Forwarded from КиберПсихологика
Что бесит в современных джунах
Я нанимаю людей. Я встретила много джунов - разных, умных и не очень, амбициозных и скромных, наглых и забитых. И знаете, что я заметила? С каждым годом джуны становятся…страннее. У них выросли ожидания, но упала готовность вкалывать. Они хотят всё и сразу, но не готовы к тому, что придется начинать с нуля.
И так, поехали. Мой личный список того, что бесит в джунах:
1️⃣ "Я прошел курсы, теперь я спец"
Самое больное. Человек купил курс за 50 тысяч, посмотрел 20 часов записей, пощелкал демо-стенд и считает, что готов к реальной работе.
Ребята, явасумаляю, курсы - это даже не база. Это введение в базу. Это как посмотреть видео "Как плавать" и сразу прыгнуть в океан.
Что с этим делать: Курсы - это старт, а не финиш. Дальше вам придется учиться годами. Если вы не готовы - идите в продажи.
2️⃣ "А почему у вас так мало платят?"
Джун без опыта, без реальных проектов, без портфолио смотрит зарплату мидла и возмущается.
Я понимаю, деньги важны. Но рынок - жестокая штука. Вам платят не за то, что вы прошли курс, а за то, что вы можете сделать. А сделать вы пока можете немного. Это нормально. Вырастете - будет больше.
Что с этим делать: Смотрите на рынок трезво. Начинайте с того, что есть. Деньги придут за опытом, а не за наглостью.
3️⃣ "А меня будут учить?"
Приходит такой, садится и ждет, что ему сейчас всё покажут, расскажут, за ручку отведут. А когда выясняется, что учиться придется самому - обижается.
В ИБ никто не будет жевать вам и в рот класть. У нас у всех есть задачи, дедлайны, инциденты. Мы можем показать, направить, подсказать. Но учиться вы будете сами. Сами гуглить, сами читать, сами разбираться.
Что с этим делать: Прокачивайте навык самообучения и самодисциплины.
4️⃣ "Я хочу только пентест, администрирование — это не мое"
О, это отдельная песня. Все хотят быть хакерами. Никто не хочет настраивать политики, писать отчеты, общаться с пользователями.
Реальность: в безопасности немалое количество времени - это рутина. Администрирование, документация, согласования, отчеты.
Что с этим делать: Смириться. Или искать другую профессию.
5️⃣ "А у меня идея! Давайте я сразу буду стратегом"
Джун без опыта хочет участвовать в стратегических сессиях, предлагать гениальные идеи и влиять на политику компании.
Стратегия - это когда ты понимаешь, как бизнес зарабатывает деньги, какие у него боли и куда он движется. А ты не знаешь. Ты даже не понимаешь, почему пароль надо менять каждые 90 дней. Посиди сначала в поддержке, настрой пару систем, пообщайся с пользователями. Потом приходи со стратегией.
Что с этим делать: Нарабатывать базу. Стратегия без опыта - это фантазии.
При всем этом бешенстве я беру джунов. И некоторые становятся звездами.
Кого я беру:
✔️ Тех, кто умеет гуглить, а потом приходит и говорит: "Я попробовал сам, не получилось, вот что я делал, можете подсказать?". Это золото.
✔️ Тех, кто не ноет. Тяжело? Да. Но все через это прошли. Если человек не жалуется каждые пять минут, а просто делает - он вырастет.
✔️ Тех, кто задает умные вопросы. Не "а сколько платят", а "как выстроен процесс", "какие технологии используете", "что почитать".
✔️ Тех, кто готов к рутине и понимает, что сначала будет скучно, а потом интересно. И согласен на это.
✔️ Тех, кто не боится признавать, что чего-то не знает. Но готов учиться.
Итог для джунов, которые дочитали до конца
ИБ - это классно. Это сложно, интересно, денежно. Но это не хакерские будни из сериала. Это работа. Иногда скучная, иногда нервная, иногда дурацкая.
Если вы готовы - приходите. Будем учить, гонять, бесить друг друга. А через пару лет вы сами будете писать такие же посты про следующих джунов.
Я нанимаю людей. Я встретила много джунов - разных, умных и не очень, амбициозных и скромных, наглых и забитых. И знаете, что я заметила? С каждым годом джуны становятся…страннее. У них выросли ожидания, но упала готовность вкалывать. Они хотят всё и сразу, но не готовы к тому, что придется начинать с нуля.
И так, поехали. Мой личный список того, что бесит в джунах:
Самое больное. Человек купил курс за 50 тысяч, посмотрел 20 часов записей, пощелкал демо-стенд и считает, что готов к реальной работе.
Ребята, явасумаляю, курсы - это даже не база. Это введение в базу. Это как посмотреть видео "Как плавать" и сразу прыгнуть в океан.
Что с этим делать: Курсы - это старт, а не финиш. Дальше вам придется учиться годами. Если вы не готовы - идите в продажи.
Джун без опыта, без реальных проектов, без портфолио смотрит зарплату мидла и возмущается.
Я понимаю, деньги важны. Но рынок - жестокая штука. Вам платят не за то, что вы прошли курс, а за то, что вы можете сделать. А сделать вы пока можете немного. Это нормально. Вырастете - будет больше.
Что с этим делать: Смотрите на рынок трезво. Начинайте с того, что есть. Деньги придут за опытом, а не за наглостью.
Приходит такой, садится и ждет, что ему сейчас всё покажут, расскажут, за ручку отведут. А когда выясняется, что учиться придется самому - обижается.
В ИБ никто не будет жевать вам и в рот класть. У нас у всех есть задачи, дедлайны, инциденты. Мы можем показать, направить, подсказать. Но учиться вы будете сами. Сами гуглить, сами читать, сами разбираться.
Что с этим делать: Прокачивайте навык самообучения и самодисциплины.
О, это отдельная песня. Все хотят быть хакерами. Никто не хочет настраивать политики, писать отчеты, общаться с пользователями.
Реальность: в безопасности немалое количество времени - это рутина. Администрирование, документация, согласования, отчеты.
Что с этим делать: Смириться. Или искать другую профессию.
Джун без опыта хочет участвовать в стратегических сессиях, предлагать гениальные идеи и влиять на политику компании.
Стратегия - это когда ты понимаешь, как бизнес зарабатывает деньги, какие у него боли и куда он движется. А ты не знаешь. Ты даже не понимаешь, почему пароль надо менять каждые 90 дней. Посиди сначала в поддержке, настрой пару систем, пообщайся с пользователями. Потом приходи со стратегией.
Что с этим делать: Нарабатывать базу. Стратегия без опыта - это фантазии.
При всем этом бешенстве я беру джунов. И некоторые становятся звездами.
Кого я беру:
Итог для джунов, которые дочитали до конца
ИБ - это классно. Это сложно, интересно, денежно. Но это не хакерские будни из сериала. Это работа. Иногда скучная, иногда нервная, иногда дурацкая.
Если вы готовы - приходите. Будем учить, гонять, бесить друг друга. А через пару лет вы сами будете писать такие же посты про следующих джунов.
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥9💯5❤3👍3
Forwarded from Bagley's 📚 Notes
Всем 👋 ! Это Bagley
❓ Что нужно, чтобы начать реализовывать НС (недопустимые события) на Standoff Hackbase?
🔘 Если ты новенький, и хочешь погрузиться в мир кибербитвы Standoff - следующий список обязателен для ознакомления.
🔘 Если ты достаточно крутой специалист, тебе всё же придется познакомиться с механикой "игры" на Standoff, чтобы максимально быстро начать выполнять НС'ы.
1⃣ Официальный гайд от Standoff (внимательно изучи этот материал, можно и видосики посмотреть)
2⃣ Разбор заданий с полигона для новичков - ссыль (поймешь базовую механику, найдешь полезный скрипт для фиша)
3⃣ Разбор одного из банковских рисков от Top1 24 года - хабр
4⃣ Разбор атаки на PassOffice - хабр
5⃣ Как одна форма обратной связи привела к компрометации helpdesk-учетки банка - хабр (автор: @m0nr0e21)
6⃣ Разборы рисков от команды @taipanbyte (первый, второй)
7⃣ Пять способов сломать SCADA-систему - статья журнала Positive Research.
8⃣ Ну и мой видеоразбор кейсов с кибербитвы Standoff 14:
📺 Rutube 📺 VK Видео
9⃣ Еще один мой видос - SpeedRun одного из недопустимых событий
⛏ Обучение без практики бесполезно! Поэтому, после ознакомления, настоятельно рекомендую порешать полигон!
👑 (а если ты только начинаешь, повторюсь, очень рекомендую пройти бесплатный курс "Профессия - Белый Хакер" от Cyber-ED)
➖ ➖ ➖ ➖ ➖
❓ What is needed to start implementing Critical Events on Standoff Hackbase?
🔘 If you're new and you want to immerse yourself in the world of Standoff Cyberbattle - the following list is a must-read.
🔘 If you are a cool enough specialist, you will still have to get acquainted with the mechanics of the "game" on Standoff in order to start performing the Critical Events as quickly as possible.
1⃣ Official guide from Standoff (study this material carefully, you can also watch the videos)
2⃣ Tasks walkthrough from the bootcamp for beginners - reference (you will understand the basic mechanics, you will find a useful script for phishing)
3⃣ Walkthrough of one of the banking risks from Top1 24 years - reference
4⃣ Walkthrough of the Attack on PassOffice - reference
5⃣ Walkthrough of the Attack on Banking helpdesk-account - reference (by @m0nr0e21)
6⃣ Risk analysis from the @taipanbyte (first , second)
7⃣ Five ways to break the SCADA system - article of the Positive Research journal.
8⃣ Well, my video case study from the Standoff 14 cyberbattle:
📺 YouTube
9⃣ Another one of my videos - SpeedRun of one of the Critical events
#learning #Standoff #HackBase #StandoffStories
#learning #Standoff #HackBase #StandoffStories
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥8⚡3✍3❤1
Попасть в подборку человека, у которого я сам учился, дорогого стоит)
Значит что-то делаю не зря)
Значит что-то делаю не зря)
❤🔥8❤5💯3🔥2
HTB Soulmate hints
1. Ищем интересный поддомен и эксплуатируем уязвимость в нем
2. При помощи веб-шелла попадаем на машину и ищем то, что поможет подключиться по ssh - берем user flag
3. Там где нашли креды от ssh, смотрим на порт
4. Подключаемся и ищем модуль, который поможет нам сделать что-то от рута - забираем root flag
В целом машина интересная и простая, но от райтапов и лаб пора немного отдохнуть 🤪
1. Ищем интересный поддомен и эксплуатируем уязвимость в нем
2. При помощи веб-шелла попадаем на машину и ищем то, что поможет подключиться по ssh - берем user flag
3. Там где нашли креды от ssh, смотрим на порт
4. Подключаемся и ищем модуль, который поможет нам сделать что-то от рута - забираем root flag
В целом машина интересная и простая, но от райтапов и лаб пора немного отдохнуть 🤪
🔥6💯4❤🔥3❤1
Forwarded from CyberED
Впереди (относительно) длинные выходные – а значит можно уделить время планированию карьеры и обучению. Ловите подборку полезного:
Запись эфира с разбором профессий в ИБ
🎥 День 1 — Структура направлений и самые востребованные роли в Blue Team и InfraSec
🎥 День 2 — Ключевые специальности Red Team, AppSec, DevSecOps и GRC
Карьерные чек-листы и база компетенций
✔️ Чек-лист по старту в ИБ с перечнем базовых знаний и блоков для развития
✔️ Чек-лист по развитию пентестера: набор необходимых навыков и знаний
✔️ Чек-лист по развитию SOC аналитика
✔️ Чек-лист по развитию AppSec
Полезные материалы про старт карьеры
📖 Варианты старта в ИБ в статье от CISO
📖 Как новичку найти работу в пентесте и что включать в резюме – советы Егора Богомолова
📖 Лучшие типсы для багхантинга
Сохраняйте подборку 👆🏻
Please open Telegram to view this post
VIEW IN TELEGRAM
❤5🔥3✍1👀1🤝1
Меня часто спрашивают, а где делать лабы? Ниже список, где есть как готовые, так можно собрать и самому
PNETLab
https://pnetlab.com
EVE-NG
https://www.eve-ng.net
GNS3
https://www.gns3.com
Containerlab
https://containerlab.dev
GOAD (Game of Active Directory)
https://github.com/Orange-Cyberdefense/GOAD
DetectionLab
https://github.com/clong/DetectionLab
Hack The Box
https://www.hackthebox.com
TryHackMe
https://tryhackme.com
kind (Kubernetes in Docker)
https://kind.sigs.k8s.io
k3s
https://k3s.io
PNETLab
https://pnetlab.com
EVE-NG
https://www.eve-ng.net
GNS3
https://www.gns3.com
Containerlab
https://containerlab.dev
GOAD (Game of Active Directory)
https://github.com/Orange-Cyberdefense/GOAD
DetectionLab
https://github.com/clong/DetectionLab
Hack The Box
https://www.hackthebox.com
TryHackMe
https://tryhackme.com
kind (Kubernetes in Docker)
https://kind.sigs.k8s.io
k3s
https://k3s.io
❤8🔥5✍4
Forwarded from Kraken
🚀🔥 РОЗЫГРЫШ 6250 TENT от @m0nr0e21 ! 🔥🚀
Врываемся в воскресенье с мощным бустом от Kraken Academy и m0nr0e21!
Сегодня у вас есть шанс забрать 6 250 TENT — просто за одно действие 👇
✅ Условия максимально простые:
1. Совершите пополнение сегодня на любую сумму.
2. Всё! Вы автоматически участвуете в розыгрыше.
⏳ Итоги подведем уже завтра в 11:00 по МСК
Это отличный шанс увеличить свой баланс практически без усилий!
Удачи каждому участнику🍀
Врываемся в воскресенье с мощным бустом от Kraken Academy и m0nr0e21!
Сегодня у вас есть шанс забрать 6 250 TENT — просто за одно действие 👇
✅ Условия максимально простые:
1. Совершите пополнение сегодня на любую сумму.
2. Всё! Вы автоматически участвуете в розыгрыше.
⏳ Итоги подведем уже завтра в 11:00 по МСК
Это отличный шанс увеличить свой баланс практически без усилий!
Удачи каждому участнику
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥10❤7❤🔥5
HTB Season 10 - Interpreter
1. Получаем shell - https://www.vicarius.io/vsociety/posts/rce-in-mirth-connect-pt-ii-cve-2023-43208
2. Подключаемся к mysql и ищем креды для ssh - подключаемся и забираем user flag
3. Для получения рута смотрим вот это - ps aux | grep python
1. Получаем shell - https://www.vicarius.io/vsociety/posts/rce-in-mirth-connect-pt-ii-cve-2023-43208
2. Подключаемся к mysql и ищем креды для ssh - подключаемся и забираем user flag
3. Для получения рута смотрим вот это - ps aux | grep python
🔥5✍2❤1🤝1
Forwarded from Пост Лукацкого
This media is not supported in your browser
VIEW IN TELEGRAM
Ну что, с праздником всех причастных! А как защитники, как минимум, виртуального пространства, тут причастны все!
#юмор #видео
#юмор #видео
🎉6😁4🍾3🤝1
Forwarded from Kraken (f1ndmyn4m3)
Media is too big
VIEW IN TELEGRAM
Всем привет!
Как и обещали проводим розыгрыш среди участников. Победителей можете увидеть сами в ролике (надеюсь загрузится). Я решил что 1 приз на столько людей это как-то не слишком честно и слишком мал шанс, поэтому я разыграл 3 приза вместо одного. Победителями стали:
1.
2.
3.
Все остальные получат от 500 до 1000 TENT на счет, рандомно. Поэтому проигравших тут нет. Начислим TENT всем автоматом, в течение часа.
Как и обещали проводим розыгрыш среди участников. Победителей можете увидеть сами в ролике (надеюсь загрузится). Я решил что 1 приз на столько людей это как-то не слишком честно и слишком мал шанс, поэтому я разыграл 3 приза вместо одного. Победителями стали:
1.
Venako - получает 6250 TENT2.
CyberWatchDog - получает 4000 TENT3.
xKress - получает 3000 TENTВсе остальные получат от 500 до 1000 TENT на счет, рандомно. Поэтому проигравших тут нет. Начислим TENT всем автоматом, в течение часа.
🔥11❤🔥3💯3
macOS DFIR: Артефакты для реагирования на инциденты
https://github.com/st3l1n/awesome_dfir/blob/main/mac.md
Windows DFIR: Артефакты для реагирования на инциденты
https://github.com/st3l1n/awesome_dfir/blob/main/windows.md
https://github.com/st3l1n/awesome_dfir/blob/main/mac.md
Windows DFIR: Артефакты для реагирования на инциденты
https://github.com/st3l1n/awesome_dfir/blob/main/windows.md
❤6🔥3✍2
Ближайший месяц, а может и больше канал не буду вести точно, поэтому если кто был здесь из-за постоянных постов, можете отписаться.
Вернусь (возможно) когда-нибудь потом с чем-то (может быть) новым.
Спасибо всем, кто подписался за последний месяц и особенно за обратную связь. Она показала, что хотя бы направление было выбрано верное)
Вернусь (возможно) когда-нибудь потом с чем-то (может быть) новым.
Спасибо всем, кто подписался за последний месяц и особенно за обратную связь. Она показала, что хотя бы направление было выбрано верное)
❤🔥11🤔5😢4🔥3👍2💯1😭1