Как делать полезные заметки (How to take smart notes, Zettelkasten)

Эта книга Зонке Аренса, преподавателя философии образования, посвящена методу Zettelkasten, который позволяет строить свою базу знаний из заметок, создаваемых с использованием этой системы придуманной Никласом Луманом. В предисловии книги автор напоминает нам про важность письма в жизне человека, но отмечает, что большинство материалов на этот счет посвящены написанию эссе, книг, ну в крайнем случае рабочей переписке. А он предлагает читателям научиться конспектировать свои небольшие идеи и озарения, из которых потом и собираются более крупные произведения как из кубиков:) А это в свою очередь помогает победить страх чистого листа бумаги.

Часть 1 - Введение

1) Все, что вам нужно знать
Эта глава начинается с того, что автор сравнивает простое планирование и четкую систему организации работы и показывает, что вторая лучше. И этой системой оказывавется "ящик для заметок" Николаса Лумана, который писал заметки о прочитанном, складывал их в одно место, дальше придумал для них систему классификации, а потом попробовал выстроить кросс-категорийные связи для своих заметок. А потом из этих заметок внутри ящика появлялись книги, которые Никлас писал по несколько штук в год:) В этой главе автор уделяет много времени биографии Лумана и тому, как он работал со своими ящиками: он заводил заметки с уникальными idшниками, дальше использовал гиперссылки (ручные) для проставления связей между заметками, также у него были отдельные темы, которыми можно было отметить заметки, плюс был указазатель для отсылки к заметкам, что являлись отправной точкой относительно темы и содержали набор ссылок на другие заметки.
2) Все, что вам нужно сделать
В этой главе автор рассказывает про то, как удобно поделить работу на 2 половины: подготовка черновика (желательно из уже готовых заметок) и дальнейшее его редактирование и вычитка. В итоге, появляется такой пошаговый алгоритм написания текстов:
- Делайте повседневные заметки
- Делайте записи о литературе
- Создавайте постоянные заметки
- Добавьте новые постоянные заметки в свой ящик
- Разрабатывайте свои темы и исследовательские проекты снизу вверх
- Как у вас накопиться достаточно идей, решите на какую тему писать
- Превратите свои заметки в черновик
- Отредактируйте и вычитайте рукопись
Интересно, что я сам по похожей схеме планирую собрать свою первую книгу за ближайший год:)
3) Все, что должно быть под рукой
Тут автор говорит про инструментарий: бумага и ручка для заметок, картотека для справочной информации, собственно ящик под заметки, текстовый редактор. Я это все комбинирую внутри своего планшета Samsung Galaxy Tab S9 Ultra и у меня там куча заметок:)
4) Несколько вещей, о которых не стоит забывать
Тут автор говорит о том, что инструменты хороши ровно настолько, насколько вы умеете ими пользоваться.

Про вторую и третью часть книги я рассказываю в следующих постах: 2, 3 и 4

#SelfDevelopment #Writing #Brain #Processes #SystemThinking #Thinking

Как делать полезные заметки (How to take smart notes, Zettelkasten) - II

Я продолжаю рассказ про книгу о Zettelkasten, говорить о которой я начал в вчерашнем посте. А здесь мы поговорим о второй части книги и обсудим четыре основных принципа:
- Письмо - единственное, что имеет значение
- Простота превыше всего
- Никто никогда не начинает с нуля
- Пусть работа ведет вас вперед

Часть 2 - Четыре основных принципа
5) Письмо - единственное, что имеет значение
В этой главе автор говорит про написание научной работы студентами. Причем студентам надо не просто научиться писать, но и "уметь искать факты, обсуждать свои идеи на семинарах и внимательно слушать лекции". И дальше выдвигается тезис о том, что правильный учебный процесс - это исследование и если учиться как можно эффективнее, то можно ускорить переход к моменту, когда появятся вопросы, на которые еще нет ответов и о которых и стоит писать научные работы:)
6) Простота превыше всего
В этой главе автор рассказывает про контейнеры и контейнеровозы, которые продвинули морские перевозки, а дальше сравнивает ящик для заметок транспортрным контейнером мира науки. Он позволяет напомнить владельцу об идеях, которые когда-то были им сформулированы, но потом забыты. Для проявления положительного эффекта в ящике должна накопиться критическая масса заметок, которые бывают трех видов:
- Повседневные заметки - напоминание об информации, их TTL (time to live) пара дней
- Постоянные заметки - TTL - ∞, они содержат необходимую информацию в постоянно доступной форме
- Заметки для проекта - заметки под конкретный проект, после окончания проекта они могут превратиться в постоянные заметки или отправиться в /dev/null
Важно понимать различие заметок разного типа и использовать их в подходящих сценариях.
7) Никто никогда не начинает с нуля
Основная мысль в том, что если вести заметки по интересующим темам, то при старте нового проекта всегда будут материалы, от которых можно будет оттолкнуться. Поэтому написание научных работ, статей, книг не является линейным процессом, но это не означает, что оно хаотично. Напротив, ясная и четкая структура имеет большое значение.
😍 Пусть работа ведет вас вперед
Здесь автор говорит про петлю обратной связи, которая может как порушить все начинания (если вы попадете в петлю сорванных дедлайннов), так и выстроить фундамент ваших достижений (если вы сможете создать приятный повторяемый опыт письма). В общем, важна "установка на рост", когда мы хотим стать лучшей версией себя. А вторая часть - это система обучения, что позволяет на практике создать петлю положительной обратной связи. И система создания заметок Zettelkasten именно такова, ведь делая заметки мы видим как наши знания растут как и содержимое этого ящика:)

Продолжение в третьей части поста.

#SelfDevelopment #Writing #Brain #Processes #SystemThinking #Thinking

Как делать полезные заметки (How to take smart notes, Zettelkasten) - III

Я продолжаю рассказ про книгу о Zettelkasten, о которой я говорил в постах 1 и 2. И тут речь про первые три шага к успешному письму, которых по мнению автора целых 6 штук:
- Раздельные и взаимосвязанные задачи
- Читайте для понимания
- Делайте полезные заметки
- Развивайте идеи
- Делитесь своими инсайтами
- Заведите себе полезную привычку

Часть 3 - Шесть шагов к успешному письму

9. Раздельные и взаимосвязанные задачи
Тут речь о том, что многозадачность это миф и что эффективность работы в таком режиме сильно ниже эффективности сфокусированной работы над одной задачей. Но сейчас люди редко когда могут сфокусировать внимание надолго на одной теме - мешают отвлекающие факторы и неорганизованный рабочий процесс. А с этим может помочь ящик для заметок, который не только обеспечивает структуру работы, но и заставляет пользователя сознательно переключать внимание между задачами записи заметок.
Автор говорит, что никакой план не поможет нам хорошо писать и его тезис звучит так: "не строй планов, стань экспертом". Автор много говорит про науку и научные работы и делиться своим видением основной идеи науки: "обрести знания и сделать это достоянием общественности". Собственно начинать подготовку к написанию надо с обретения знаний.
Другой тезис посвящен освобождению от лишнего причем в своей памяти (особенно кратковременной), которая не резиновая. Для подтверждения действенности совета приводится эффект Зейгарник, когда незаконченные задачи, как правило, занимают кратковременную память до тех пор, пока не будут выполнены. Но если их записывать, то мозг не делает различий между сделанной и отложенной задачей:) И последний совет звучит так "сократите количество решений". Так мы сможем экономить свои волевые ресурсы и избегать "истощения эго", а значит нам будет проще выполнить работу. Собственно, налаженная система уменьшает степени свободы и сокращает вариативность и количесто решений.

10. Читайте для понимания
Крутые советы для эффективного чтения
- Читайте с ручкой в руке - тут основная мысль в том, чтобы не просто скопировать текст, а в осмысленном диалоге с читаемыми текстами. Я сам часто пишу прямо на полях, оставляю ссылки на другие идеи, а иногда и todo записи:) Конечно, в контексте Zettelkasten это все автор называет предварительным шагом перед созданием постоянной заметки, что попадет в ящик.
- Мыслите шире - суть в том, чтобы постараться избежать "предвзятости подтверждения" и рассмотрения широкого набора гипотез. В методе с ящиком мы идем от интересных идей и заметок, а дальше собираем из них текст. Это позволяет меньше страдать от предвзятости подтверждения, чем в случае старта с решения о гипотезе или проблеме, под которую мы хотим подобрать факты и написать текст:) Отдельно автор говорит про важность поиска фактов, что противоречат нашей гипотезе.
- Найдите суть - тут автор рассказывает про критическое мышление (про это можно почитать отдельную книгу)
- Учитесь читать - тут важно не просто прочитать, но и попробовать переформулировать прочитанное и увидеть лакуны в понимании
- Учитесь, читая - автор говорит про настоящее обучение, что помогает улучшить понимание мира, а не пройти тест (интересно, что меня всегда интересовало именно настоящее обучение начиная с детства). Обучение требует усилий и размышление и создание заметок отлично подходят для обучения.

11. Делайте полезные заметки
Здесь идет речь про создание заметок по одной за раз, про размышление вне рамок и наоборот про функцию заметок как некоторой чексуммы смысла того, что мы прочитали. Дальше про вопросы к самим себе, а почему весь прочитанный текст уложился в такие маленькие репрезентации в виде нескольких заметок и почему именно на те темы, что там оказались. Как заметки работают в качестве внешней памяти и помогают связывать разные контексты между собой (тут возможна кросс-линковка разных источников на интересующую нас тему). Ну и напоследок, а как добавлять постоянные заметки в сам ящик:)

#SelfDevelopment #Writing #Brain #Processes #SystemThinking #Thinking

Как делать полезные заметки (How to take smart notes, Zettelkasten) - IV

Заканчивая рассказ про Zettelkasten, я хотел бы рассказать про три шага к успешному письму, которыми завершается книга (предыстория в постах 1, 2 и 3)

12. Развивайте идеи
Делать заметки конечно хорошо, но классно их связывать между собой, потому что "заметки ценны настолько, насколько ценна сеть записей и взаимосвязей, в которую они включены". Так как ящик для заметок - это не энциклопедия, то не стоит беспокоиться о полноте информации, то есть мы можем писать только те заметки, что помогают нам в мышлении. Только собирая заметки в статью, мы задумаемся о том, как заполнить лакуны смысла.

Дальше автор дает семь советов
- Разрабатывайте темы - размечайте заметки ключевыми словами, по которым легко можно было собрать все связанные заметки на определенную тему
- Создавайте умные связи - используйте 2 вида ссылок: 1) ссылки на заметки, которые дают вам обзор темы (как точка входа в тему) и 2) ссылки одной заметки на другую (это позволяет собрать сеть и увидеть неявные взаимосвязи через транзитивные ссылки)
- Сравнивайте, исправляйте и делайте различия - сопоставляйте старые и новые заметки. Это позволит найти противоречия и парадоксы, которые помогут лучше понять тему. Такие сопоставление обеспечат continuous improvement важных для нас идей
- Соберите свой инструментарий для мышления - наша способность воспринимать информацию и интерпретировать смыслы зависит от широты наших знаний. Именно поэтому получение широкого набора теоретических инструментов (ментальных моделей) позволяет избежать ситуации человека с молотком, который везде видит гвозди:) Рекомендую почитать книги "The Model Thinker" и "Great Mental Models". Основной посыл не в том, чтобы все знать, а в том, чтобы иметь возможность разобраться, опираясь на обширный ресурс ментальных моделей
- Используйте ящик как двигатель творчества - ящик является тем местом, где разные заметки сплавляются воедино в новые знания через поиск небольших отличий и разрешения этих конфликтов
- Думайте внутри ящика заметок - делая заметки, мы проверяем свое понимание текста, который прочитали и хотим суммировать, мы фокусируемся на сути и задаем себе хорошие вопросы, когда сортируем и уточняем уже существующие заметки
- Развивайте творчество с помощью ограничений - ограничение на размер и формат заметки на самом деле не ограничивают нас, а заставляют проявить свою креативность

13. Делитесь своими инсайтами
Когда у нас есть ящик для заметок, мы можем заглянуть в него, чтобы собрать статью, вытягивая заметки и собирая их в ожерелье аргументов, которые нам надо связать общей нитью и превратить в линейное повествование без белых пятен. Дальше автор дает советы
- Содержимое ящика уже дает нам хорошую стартовую площадку - у нас есть множество идей, объединенные в темы
- Составляя заметки мы шли снизу вверх, а собирая статью мы можем пойти сверху вниз, имея перед собой общую картину, разработанной темы
- Причем мы можем добиться просто следуя за своими интересами (помните, в заметки попадают только интересные нам мысли)
- Для успеха сбора статьи надо визуально структурировать проект - и если линейная структура не получается, то можно писать параллельно несколько статей
- Опять автор напоминает, что стоит отказаться от планирования и сначала стать экспертом
- Ну и для завершения проекта пригодится фраза Антуана де Сент-Экзюпери "Как видно, совершенство достигается не тогда, когда уже нечего прибавить, но когда уже ничего нельзя отнять" (у меня самого с этим бывают трудности)

14. Заведите себе полезную привычку
В этой главе говорится про силу привычек как полезных, так и вредных. Автор предлагает превратить записывание своих мыслей в привычки, а дальше превратить их в постоянные заметки, которые начать потом складывать в ящик. Так пошагово можно дойти до Zettelkasten.

#SelfDevelopment #Writing #Brain #Processes #SystemThinking #Thinking

Обзор книги "Как делать полезные заметки" ("How to take smart notes, Zettelkasten")

Эта книга Зонке Аренса, преподавателя философии образования, посвящена методу Zettelkasten, который позволяет строить свою базу знаний из заметок, создаваемых с использованием этой системы придуманной Никласом Луманом. В предисловии книги автор напоминает нам про важность письма в жизни человека, но отмечает, что большинство материалов на этот счет посвящены написанию эссе, книг, ну в крайнем случае рабочей переписке. А он предлагает читателям научиться конспектировать свои небольшие идеи и озарения, из которых потом и собираются более крупные произведения как из кубиков:) А это в свою очередь помогает победить страх чистого листа бумаги. Именно поэтому мне понравилась эта книга и я решил написать краткий обзор на нее, который сначала был тут в 4 частях, а потом я объединил все части в статью в рамках своего блога TellMeAbout.Tech:)

P.S.
Думаю, что я дальше именно так и буду собирать статьи - эксперимент показал, что так мне проще писать их по частям в этот канал, а потом собирать воедино на Medium:)

#SelfDevelopment #Writing #Brain #Processes #SystemThinking #Thinking

Дополнительные материалы для выступления на дне Тинькофф в МФТИ

Сегодня я еду в МФТИ, вспоминать студенческие времена (я на кампусе не был уже лет 5), а также рассказывать про современные подходы к разработке программного обеспечения на дне Тинькофф. По старой традиции в день выступления я публикую пост с дополнительными материалами в этом канале и в качестве последнего слайда презентации показываю QR-код. Это неплохо повышает конверсию в подписки и просмотр этих самых материалов:)

- Современные подходы к разработке программного обеспечения
- Совершенствование потока разработки программного обеспечения
- Проектируем надежные системы — стоит ли игра свеч
- Про управление проектами и продуктами
- Devops культура: мифы и реальность
- Как RnD появляется в крупных ИТ-компаниях
- The Pipeline-Driven Organization • Roy Osherove • GOTO 2022
- Курс Essential Architecture #Code
- Курс Essential Architecture #Data
- Code of Architecture — “Distributed Systems, 4th Ed” #2 (Architecture)
- Как подготовиться и пройти System Design Interview

P.S.
И сразу после выступления я поеду домой, чтобы успеть к началу нашего онлайн-стрима "Code of Architecture", про который я писал вчера.

#SoftwareDevelopment #Software #SoftwareArchitecture #Engineering #SystemThinking

Геймдзайн (Designing games. A guide to engineering experiences) - Part IV

Этот пост продолжает обзор книги, по которой уже было два поста: 1, 2 и 3.
И тут мы продолжим говорить про вторую часть книги "Искусство создания игры"

Глава 6. Баланс
Автор начинает с определения

Баланс означает корректировку игрововй механики для изменения относительной мощности различных инструментов, боевых единиц, стратегия, команд или персонажей.

Баланс является инструментом, который используют для разных целей, где выделяются две: честность и глубина
- игра считается честно, если вначале ни у одного из игроков нет преимущества
- для того, чтобы игра была глубокой, она должна генерировать решения, которые были бы настолько сбалансированы, что даже эксперту сложно было бы принять решения
Обычно игроки используют определенные стратегии - конкретные наборы действий для достижения целей. И если нет вырожденной стратегии (очевидно лучшей для данной ситуации), то игра является глубокой. Интересно, что баланс зависит от навыка игрока, так как разный уровень навыков дает доступ к разным стратегиям.

Иногда ради баланса геймдизайнер решает поменять одну из механик, из которых состоит игра. Но изменения в механиках меняют все стратегии, в которые она встроена, а не только те, что мы планировали изменить. Поэтому поиск баланса достаточно сложен. Прямо как при принятии архитектурных решений:)

Глава 7. Многопользовательская игра
Эту главу автор начинает с рассмотрения теории игр, которой посвящены отдельные книги "Теория игр", "Теория игр в комиксах". Тут идет речь про равновесие Нэша, смешанные стратегии, yomi (чтение мыслей противника и попытка его убедить, что вы сделаете что-то одно, а вы на самом деле сделаете что-то другое).
Дальше идет речь про то, что в многопользовательских играх часто у игроков могут быть разные цели, что приводит к тому, что одни игроки нарушают опыт других игроков.

Глава 8. Мотивация и удовлетворение
Эта глава начинается к отсылке к дофаминовому удовольствию и предвкушению награды, которое работает лучше, чем собственно получение награды. Дальше автор рассказывает про режим подкрепления

Режим подкрепления - это система правил, которая определяет, когда выдается награда

Причем большинство режимов подкрепления имеют неявную схему разработки, когда они появляются из игровых систем более низкого уровня. Это назвается эмерджентными режимами подкрепления. Интересно, что режимы подкрепления, работающие через внешнюю мотивацию и поощрения могут вытеснять и разрушать внутреннее наполнение игры и мотивацию игроков. Поэтому

Цель дизайна наград состоит в том, чтобы создать систему, которая может обнаруживать и соответствующим образом вознаграждать игрока за все, что он уже хочет сделать. Поскольку каждая игра уникальна, то нуждается в собственной продуманной системе.

Глава 9. Интерфейс
Автор начинает с того, что у нас 2 цели
- донести информацию о том, что проихсодит в игре - здесь мы должны разработать системы, которые структурируют и упорядочивают информацию
- обеспечить возможность управления - здесь мы должны разработать сложную комбинацию ограничений, соглашений и вспомогательных систем
Для этого часто используются метафоры, которые придают новой информации знакомые черты, чтобы ее можно было легче понять.
Больше того, игра должна задать словарь метафор, который указывает какие элменты моделируют механику, и соответствовать этому словарю.
Для того, чтобы информация воспринималась лучше используется визуальная иерархия, в которой важные элементы становятся более заметными, чем неважные.

Глава 10. Рынок
Эта глава посвящена тому, как игры чувствуют себя на рынке. Про эффект Матфея, дилемму новатора, сегментацию рынка, кривую ценности. В общем, здесь мы заходим на территорию маркетинга и планирования продаж:)

P.S.
На этом обзор это книги заканчивается, так часть книги про "Процессы" очень хорошо пересекается с обычными процессами разработки, о которых я и так часто рассказываю.

#Design #GameDesign #SystemDesign #SystemThinking #Management #SelfDevelopment

Turn the Ship Around | L. David Marquet | Talks at Google

Посмотрел сегодня интересное выступление на тему лидерства от David Marquet, бывшего капитана американской субмарины и автора бестселлера "Turn the Ship Around". В этой книге автор рассказывал про свой опыт в качестве капитана субмарины "USS Santa Fe", которая когда-то занимала последние места с точки зрения удержания сотрудников и эксплуатации. Его перевели на эту субмарину с другой, где он тоже был капитаном, но здесь ему пришлось столкнуться с новой подводной лодкой, которую он не знал досконально. В итоге, ему пришлось подстраиваться и поменять стиль лидерства с того, чтобы говорить окружающим что им делать, на другой:) Собственно в этом видео автор и рассказывает про свой подход, который принес ему успех в качестве капитана подводной лодки, а потом в качестве автора книг и консультанта по организационному развитию и лидерству.

Если возвращаться к выступлению, то в нем автор говорит про семь мифов лидерства и дальше рассказывает как это работает на практике (по его мнению)
1. Good leaders know all the answers -> Good leaders say "I don't know"
2. Good leaders give good orders -> Good leaders give no orders
3. Good leaders empower their team -> Good leaders TUNE empowerment for their teams
4. Leaders "motivate" their teams -> Leaders make it safe
5. Teams think their way to new action -> Teams act their way to new thinking
6. Leaders know all, tell all -> Leaders know all, tell not
7. Leaders trust their instincts -> Leaders act in ways that counter their instincts

В общем, мысли автора про лидерство достаточно интересны и позволяют порефлексировать относительно
- своего концептуального подхода к лидерству (если он есть)
- своего поведение как лидера (как этот подход проявляется)
Могу только сказать, что перечисленные автором мифы сильны в новоиспеченных лидерах и они могут давать результаты в небольшой группе, но они плохо масштабируются и не позволяют вырасти как самому лидеру, так и его команде:)

Кстати, именно эту книгу я буду обсуждать в одной из следующих выпусков Code of Leadership с интересным гостем (но об этом подробнее я расскажу в следующий раз). А в понедельник уже выйдет первый выпуск, анонс которого я делал раньше.

#Leadership #SelfDevelopment #Management #Processes #SystemThinking #Thinking

Разверните ваш корабль (Turn the Ship Around!)

Прочитал за пару дней эту интересную книгу, посвященную лидерству. Вся книга представляет собой историю капитанства Дэвида Марке, который рассказывает про свой подход, с помощью которого он превратил подводную лодку Santa Fe из худшей в лучшую всего за несколько лет. Дэвид описывает свой подход как переход от модели "leader - followers" к модели "leader - leaders". Для этого он выделяет три ключевые темы
- Control - принятие решений и контроль за их реализацией Дэвид предлагает передавать на тот уровень, где эффективнее всего это можно сделать. Чем-то это напоминает OKR (objectives and key results), в котором сверху приходят цели, а на местах люди уже придумывают как их достигнуть и какие ключевые результаты удастся получить. В итоге, у Дэвида в модели лидерства капитан не является человеком, который рассказывает что сделать и принимает за всех решения. У него офицеры и старшины могут принимать решения в своей зоне ответственности и нести за них ответственность (понятно, что несмотря на это за все происходящее на подводной лодке все равно accountable капитан)
- Competency - передача принятия решений и контроля без наличия нужных компетенций - это выстрел себе в ногу. Поэтому другой основой подхода Дэвида является повышение уровня компетенций команды. Его подход к инцидентам и работе с ними напоминает подходы SRE (site reliability engineers) и конкретно postmortems. Интересно, что Дэвид переключает команду с режима избегания ошибок на достижение операционного совершенства (operational excellence). Это фокусирует людей на непрерывном улучшении и обучении в процессе работы, вместо попыток просто "не облажаться"
- Clarity - в модели "leader - leaders" очень важно, чтобы люди, принимающие решения на местах, понимали общую цель организации. Часто в бизнесе при этом говорят про vision, mission, strategy и так далее. В книге Дэвид описывает как это выглядело для сотрудников на подводной лодке:)

Из интересного отмечу, что подход к лидерству Дэвида хорошо сработал в рамках военно-морского флота и многие его наработки стали через несколько лет стандартом де-факто (а где-то и де-юре). Плюс многие офицеры с лодки Santa Fe дальше успешно служили на флоте и получали повышения, так как впитали эту модель лидерства и несли ее дальше.

P.S.
При чтении книги можно собрать очень хороший список вопросов для размышлений, которые автор приводит в конце каждой главы. Это позволит вам оценить насколько хорошо дела идут на вашей подводной лодке:)

#Management #Leadership #SelfDevelopment #Psychology #ForParents #SystemThinking #ProjectManagement

The State of Application Security 2023 • Sebastian Brandes • GOTO 2023

Отличный доклад для воскресного утра про Application security от Себастьяна, ко-фаундера и CEO стартапа Heyhack. Доклад носит достаточно практичный характер и в нем не просто рассказывают про базовые концепции и приводят результаты исследования безопасности за 2023 год (что тоже очень интересно), но и демо топовых уязвимостей:)
Доклад состоит из следующих частей:
- Результаты исследования - Авторы исследовали автоматически почти 4 миллиона сервисов из 103 стран, больше 8 тысяч компаний. Для deep dive в результаты автор вспоминает про базу про CVSS (Common Vulnerability Scoring System) для оценки severity уязвимостей. Это нужно, чтобы показать, что 3/4 организаций имеют известные уязвимости высокого severity уровня (7+). Плюс интересно смотреть на распределение уязвимостей по странам (Россия достаточно хорошо выглядит на общем уровне или авторы не особо долбили российские сервисы)
- Deep dive в темы
-- File leaks - у 29% организаций еще были найдены утечки данных (код, бекапы, ключи, конфигурации, ...)
-- Dangling DNS records - Почти четверть компаний оказались с dangling DNS записями, когда доменное имя остается делегировано на ip адрес, который уже не принадлежит компании (например, когда в облаке погасил машинки, на которые делировал поддомен, а делегирование поддомена не убрал). Собственно, автор проводит демо как это может выглядеть и объясняет, что такую висящую DNS запись можно захватить и дальше украсть сессионные куки или повесить фрод на легитимный поддомен.
-- Vulnerable ftp servers - пример уязвимости proFTP 1.3.5 (CVE-2015-3306) и говорит, что 1.5% исследованных компаний имеют эту уязвимость:) А дальше проводит демо как ее эксплуатировать.
-- Cross-site scripting - это тип атаки, который заключается во внедрении в выдаваемую веб-системой страницу вредоносного кода и взаимодействии этого кода с веб-сервером злоумышленника. 4% компаний имеют известные уязвимости такого рода и они часто завязаны на wordpress плагины, nginx модули, keycloak, drupal плагины и вообще любые плагины известных веб-приложений. Здесь автор вспоминает OWASP (Open Worldwide Application Security Project) и конкретно проект OWASP Juice Shop - супер-дырявого приложения, которое специально спроектировали для тренировочных целей. Собственно в своем демо автор его активно использует. Плюс в демо используется BeEF - The Browser Exploitation Framework Project. Демо выглядит очень интересно и показывает на пальцах как выглядят уязвимости и к чему может привести безответственность в вопросах безопасности.
- Разбор кейса с Fortnite и EpicGames - пример того, как комбинация нескольких уязвимостей позволяет сломать систему. В данном случае это было приложение Fortnite. Саму уязвимость нашли ребята из Check Point и у них есть интересный разбор
- WAF и их частичная бесполезность - объяснение того, как работают WAF (web app firewall) и как они легко попадают в ошибки вида false positive и false negative:)

В финале автор рассказывает о главных выводах:
- Надеяться на WAF не стоит
- Нужно проактивно работать с уязвимостями и устранять их до того, как они привели к инцидентам безопасности
- Начать работать над app security просто

Ну и конкретно по вектору web attack предлагается такой план:
- Определить поверхность атаки (внешние домены) и понять уязвимые цели
- Пофиксить висящие DNS записи
- Обновить сервера (Apache, Nginx, ...)
- Настроить continuous testing критичных приложений
- Поработать с разработчиками и интегрировать с их инструментами средства безопасности для устранения найденных уязвимостей
- Протестировать заново найденные уязвимости и убедиться, что они исправлены
- И дальше работать так в цикле

Итого, это очень базовый доклад, но с интересной статистикой и с практичными советами по улучшению ситуации.

#Security #SRE #SoftwareArchitecture #Software #Engineering #Management #Leadership #Processes #SystemThinking #SystemEngineering