Начнем с легеньких инсайтов
О конференции GISEC
Конференция сугубо о продуктах и маркетинговом питче своих последних концепций. Цель каждого стоящего - выцепить в толпе зеваку, дернуть его за грудки, пока он не очухался пичнуть свою AI Power Cyber Resilient Security Platform за 3 минут, отсканить бейдж и забрать лид в KPI.
Абсолютно не Community driven.
- 1 мутнейший и печальный аналог Standoff'a
- 1 страннейший турнир, на котором 5 печальных команд набрали 500 очков
- 0 чего-либо хардового
- 0 CTF'фов для тру пацанов
- 0 каких либо технарей у стендов, сплошь BDM и аккаунты.
В трети случаев чуваки на стендах вообще ничего не знают о своем продукте и не могут ответить ни на один вопрос, о том, как работает их продукт.
Такой, знаете, SOC FORUM world wide, но даже на СОК форуме ребята за стендом готовы держать удар.
Судя по отзывам местных "стоятелей", клиентов тоже не так уж много: тонны "партнеров", интеграторов или дистриков из MENA.
НО, Что я тогда вообще отсюда вынес, спросите вы? А вот пара тем, о которых еще додумаю и допишу свои мысли уже вскоре:
- Почему русские не продаются за рубежом с таким же задором, как это делают в РФ?
- Как AI поменял рынок секьюрити решений?
- Какие новшества предлагают крупнейшие образовательные компании в сайберсеке?
- Когда уже компании поменяют юзер интерфейс своей поделки на что-то кроме левого трея и окошек с графом узлов и картой мира?
А также:
- Сколько EASM'ов запущено в мире, если в одной России их уже 20?
- Как питчится любая уважающая себя иностранная саберсекьюирити балалайка? Что общего?
- Стоит ли ехать сюда еще раз?
Если у вас уже есть ответы, прошу, не стесняйтесь забивать ими комментарии!
О конференции GISEC
Конференция сугубо о продуктах и маркетинговом питче своих последних концепций. Цель каждого стоящего - выцепить в толпе зеваку, дернуть его за грудки, пока он не очухался пичнуть свою AI Power Cyber Resilient Security Platform за 3 минут, отсканить бейдж и забрать лид в KPI.
Абсолютно не Community driven.
- 1 мутнейший и печальный аналог Standoff'a
- 1 страннейший турнир, на котором 5 печальных команд набрали 500 очков
- 0 чего-либо хардового
- 0 CTF'фов для тру пацанов
- 0 каких либо технарей у стендов, сплошь BDM и аккаунты.
В трети случаев чуваки на стендах вообще ничего не знают о своем продукте и не могут ответить ни на один вопрос, о том, как работает их продукт.
Такой, знаете, SOC FORUM world wide, но даже на СОК форуме ребята за стендом готовы держать удар.
Судя по отзывам местных "стоятелей", клиентов тоже не так уж много: тонны "партнеров", интеграторов или дистриков из MENA.
НО, Что я тогда вообще отсюда вынес, спросите вы? А вот пара тем, о которых еще додумаю и допишу свои мысли уже вскоре:
- Почему русские не продаются за рубежом с таким же задором, как это делают в РФ?
- Как AI поменял рынок секьюрити решений?
- Какие новшества предлагают крупнейшие образовательные компании в сайберсеке?
- Когда уже компании поменяют юзер интерфейс своей поделки на что-то кроме левого трея и окошек с графом узлов и картой мира?
А также:
- Сколько EASM'ов запущено в мире, если в одной России их уже 20?
- Как питчится любая уважающая себя иностранная саберсекьюирити балалайка? Что общего?
- Стоит ли ехать сюда еще раз?
Если у вас уже есть ответы, прошу, не стесняйтесь забивать ими комментарии!
🔥17👍10🤡9❤4👏1💩1
AI в секьюрити
И раньше было понятно, что теперь он будет везде. А теперь абсолютно понятно, что он везде. Сложнее найти стенд, где нет AI.
Помимо маркетинговой оболочки и у клиентов в запросе, судя по слухам (не имею пока собственного опыта), возникает следующий наратив:
Не предлагайте мне крутой инструмент для моей BlueTeam, предлагайте инструмент, для которого не нужна BlueTeam.
Сложно себе это представить, но маркетинговые лозунги именно в том, что тебе больше не нужно иметь экспертную команду, которой нужен был мощный инструмент. Теперь тебе нужен один секьюрити инженер, который просто будет смотреть как платформа отражает атаки, детектит утечки и менеджит их в вашей инфре, сканит баги и заводит тикеты разрабам и етк.
Кажется, что самый правильный вопрос к таким вендорам, прежде чем бежать и делать пилот, теперь в следующем: сейчас когда у всех есть AI, чем вы то брать будете? Почему ваш продукт с AI лучше чем другой? Цена? Кол-во интеграций? UI красивенький?
С первого взгляда логично, что надо ссылаться на свою экспертизу.
- "У нас 150 хакеров, которые умеют и знают вообще все", говорят нам какие-то пакистанцы со стенда.
- Ну-ну..
Такое тоже не канает.
Как по мне, победит в этой гонке тот, кто имеет доступ к большим данным об атаках. Ведь у кого больше данных для кормления AI тот и знает что сейчас происходит на самом деле. И мне что-то подсказывает, что эти данные в большинстве случаев лежат у ребят из сферы глобального Malware Detection и Network Attacks Prevention. Антивирусные компании, песочницы, EDR/XDR решения, IDS/IPS/NAD и пр.
Представьте себе тысячи и миллионы точек, которые в реальном времени собирают данные об атаках, грузят их в системы обнаружения новых видов атак, обучают свои модельки и раскатывают правила обратно.
Кто может похвастаться экспертизой больше чем у них? Значит будущее сильнейших продуктов предрешено? Что думаете?
И раньше было понятно, что теперь он будет везде. А теперь абсолютно понятно, что он везде. Сложнее найти стенд, где нет AI.
Помимо маркетинговой оболочки и у клиентов в запросе, судя по слухам (не имею пока собственного опыта), возникает следующий наратив:
Не предлагайте мне крутой инструмент для моей BlueTeam, предлагайте инструмент, для которого не нужна BlueTeam.
Сложно себе это представить, но маркетинговые лозунги именно в том, что тебе больше не нужно иметь экспертную команду, которой нужен был мощный инструмент. Теперь тебе нужен один секьюрити инженер, который просто будет смотреть как платформа отражает атаки, детектит утечки и менеджит их в вашей инфре, сканит баги и заводит тикеты разрабам и етк.
Кажется, что самый правильный вопрос к таким вендорам, прежде чем бежать и делать пилот, теперь в следующем: сейчас когда у всех есть AI, чем вы то брать будете? Почему ваш продукт с AI лучше чем другой? Цена? Кол-во интеграций? UI красивенький?
С первого взгляда логично, что надо ссылаться на свою экспертизу.
- "У нас 150 хакеров, которые умеют и знают вообще все", говорят нам какие-то пакистанцы со стенда.
- Ну-ну..
Такое тоже не канает.
Как по мне, победит в этой гонке тот, кто имеет доступ к большим данным об атаках. Ведь у кого больше данных для кормления AI тот и знает что сейчас происходит на самом деле. И мне что-то подсказывает, что эти данные в большинстве случаев лежат у ребят из сферы глобального Malware Detection и Network Attacks Prevention. Антивирусные компании, песочницы, EDR/XDR решения, IDS/IPS/NAD и пр.
Представьте себе тысячи и миллионы точек, которые в реальном времени собирают данные об атаках, грузят их в системы обнаружения новых видов атак, обучают свои модельки и раскатывают правила обратно.
Кто может похвастаться экспертизой больше чем у них? Значит будущее сильнейших продуктов предрешено? Что думаете?
👍26🤡9❤1
Какие новшества предлагают крупнейшие образовательные компании в сайберсеке?
Я был удивлен, но по сути все те же самые, что и мы внутри страны. Причем, что удивительно, в образовании в сфере кибербеза нет уже привычной приманки «мы делаем что-то там с AI». Чисто старые добрые SANS, Ec Council и OffSec делают свои курсы и сертификации.
Из интересных наблюдений: пока мы тут пытаемся выдумать какие-то максимально иммерсивные киберполигоны, (в CyberEd у нас даже свой есть, а еще мы уникальный стратегический партнер Standoff и у нас есть эксклюзивные полигоны от ребят в нашем обучении), чуваки с SANS и EC вообще не запариваются и продают тупо CTF.
...CTF !
Хз, как они обучают BlueTeam на этом вашем CTF.
По слухам: 5 дней онсайт, а потом читай талмуд и сдавай экзамен. Но до глубин их платформ я пока не добрался. Пощупал только эту их CTF платформу. Ну… Ничего ВАУ и ничего недостижимого за лишний годик, там нет.
Ну а также, конечно же, все сделали свою B2B платформу доступа к курсам для сотрудников, чтобы работяги не отходя от рабочего места выбирали навыки\курсы\сертификации для обучения.
Смею тут же, встрять и заметить, что мы, не подглядывая, пришли к тому же самому, потому что это максимально очевидно… Приятно видеть что у “топовых образовательных кибербез компаний”, мысли сходятся. Просто надо не усложнять клиентам выбор и давать доступ ко всему что они хотят и тому, что есть у нас на платформе.
Из интересного, OffSec запустил программу лицензированных тренеров. Пример такого партнера, из тех что я повстречал - Exploit Labs.
Выглядит максимально всратенько, да-да, даже по меркам сайта CyberEd (Обещаю, мы это исправим), но OffSec бурлит закваской жизни и пытается выживать в рынке. Интересно наблюдать как они год за годом добавляют в своем позиционировании и уже отдельно обучают даже Secure Java Developer.
SANS по сравнению с машиной OffSec’a кажется конечно самолетомза охулиард, а если быть точным за 8к$ , но вам то он зачем? Вам надо по городу кататься, поэтому выбор очевиден. Ну и электрокар еще есть от EcCounsil Но это для пидоров .
Итоги:
Мы в РФ не драматично далеки от того, что может сделать мировой вендор в области профессионального ИБ образования в вопросе глубины. Но в вопросе масштаба, конечно на 80+ продуктах SANS или 70+ курсах EC удержать качество можно только с соответствующим 35- или 20-летним опытом этих компаний. Это просто нереальная задача для этой ниши в РФ. Нам с нашими первыми шагами и опытом 3-х лет еще расти и расти, но мы останавливаться не собираемся, посмотрим что у нас будет через 30 лет. Я думаю, все будет нереально круто, с учетом скорости наших первых шагов.
Я был удивлен, но по сути все те же самые, что и мы внутри страны. Причем, что удивительно, в образовании в сфере кибербеза нет уже привычной приманки «мы делаем что-то там с AI». Чисто старые добрые SANS, Ec Council и OffSec делают свои курсы и сертификации.
Из интересных наблюдений: пока мы тут пытаемся выдумать какие-то максимально иммерсивные киберполигоны, (в CyberEd у нас даже свой есть, а еще мы уникальный стратегический партнер Standoff и у нас есть эксклюзивные полигоны от ребят в нашем обучении), чуваки с SANS и EC вообще не запариваются и продают тупо CTF.
...CTF !
Хз, как они обучают BlueTeam на этом вашем CTF.
По слухам: 5 дней онсайт, а потом читай талмуд и сдавай экзамен. Но до глубин их платформ я пока не добрался. Пощупал только эту их CTF платформу. Ну… Ничего ВАУ и ничего недостижимого за лишний годик, там нет.
Ну а также, конечно же, все сделали свою B2B платформу доступа к курсам для сотрудников, чтобы работяги не отходя от рабочего места выбирали навыки\курсы\сертификации для обучения.
Смею тут же, встрять и заметить, что мы, не подглядывая, пришли к тому же самому, потому что это максимально очевидно… Приятно видеть что у “топовых образовательных кибербез компаний”, мысли сходятся. Просто надо не усложнять клиентам выбор и давать доступ ко всему что они хотят и тому, что есть у нас на платформе.
Из интересного, OffSec запустил программу лицензированных тренеров. Пример такого партнера, из тех что я повстречал - Exploit Labs.
Выглядит максимально всратенько, да-да, даже по меркам сайта CyberEd (Обещаю, мы это исправим), но OffSec бурлит закваской жизни и пытается выживать в рынке. Интересно наблюдать как они год за годом добавляют в своем позиционировании и уже отдельно обучают даже Secure Java Developer.
SANS по сравнению с машиной OffSec’a кажется конечно самолетом
Итоги:
Мы в РФ не драматично далеки от того, что может сделать мировой вендор в области профессионального ИБ образования в вопросе глубины. Но в вопросе масштаба, конечно на 80+ продуктах SANS или 70+ курсах EC удержать качество можно только с соответствующим 35- или 20-летним опытом этих компаний. Это просто нереальная задача для этой ниши в РФ. Нам с нашими первыми шагами и опытом 3-х лет еще расти и расти, но мы останавливаться не собираемся, посмотрим что у нас будет через 30 лет. Я думаю, все будет нереально круто, с учетом скорости наших первых шагов.
❤17👍13🤡5👏4🤣4⚡1
В этом году впервые участвуем в Standoff собственной командой хакеров из Singleton Security!
10 бойцов под командованием MstrX попробуют войти в топ-5.
Раньше я и другие ребята принимали участие в Standoff, но в составе команды True0xA3. Ноо, вы знаете что там произошло и мы решили больше не претендовать на топ1 и не рвать попу. За True0xA3 нельзя играть просто “по кайфу”, а нужно выжиматься на полную и в последние годы мы от этого подустали. Хотелось просто кайфануть без претензии на абсолютную победу, сохранив цель: получить удовольствие от командной игры.
Сегодня, все из состава Singleton, кто когда-то уже играл, решили побаловаться самостоятельно. Претендовать на топ1 там глупо, во многом решает наигранность, которой у этих 10 человек нет, но топ 5 это то, куда надо стремиться. Все таки, Standoff про реальные навыки и близость к реальным проектам.
Участие, как процесс тимбилдинга, кажется мне важной штукой. Для этого мы даже освобождаем время турнира от коммерческих проектов.
Во-первых, это здорово помогает встряхнуться и расшевелить мозги.
Во-вторых, это даёт совершенно другой уровень ощущения команды. На каждом реальном проекте обычно задействовано не больше 2-4 человек, а на Standoff есть возможность почувствовать себя участником целой десятки.
В-третьих, у команды должно быть такое событие. Если не стендофф, то что-то еще, где они себя сравнивают как команда.
Шанс обосраться, как всегда, честно говоря, не выглядит таким страшным. Я давно свыкся с одной важной мыслью, которую я повторяю себе после каждой сложной тренировки в зале: “Я сегодня не был лучшим, но я победил, потому что пришел сюда”.
В общем, удачи нам, а соперникам не удачи, очень ждем чего нибудь интересного от Standoff, в этот раз его делают топовые ребята.
До встречи в сети! 🫡
10 бойцов под командованием MstrX попробуют войти в топ-5.
Раньше я и другие ребята принимали участие в Standoff, но в составе команды True0xA3. Ноо, вы знаете что там произошло и мы решили больше не претендовать на топ1 и не рвать попу. За True0xA3 нельзя играть просто “по кайфу”, а нужно выжиматься на полную и в последние годы мы от этого подустали. Хотелось просто кайфануть без претензии на абсолютную победу, сохранив цель: получить удовольствие от командной игры.
Сегодня, все из состава Singleton, кто когда-то уже играл, решили побаловаться самостоятельно. Претендовать на топ1 там глупо, во многом решает наигранность, которой у этих 10 человек нет, но топ 5 это то, куда надо стремиться. Все таки, Standoff про реальные навыки и близость к реальным проектам.
Участие, как процесс тимбилдинга, кажется мне важной штукой. Для этого мы даже освобождаем время турнира от коммерческих проектов.
Во-первых, это здорово помогает встряхнуться и расшевелить мозги.
Во-вторых, это даёт совершенно другой уровень ощущения команды. На каждом реальном проекте обычно задействовано не больше 2-4 человек, а на Standoff есть возможность почувствовать себя участником целой десятки.
В-третьих, у команды должно быть такое событие. Если не стендофф, то что-то еще, где они себя сравнивают как команда.
Шанс обосраться, как всегда, честно говоря, не выглядит таким страшным. Я давно свыкся с одной важной мыслью, которую я повторяю себе после каждой сложной тренировки в зале: “Я сегодня не был лучшим, но я победил, потому что пришел сюда”.
В общем, удачи нам, а соперникам не удачи, очень ждем чего нибудь интересного от Standoff, в этот раз его делают топовые ребята.
До встречи в сети! 🫡
🔥55❤18🫡9🤡4👍3🎉1
Друзья, ну конечно же!
И из этого утюга должны трубить про PHDays!
Потому что в отличие от какого-то крошечного GISEC, тут построен город в городе!
Обязательно загляните на наш стенд, и изучите первую в России сертификацию белых хакеров! С меня немного фоток.
Конференция будет идти до субботы, и это лучший способ познакомить младшие поколения с миром кибербезопасности, всем рекомендую провести этот день тут с семьёй.
И из этого утюга должны трубить про PHDays!
Потому что в отличие от какого-то крошечного GISEC, тут построен город в городе!
Обязательно загляните на наш стенд, и изучите первую в России сертификацию белых хакеров! С меня немного фоток.
Конференция будет идти до субботы, и это лучший способ познакомить младшие поколения с миром кибербезопасности, всем рекомендую провести этот день тут с семьёй.
❤4👍3🤡2
Результаты по Standoff, как они есть
Я знаю, вы этого ждали :D
В целом, можно только похвалить себя, план выполнен - соснули за обе щечки!
Топ 20 результат оч. средний, не худший, но и не топ 10, которых бы я хотел.
Оправдания? Конечно да!
Что ни говори, хотелось бы, конечно, чтобы один человек из команды садился и выносил турнир в соло, но в Standoff побеждают много рук, а еще лучше, если эти руки уже наскилялись играть в Standoff.
Если по серьезному, то как я сказал ранее: рекомендую каждой команде, чтобы у них случалось подобное событие, хотя бы раз в год. Очень многие из команды высказались банально: что надо было просто больше тренить Standoff и нужно больше народу. Но я уверен, что ребятам удалось взглянуть на себя в моменте, посмотреть на соседа и подхватить пару хороших идей.
Я, честно говоря, прилично так завидовал ребятам, т.к. сам впервые за последние годы не участвовал и провел время на самом PHD в роли представителя компании, общающегося с клиентами и партнерами. Оказывается на PHD можно совершить 200+ рукопожатий в день и заключить пару сделок, а не просто отсидеть 10 часов на попе в шумном помещении :D *шутка*.
Братишкам из True0xA3, Привет! Надеюсь мы однажды еще соберемся сыграть “под пивко” ;D
Я знаю, вы этого ждали :D
В целом, можно только похвалить себя, план выполнен - соснули за обе щечки!
Топ 20 результат оч. средний, не худший, но и не топ 10, которых бы я хотел.
Оправдания? Конечно да!
Что ни говори, хотелось бы, конечно, чтобы один человек из команды садился и выносил турнир в соло, но в Standoff побеждают много рук, а еще лучше, если эти руки уже наскилялись играть в Standoff.
Если по серьезному, то как я сказал ранее: рекомендую каждой команде, чтобы у них случалось подобное событие, хотя бы раз в год. Очень многие из команды высказались банально: что надо было просто больше тренить Standoff и нужно больше народу. Но я уверен, что ребятам удалось взглянуть на себя в моменте, посмотреть на соседа и подхватить пару хороших идей.
Я, честно говоря, прилично так завидовал ребятам, т.к. сам впервые за последние годы не участвовал и провел время на самом PHD в роли представителя компании, общающегося с клиентами и партнерами.
Братишкам из True0xA3, Привет! Надеюсь мы однажды еще соберемся сыграть “под пивко” ;D
❤21🔥13🤡7🫡7👍1
Как цепочка классических багов может привести к полной компрометации
Мой коллега из Singleton Security, старший спец. по анализу защищенности @baksist выкатил на Хакере прикольный разбор пентеста интернет-провайдера.
Типичная грустная ситуация для пентестеров, которым достался маленький скоуп (всего 9 IP), переросла в неплохешную цепочку багов, приведших к компрометации серверов провайдера.
Внутри — полный сборник трешовых ошибок разрабов, которые классно склеились во что-то единое:
— LFR через кривой rewrite
— MD5-хеши без соли
— повторы паролей
— самописная ERP с PTRAV при аплоаде
— отсутствие нормальной изоляции между сервисами
🧂 Про соль отдельно. Когда хранят MD5 без соли, это как хранить ключи в конверте с подписью «ключи от дома». Нравоучать не буду, разрабов которые в 2025 юзают MD5 для хранения паролей проще просто пристрелить и купить подписку на ChatGPT за 20$.
Рекомендую, кайфово почитать прохладную про блуждания хакера в PHP сервисах:
https://xakep.ru/2025/05/22/provider-case/
baksist, респект 💪
Мой коллега из Singleton Security, старший спец. по анализу защищенности @baksist выкатил на Хакере прикольный разбор пентеста интернет-провайдера.
Типичная грустная ситуация для пентестеров, которым достался маленький скоуп (всего 9 IP), переросла в неплохешную цепочку багов, приведших к компрометации серверов провайдера.
Внутри — полный сборник трешовых ошибок разрабов, которые классно склеились во что-то единое:
— LFR через кривой rewrite
— MD5-хеши без соли
— повторы паролей
— самописная ERP с PTRAV при аплоаде
— отсутствие нормальной изоляции между сервисами
🧂 Про соль отдельно. Когда хранят MD5 без соли, это как хранить ключи в конверте с подписью «ключи от дома». Нравоучать не буду, разрабов которые в 2025 юзают MD5 для хранения паролей проще просто пристрелить и купить подписку на ChatGPT за 20$.
Рекомендую, кайфово почитать прохладную про блуждания хакера в PHP сервисах:
https://xakep.ru/2025/05/22/provider-case/
baksist, респект 💪
🔥35👍2🤡2😁1
Forwarded from CyberED
Ваш ключ к успешной карьере в кибербезопасности - сертификация по курсу "Белый хакер"🔑
CyberED представляет CEWH - практическую сертификацию в области наступательной кибербезопасности. Сертификат CEWH подтверждает владение базовыми навыками тестирования на проникновение и приверженность кодексу этики Белых Хакеров.
Для кого?
✔ для уже текущих специалистов в ИБ
✔ для пентестеров it-инфраструктуры, которые хотят подтвердить свои навыки
✔ для корпоративных клиентов.
Как проходит сертификационное испытание?
1⃣ В формате онлайн
2⃣ Через практическое испытание
3⃣ Длительностью 24 часа
4⃣ Сложность - базовая.
Для подготовки к сертификации достаточно пройти бесплатный курс "Профессия - Белый Хакер"
⚪️ Подробнее о сертификации читайте на сайте
CyberED представляет CEWH - практическую сертификацию в области наступательной кибербезопасности. Сертификат CEWH подтверждает владение базовыми навыками тестирования на проникновение и приверженность кодексу этики Белых Хакеров.
Для кого?
Как проходит сертификационное испытание?
Please open Telegram to view this post
VIEW IN TELEGRAM
👍16🤡16🔥6💩5🎉4❤1