете.Полезная нагрузка может быть настроена на автоматически прекращается в определенный день, совпадающий с окончанием участие в тестировании на проникновение.

Второй стиль полезной нагрузки, использующий логику целевой стороны полезная нагрузка « поисковика файлов ». Эта полезная нагрузка будет искать локальные документы и файлы на жестких дисках целевых систем по ключевым словам или выкройки. Соответствующие файлы будут собраны, зашифрованы и отправлены. к тестеру проникновения для анализа. Выполнение поиска файла на целевом объекте предотвращает отправку чрезмерных объемов файловых данных по сети.

Наконец, полезные данные удаленной целевой стороны могут сканировать удаленную сеть на предмет другие уязвимости или автоматически получить доступ к другим удаленным системы. Например, длительный перебор пароля может быть нецелесообразно запускать, когда тестер проникновения необходимо постоянно подключен к целевой системе. Если бы процесс выполнялся автономно на скомпрометированной системе атака может продолжаться без подключения и сообщать результаты асинхронно. Подобная модель была бы полезной для других длительных атак, таких как анализ сети и хостинг веб-эксплойты в целевой сети.Размещение веб-эксплойтов на внутренняя сеть цели обычно предоставляет злоумышленнику некоторый уровень повышение привилегий по мере размещения эксплойтов в Интернете Зона безопасности локальной интрасети Explorer, таким образом, получает дополнительные привилегии при атаке через Интернет.

Описанная выше полезная нагрузка устанавливает зашифрованный канал, который защитить от пассивного прослушивания во время или после нападения. Это однако не является полностью защищенным от злонамеренного пользователя, способного выполнить атаку «злоумышленник посередине», потому что открытый ключ Сервер доставки полезной нагрузки включен в эксплойт.Однако злоумышленник, пользующийся этим, должен иметь возможность активно идентифицировать и перехватить эксплойт по мере его доставки к цели. Это маловероятно, поскольку для этого требуется точная подпись. конкретный используемый эксплойт или средство для идентификации, моделирования и заменить полиморфный самодекодирующийся исполняемый код.

Если предположить, что доставка эксплойта не была изменена, доставка и коммуникация системы сценариев целевой стороны защита от подслушивания и атак типа «злоумышленник посередине».An однако активный злоумышленник со знанием открытого текста может изменить эти байты в зашифрованных потоках RC4. Доставленный исполняемый файл не делает ничего, чтобы защитить себя от восстановления после целевая файловая система. Обычно это не проблема для профессиональных тестирование на проникновение и намеренно делает полезную нагрузку непригодной для незаконная деятельность. Логика миссии, заключенная в скрипт Lua, однако никогда не записывается на диск и защищен от прослушивания и восстановление файловой системы.

Дальнейшая работа расширит возможности системы по выполнению внедрение интерпретатора Lua в память и реализация более богатых криптографических поддержка в интерпретаторе Lua. Кроме того, исследование безопасных асинхронные протоколы управления и контроля обеспечили бы идеальный система удаленного управления развернутыми полезными нагрузками. Автор считает что методы и инструменты тестирования на проникновение должны расти, чтобы напоминать технология Интернет-злоумышленников, используемая для скрытых загрузок, ботнетов, и атаки на электронную почту, чтобы лучше оценить защита от этих угроз.

1
П.-Х. Камп и Р. Н. М. Уотсон, « Тюрьмы: ограничение всемогущего корня », в Материалы 2-й Международной конференции SANE , 2000.
2
К. Дж. Биба, « Соображения целостности для безопасных компьютерных систем », Tech. Представитель MTR-3153, The Mitre Corporation, апрель 1977 г.
3
М. Касерес, « Проксирование системных вызовов — имитация удаленного выполнения ». Безопасность CORE Технический отчет, 2002.
4
CORE Security Technologies, Impact.» https://www.coresecurity.com/products/coreimpact/.
5
Иммунитет Безопасность, « Холст ». https://www.immunitysec.com/products-canvas.shtml.
6
Д. Айтель, « Мосдеф », в BlackHat Briefings Federal , 2003.
7
Д. Айтель. личное сообщение, июль 2007 г.
8
Каттерго А. Э. « Радости нечистоты ». https://archives.neohapsis.com/archives/vuln-dev/2003-q4/0006.html, октябрь 2003 г.
9
М. Миллер и Дж. Туркулайнен, « Внедрение удаленной библиотеки ». https://www.nologin.net/Downloads/Papers/ remote-library-injection.pdf.
10
Проект Metasploit, « Фреймворк Metasploit ». Https://www.metasploit.org.
11
AT&T Laboratories Cambridge, « Виртуальные сетевые вычисления ». https://www.cl.cam.ac.uk/research/dtg/ attarchive / vnc /.
12
М. Миллер, « Измеритель Metasploit ». https: // www.nologin.org/Downloads/Papers/ meterpreter.pdf, декабрь 2004 г.
13
А. Янг и М. Юнг, Вредоносная криптография: раскрытие криптовирологии .
Wiley, 2004.
14
С. А. В. Альфред Дж. Менезес, Пол К. ван Оршот, Справочник прикладных Криптография .
КПР, 1996.
15
Денис Т.С., Tomsfastmath. Https://libtom.org.
16
С. Флюрер, И. Мантин, А. Шамир, « Слабые стороны ключевого планирования алгоритм RC4 », Восьмой ежегодный семинар по избранным областям в Криптография , август 2001 г.
17
L. H. d. Ф. Роберто Лерусалимши, Вальдемар Селес, « Язык программирования lua. » https://www.lua.org.
18
Дж. Комбс, « Сетевой анализатор Wireshark ». Https://www.wireshark.org.
19
Федор, « Сканер безопасности Nmap ». Https://www.insecure.org/nmap/.
20
М. Рош, « Система обнаружения вторжений в сеть Snort ». Https://www.snort.org.
21
В. Вайссер, « C / invoke.’https://www.nongnu.org/cinvoke/.
22
Д. Нехаб, « Luasocket: сетевая поддержка языка lua ». https://www.cs.princeton.edu/ diego / professional / luasocket /.
Протокол зашифрованной полезной нагрузки и механизм сценариев на стороне цели

Этот документ был создан с использованием LaTeX 2HTML-переводчик Версия 2002-2-1 (1.71)

Авторские права © 1993, 1994, 1995, 1996, Никос Дракос, Подразделение компьютерного обучения, Университет Лидса.
Авторские права © 1997, 1998, 1999, г. Росс Мур, Математический факультет Университета Маккуори, Сидней.

Аргументы командной строки:
latex2html -split 0 -show_section_numbers -local_icons woot.tex

Перевод был инициирован Дино А.




Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *