Герой, которого Готэм заслуживает, но не тот, который нужен городу сейчас
Ну что, погнали дальше погружаться в мир информационной безопасности, и в этот раз у нас на очереди достаточно специфичное направление – vCISO.Сам я узнал об этой сущности не так давно от одного хорошего знакомого и медиамагната.
Многие знают, кто такой CISO (Chief Information Security Officer), ну или точно слышали о его отечественном аналоге – директор по информационной безопасности. Этот человек отвечает за всю безопасность в компании, руководит процессами и ИБшниками, планирует бюджет, прорабатывает стратегию ИБ и вот это вот всё. Так вот, есть еще и его "виртуальная" версия – vCISO (Virtual Chief Information Security Officer).
По сути, это главный безопасник в формате аутсорс-консалтинга. Если у компании нет возможности сразу нанять директора по безопасности, а защититься хочется, то иногда прибегают к услугам vCISO. Этот человек (или группа людей) привлекается по контракту для того, чтобы выстроить те самые безопасные процессы, внедрить полезные практики, рассказать всему руководству и сотрудникам, что нужно делать и в каком порядке, планирует бюджет на реализацию всего вышесказанного и строит полноценный роадмап по повышению уровня зрелости ИБ заказчика.
По-дороге как раз и выявляются слабые места, формируются достижимые цели, строится модель угроз и рисков с учетом мер по их снижению. С законодательной точки зрения тоже всё приводится в порядок в соответствие с текущими нормативными документами и стандартами (152-ФЗ, GDPR, ISO 127001, ГОСТ 57580, PCI DSS и тд). Также прорабатываются планы по реагированию на возможные инциденты безопасности, проводится обучение всего персонала.
Но главное во всё это то, что всё делается под ключ и с экспертизой человека, который уже не раз проделывал всё вышеперечисленное в других компаниях или продуктах.
Сложно ли это – очень сложно. Справится ли с этим любой безопасник – точно нет, тут нужен очень твёрдый опыт и хорошая насмотренность. По сути, на кон ставится безопасность всей компании заказчика, и цена ошибки будет очень дорогой.
В общем, продолжаем развиваться, и когда-нибудь все мы станем теми самымигероями vCISO.
#Мнение
Твой Пакет Безопасности
Ну что, погнали дальше погружаться в мир информационной безопасности, и в этот раз у нас на очереди достаточно специфичное направление – vCISO.
Многие знают, кто такой CISO (Chief Information Security Officer), ну или точно слышали о его отечественном аналоге – директор по информационной безопасности. Этот человек отвечает за всю безопасность в компании, руководит процессами и ИБшниками, планирует бюджет, прорабатывает стратегию ИБ и вот это вот всё. Так вот, есть еще и его "виртуальная" версия – vCISO (Virtual Chief Information Security Officer).
По сути, это главный безопасник в формате аутсорс-консалтинга. Если у компании нет возможности сразу нанять директора по безопасности, а защититься хочется, то иногда прибегают к услугам vCISO. Этот человек (или группа людей) привлекается по контракту для того, чтобы выстроить те самые безопасные процессы, внедрить полезные практики, рассказать всему руководству и сотрудникам, что нужно делать и в каком порядке, планирует бюджет на реализацию всего вышесказанного и строит полноценный роадмап по повышению уровня зрелости ИБ заказчика.
По-дороге как раз и выявляются слабые места, формируются достижимые цели, строится модель угроз и рисков с учетом мер по их снижению. С законодательной точки зрения тоже всё приводится в порядок в соответствие с текущими нормативными документами и стандартами (152-ФЗ, GDPR, ISO 127001, ГОСТ 57580, PCI DSS и тд). Также прорабатываются планы по реагированию на возможные инциденты безопасности, проводится обучение всего персонала.
Но главное во всё это то, что всё делается под ключ и с экспертизой человека, который уже не раз проделывал всё вышеперечисленное в других компаниях или продуктах.
Сложно ли это – очень сложно. Справится ли с этим любой безопасник – точно нет, тут нужен очень твёрдый опыт и хорошая насмотренность. По сути, на кон ставится безопасность всей компании заказчика, и цена ошибки будет очень дорогой.
В общем, продолжаем развиваться, и когда-нибудь все мы станем теми самыми
#Мнение
Твой Пакет Безопасности
Куда это мы идём?
Одни ребята меня тут позвали рассказать что-то интересное на одну международную конференцию под названием Moscow Forensics Day '24. Само собой, это мероприятие уже давно есть в нашем календаре – ссылка.
Рассказывать буду примерно о том же, о чем не так давно писал в одной статье, которая вызвала ощутимый резонанс в одном из сообществ, но тем и интереснее. Выступать буду на второй день конфы (13 сентября), поэтому если кто-то забежит, то буду рад повидаться.
Твой Пакет Безопасности
Одни ребята меня тут позвали рассказать что-то интересное на одну международную конференцию под названием Moscow Forensics Day '24. Само собой, это мероприятие уже давно есть в нашем календаре – ссылка.
Рассказывать буду примерно о том же, о чем не так давно писал в одной статье, которая вызвала ощутимый резонанс в одном из сообществ, но тем и интереснее. Выступать буду на второй день конфы (13 сентября), поэтому если кто-то забежит, то буду рад повидаться.
Твой Пакет Безопасности
Ну вот и подошла к завершению эта неделя. Нашего с вами любимого дайджеста и открытки не будет (да, понимаю, вам больно и обидно), но тем слаще будет их следующее появление здесь.
На этой неделе было много рекламы в канале (и поверьте, следующая будет не легче). Похоже, что все начали загружать в маркетинг много денег после летнего застоя.
Надеюсь, что вы помните о моём отношении к рекламе, монетизации, и об ответственном подходе к фильтрации рекламного контента в канале.
Ну а вместо открытки и дайджеста ловите ссылку на запись последнего подкаста/эфира с RED, где мы с ребятами обсуждали тему кибербезопасности. И фотку из студии тоже ловите.
Всем мир!
На этой неделе было много рекламы в канале (и поверьте, следующая будет не легче). Похоже, что все начали загружать в маркетинг много денег после летнего застоя.
Надеюсь, что вы помните о моём отношении к рекламе, монетизации, и об ответственном подходе к фильтрации рекламного контента в канале.
Ну а вместо открытки и дайджеста ловите ссылку на запись последнего подкаста/эфира с RED, где мы с ребятами обсуждали тему кибербезопасности. И фотку из студии тоже ловите.
Всем мир!
Forwarded from Пакет Знаний | Кибербезопасность
Один хороший человек (с дипломом по криптоанализу) тут поделился ссылкой на шикарный плейлист для изучения того самого криптоанализа и криптографии.
Область знаний эта конечно максимально душная, но, если разобраться, то очень интересная. Я пробежался по верхам и кажется, что такая подача понятна будет многим, поэтому, если вы давно хотели размять свои мозги и не могли найти, чем это сделать, то вэлкам – ссылка
#BaseSecurity
Твой Пакет Знаний | Кибербезопасность
Область знаний эта конечно максимально душная, но, если разобраться, то очень интересная. Я пробежался по верхам и кажется, что такая подача понятна будет многим, поэтому, если вы давно хотели размять свои мозги и не могли найти, чем это сделать, то вэлкам – ссылка
#BaseSecurity
Твой Пакет Знаний | Кибербезопасность
YouTube
Лекция 1. Криптоанализ: история, философия, подходы.
Лекция 1 курса "Основы криптоанализа" в Computer Science клубе при НГУ, февраль 2020.
Лекции читает Наталья Николаевна Токарева, к.ф.-м.н., с.н.с. Института математики им. С.Л.Соболева, руководитель Лаборатории криптографии JetBrains Research, руководитель…
Лекции читает Наталья Николаевна Токарева, к.ф.-м.н., с.н.с. Института математики им. С.Л.Соболева, руководитель Лаборатории криптографии JetBrains Research, руководитель…
Вот это я понимаю функция
Помню, как во время обучения в университете у нас была пара дисциплин, посвященных прослушкам, шпионажу и вот этому вот всему (ЗИ по УТК, ПЭМИН и прочие душные аббревиатуры) с использованием всего, чего только можно – от вибраций на окнах и стаканах, до скрытых камер и микрофонов.
Лично мне всегда было скучно на этих лекциях и семинарах, так как к тому моменту учеба мне уже поднадоела, но, тем не менее, эта область кибербеза как раз таки очень романтичная и способна вдохновить многих. Но сегодня не об этом.
Сегодня о том, что в ближайшем будущем Xiaomi начнут выпускать смартфоны (а точнее обновление для своей операционной системы), которые смогут выявлять скрытые камеры (посредством сканирования wi-fi сигналов). Для этого существуют специальные приборы, которые на основе целого набора датчиков умеют выявлять скрытые прослушивающие и записывающие устройства, но если эта функция (хоть и не в полном объеме) будет встроена в наши смартфоны, то это же вообще великолепно.
Не то, чтобы я часто сталкивался с прослушкой или шпионажем, но я периодически натыкаюсь на рилсы и мемы о том, как кто-то находит такими приборами скрытые камеры в отелях, хостелах или даже обычных съемных квартирах, что, как минимум, весьма неприятно, а как максимум – опасно, и нарушает права этихдобряков людей.
В общем, так и живем.
#НовостьДня
Твой Пакет Безопасности
Помню, как во время обучения в университете у нас была пара дисциплин, посвященных прослушкам, шпионажу и вот этому вот всему (ЗИ по УТК, ПЭМИН и прочие душные аббревиатуры) с использованием всего, чего только можно – от вибраций на окнах и стаканах, до скрытых камер и микрофонов.
Лично мне всегда было скучно на этих лекциях и семинарах, так как к тому моменту учеба мне уже поднадоела, но, тем не менее, эта область кибербеза как раз таки очень романтичная и способна вдохновить многих. Но сегодня не об этом.
Сегодня о том, что в ближайшем будущем Xiaomi начнут выпускать смартфоны (а точнее обновление для своей операционной системы), которые смогут выявлять скрытые камеры (посредством сканирования wi-fi сигналов). Для этого существуют специальные приборы, которые на основе целого набора датчиков умеют выявлять скрытые прослушивающие и записывающие устройства, но если эта функция (хоть и не в полном объеме) будет встроена в наши смартфоны, то это же вообще великолепно.
Не то, чтобы я часто сталкивался с прослушкой или шпионажем, но я периодически натыкаюсь на рилсы и мемы о том, как кто-то находит такими приборами скрытые камеры в отелях, хостелах или даже обычных съемных квартирах, что, как минимум, весьма неприятно, а как максимум – опасно, и нарушает права этих
В общем, так и живем.
#НовостьДня
Твой Пакет Безопасности
А как часто вы обновляете свои пароли роутеры?
Сейчас попробуем разобрать одну душную новость на человеческом языке (ну хотя бы попробуем). Наверняка все вы знаете и помните роутеры марки D-Link, которые в одно время были чуть ли не монополистами на отечественном рынке, так как продавались буквально везде, стоили дешево, да еще и работали, даруялучи радиации волны вайфая в каждый дом. Так вот, они еще существуют. Ну а теперь к новости.
На днях во многих СМИ прогремела новость о том, что D-Link отказывается исправлять уязвимости безопасности в своих устройствах. Звучит громко, но сразу за заголовками градус обычно снижается. Что же произошло – энтузиасты из мира кибербезопасности нашли несколько уязвимостей в роутерах компании D-Link и опубликовали об этом информацию в своем (ну конечно же) гитхабе. Более того, сама компания у себя на сайте также разместила информацию об этом. И да, Длинк публично отказался исправлять эти уязвимости в своих устройствах (а дыры там нехилые).
Кажется, что ситуация все еще оправдывает эти громкие заголовки, но есть нюансы. Во-первых, эти роутеры настолько старые, что их уже давно перестали выпускать и продавать. Тут ситуация аналогичная Майкрософтам и Эпплу, которые также в какой-то момент времени просто перестают обновлять свои устаревшие устройства и операционные системы. Во-вторых, D-Link уже не первый раз так поступает со своими пользователями и продукцией, а тут еще и аргументы весомые. В-третьих, что интересно, для этих уязвимостей еще никто не опубликовал тот самый PoC (обычно это происходит почти сразу) – некую пошаговую инструкцию, подтверждающую реальность реализации уязвимости, в общем, алгоритм того, как надо ломать.
Вся проблема состоит в том, что мы крайне редко меняем роутеры у себя дома. Ну а про обновление прошивок на роутерах я вообще молчу. Так вот, это действительно проблема, так как взломав роутер можно не только начать бесплатно пользоваться чужим интернетом, но и подвергнуть опасности все устройства, которые к нему подключены. Поэтому, если вы давно не обновлялись, то это хороший повод об этом задуматься.
И да, об этой новости я узнал от одного хорошего подписчика, которому и передаю привет. Всем мир.
#Мнение
Твой Пакет Безопасности
Сейчас попробуем разобрать одну душную новость на человеческом языке (ну хотя бы попробуем). Наверняка все вы знаете и помните роутеры марки D-Link, которые в одно время были чуть ли не монополистами на отечественном рынке, так как продавались буквально везде, стоили дешево, да еще и работали, даруя
На днях во многих СМИ прогремела новость о том, что D-Link отказывается исправлять уязвимости безопасности в своих устройствах. Звучит громко, но сразу за заголовками градус обычно снижается. Что же произошло – энтузиасты из мира кибербезопасности нашли несколько уязвимостей в роутерах компании D-Link и опубликовали об этом информацию в своем (ну конечно же) гитхабе. Более того, сама компания у себя на сайте также разместила информацию об этом. И да, Длинк публично отказался исправлять эти уязвимости в своих устройствах (а дыры там нехилые).
Кажется, что ситуация все еще оправдывает эти громкие заголовки, но есть нюансы. Во-первых, эти роутеры настолько старые, что их уже давно перестали выпускать и продавать. Тут ситуация аналогичная Майкрософтам и Эпплу, которые также в какой-то момент времени просто перестают обновлять свои устаревшие устройства и операционные системы. Во-вторых, D-Link уже не первый раз так поступает со своими пользователями и продукцией, а тут еще и аргументы весомые. В-третьих, что интересно, для этих уязвимостей еще никто не опубликовал тот самый PoC (обычно это происходит почти сразу) – некую пошаговую инструкцию, подтверждающую реальность реализации уязвимости, в общем, алгоритм того, как надо ломать.
Вся проблема состоит в том, что мы крайне редко меняем роутеры у себя дома. Ну а про обновление прошивок на роутерах я вообще молчу. Так вот, это действительно проблема, так как взломав роутер можно не только начать бесплатно пользоваться чужим интернетом, но и подвергнуть опасности все устройства, которые к нему подключены. Поэтому, если вы давно не обновлялись, то это хороший повод об этом задуматься.
И да, об этой новости я узнал от одного хорошего подписчика, которому и передаю привет. Всем мир.
#Мнение
Твой Пакет Безопасности
Даёшь умную прослушку!
Как вы могли заметить по последним новостям, ребята из международного бигтеха (Амазон, Гугл, Bing и еще одна популярная большая синяя компания) просчиталисьно где и допустили оплошность. В сеть утекла информация (а точнее целая презентация) о том, что они сотрудничают с компанией CMG, которая предоставляет услуги по, внимание, Active Listening (активному подслушанию).
Эта технология основана на искусственном интеллекте, а нацелена она на то, чтобы улучшать алгоритмы таргетированной рекламы на основе всего, что говорит пользователь рядом с устройством – начиная со смартфонов и телевизоров, заканчивая любыми умными устройствами (в общем со всего, где есть микрофоны).
Ну а пока ребята из Amazon всячески отрицают информацию о том, что пользовались этой технологией, Гугл просто взял и удалил всю информацию, связывающую их с CMG со своих ресурсов. Но интернет помнит всё. При этом, в той самой опубликованной презентации было явно указано, что тот же Гугл сотрудничает с CMG уже более 11 лет.
В общем, так и живём.
Твой Пакет Безопасности
Как вы могли заметить по последним новостям, ребята из международного бигтеха (Амазон, Гугл, Bing и еще одна популярная большая синяя компания) просчитались
Эта технология основана на искусственном интеллекте, а нацелена она на то, чтобы улучшать алгоритмы таргетированной рекламы на основе всего, что говорит пользователь рядом с устройством – начиная со смартфонов и телевизоров, заканчивая любыми умными устройствами (в общем со всего, где есть микрофоны).
Ну а пока ребята из Amazon всячески отрицают информацию о том, что пользовались этой технологией, Гугл просто взял и удалил всю информацию, связывающую их с CMG со своих ресурсов. Но интернет помнит всё. При этом, в той самой опубликованной презентации было явно указано, что тот же Гугл сотрудничает с CMG уже более 11 лет.
В общем, так и живём.
Твой Пакет Безопасности
Forwarded from Пакет IT-Мемов
This media is not supported in your browser
VIEW IN TELEGRAM
Система Apple Intelligence с функцией “распознавания на экране”, когда пользователь открывает браузер Safari в режиме инкогнито, уменьшает яркость экрана и громкость звука на своем iPhone 16
#IT #ИБ
Твой Пакет Мемов
#IT #ИБ
Твой Пакет Мемов
Ну что, дорогие читатели, у меня к вам просьба 🤨
Я тут понял, что у меня мало чтива, поэтому накидайте, пожалуйста, в комментарии крутые телеграм-каналы, посвященные IT и ИБ 👇
Чем больше, тем лучше👍
Я тут понял, что у меня мало чтива, поэтому накидайте, пожалуйста, в комментарии крутые телеграм-каналы, посвященные IT и ИБ 👇
Чем больше, тем лучше
Please open Telegram to view this post
VIEW IN TELEGRAM
Кардшеринг
В общем, пока недовольные пешеходы и автомобилисты из разных разных городов нашей страны продолжают анархично разбрасывать электросамокаты и кричать на их владельцев, мошенники начали популяризировать мошенническую схему, которая построена на похожей концепции.
Раньше (ну и сейчас) мошенники промышляли покупкой доступов к чужим банковским счетам и картам. Делали они это либо для себя, либо для перепродажи другим нехорошим людям, например, "обнальщикам". Если кто не смотрел сериал Озарк (а я советую это сделать), то это вид мошенничества, связанный с незаконным обналичиванием денежных средств (чтобы не платить налоги, например). И да, люди действительно продавали мошенникам доступ к своим банковским сервисам, реально (читать с интонацией).
Так вот, теперь стало модным не выкупать такие доступы, а брать их в аренду. Ох уж этот современный мир по подписке. Логика та же – вы даете другим людям доступ, например, к своей банковской карте, а взамен получаете посуточную оплату на срок аренды. И да, люди действительно дают в аренду свои карты, реально (читать с интонацией).
Что происходит с картой дальше? Правильно – всё самое нелегальное и аморальное, что только придёт вам в голову. Во-первых, новоиспеченный бизнесмен (тот, кто сдал свою карту в аренду) становится дроппером, то есть соучастником всего того, что будет происходить дальше с банковским счетом. Ну а карта будет использоваться для чего-угодно – от сбора средств на несуществующую благотворительность до использования счета для вывода нелегально заработанных денег в крипту.
К сожалению, чаще всего на такое ведутся либо молодые ребята, либо пожилые люди, по одним и тем же причинам. Ну а вы, мои дорогие читатели, не поддавайтесь этим мимолетным искушениям, делитесь этой информацией с теми, кого это может коснуться, и не пытайтесь обмануть эту жизнь, обходя законы. Всем мир.
И да, термин "кардшеринг" из заголовка поста запатентован под другую существующую технологию (да, вы тоже должны об этом знать).
#Кибергигиена
Твой Пакет Безопасности
В общем, пока недовольные пешеходы и автомобилисты из разных разных городов нашей страны продолжают анархично разбрасывать электросамокаты и кричать на их владельцев, мошенники начали популяризировать мошенническую схему, которая построена на похожей концепции.
Раньше (ну и сейчас) мошенники промышляли покупкой доступов к чужим банковским счетам и картам. Делали они это либо для себя, либо для перепродажи другим нехорошим людям, например, "обнальщикам". Если кто не смотрел сериал Озарк (а я советую это сделать), то это вид мошенничества, связанный с незаконным обналичиванием денежных средств (чтобы не платить налоги, например). И да, люди действительно продавали мошенникам доступ к своим банковским сервисам, реально (читать с интонацией).
Так вот, теперь стало модным не выкупать такие доступы, а брать их в аренду. Ох уж этот современный мир по подписке. Логика та же – вы даете другим людям доступ, например, к своей банковской карте, а взамен получаете посуточную оплату на срок аренды. И да, люди действительно дают в аренду свои карты, реально (читать с интонацией).
Что происходит с картой дальше? Правильно – всё самое нелегальное и аморальное, что только придёт вам в голову. Во-первых, новоиспеченный бизнесмен (тот, кто сдал свою карту в аренду) становится дроппером, то есть соучастником всего того, что будет происходить дальше с банковским счетом. Ну а карта будет использоваться для чего-угодно – от сбора средств на несуществующую благотворительность до использования счета для вывода нелегально заработанных денег в крипту.
К сожалению, чаще всего на такое ведутся либо молодые ребята, либо пожилые люди, по одним и тем же причинам. Ну а вы, мои дорогие читатели, не поддавайтесь этим мимолетным искушениям, делитесь этой информацией с теми, кого это может коснуться, и не пытайтесь обмануть эту жизнь, обходя законы. Всем мир.
#Кибергигиена
Твой Пакет Безопасности
Берём ручки, открываем тетрадки и пишем жалобу
Что делать в случае взлома Госуслуг мы с вами уже обсудили (судя по репостам и реакциям, вам очень даже понравилось), так что теперь настало время поговорить о том, кому можнонаябедничать пожаловаться на то, что вас пытаются закибербулить обмануть в интернетах. Да, не факт, что это поможет, но шансы есть, и всегда нужно надеяться на лучшее (тем более, что даже идти никуда не надо.)
Ну поехали
- Пожаловаться на фишинг (если вы нашли где-то поддельный сайт) можно на Госуслугах (ссылка) или в Минцифры (ссылка)
- На что-то незаконное или противоправное в сети можно пожаловаться в РКН (ссылка)
- О преступлении можно сообщить в БСТМ МВД (ссылка), ГенПрокуратуру (ссылка) или в Следственный комитет (ссылка)
- Пожаловаться на SMS-спам (например, если у вас есть ощущение, что оператор связи слишком массово продал ваши данные) можно в Антимонопольную Службу (ссылка)
Ну и напоследок – если у вас возникают подозрения насчет того, что вам звонит мошенник, можете смело класть трубку и идти проверять его номер телефона вот тут – ссылка
#Полезное
Твой Пакет Безопасности
Что делать в случае взлома Госуслуг мы с вами уже обсудили (судя по репостам и реакциям, вам очень даже понравилось), так что теперь настало время поговорить о том, кому можно
Ну поехали
- Пожаловаться на фишинг (если вы нашли где-то поддельный сайт) можно на Госуслугах (ссылка) или в Минцифры (ссылка)
- На что-то незаконное или противоправное в сети можно пожаловаться в РКН (ссылка)
- О преступлении можно сообщить в БСТМ МВД (ссылка), ГенПрокуратуру (ссылка) или в Следственный комитет (ссылка)
- Пожаловаться на SMS-спам (например, если у вас есть ощущение, что оператор связи слишком массово продал ваши данные) можно в Антимонопольную Службу (ссылка)
Ну и напоследок – если у вас возникают подозрения насчет того, что вам звонит мошенник, можете смело класть трубку и идти проверять его номер телефона вот тут – ссылка
#Полезное
Твой Пакет Безопасности
Вот и подошла к концу очередная неделя нашей с вами жизни. Дайджеста в этот раз не будет, но про пару вещей упомянуть нужно.
Во-первых, тут ребята из Авиликса выложили ролик с награждения своего замечательного Pentest Award – ссылка.
Во-вторых, в эту пятницу я выступил с докладом на одной международной конференции по безопасности. Был рад повидаться со знакомыми лицами, познакомиться с новыми людьми и пообсуждать насущные темы. Словил на месте сразу 3 приглашения на разные мероприятия в роли спикера (было очень приятно). Поэтому и вы не стесняйтесь звать меняведущим на свои корпоративы.
В-третьих, мы тут с одним хорошим человеком решили сделать исследование зарплат в мире кибербеза, поэтому, если вы хотите также приложить к этому свою руку (конфиденциальность гарантирую), то вэлкам в личные сообщения.
Ну а мы продолжаем жить эту жизнь дальше. Всем добра.
Твой Пакет Безопасности
Во-первых, тут ребята из Авиликса выложили ролик с награждения своего замечательного Pentest Award – ссылка.
Во-вторых, в эту пятницу я выступил с докладом на одной международной конференции по безопасности. Был рад повидаться со знакомыми лицами, познакомиться с новыми людьми и пообсуждать насущные темы. Словил на месте сразу 3 приглашения на разные мероприятия в роли спикера (было очень приятно). Поэтому и вы не стесняйтесь звать меня
В-третьих, мы тут с одним хорошим человеком решили сделать исследование зарплат в мире кибербеза, поэтому, если вы хотите также приложить к этому свою руку (конфиденциальность гарантирую), то вэлкам в личные сообщения.
Ну а мы продолжаем жить эту жизнь дальше. Всем добра.
Твой Пакет Безопасности
А тебе уже писал бывший руководитель?
Наткнулся тут (не сам) на новую схему мошенничества с применением нашей любимой социальной инженерии. Злоумышленники пишут жертвам от имени их бывшего руководства (с поддельных телеграм-аккаунтов, например) с посылом о том, что в компании, где они вместе работали, произошла утечка данных, а произошла она тогда, когда жертва там работала. Дальше начинают упоминать, что сейчас проводится расследование со стороны МВД и ФСБ, и надо быть готовым к разговору с ними. Есть теория, что диалог с жертвами в мессенджерах ведет нейросеть, но это не точно.
Ну а дальше схема превращается в классическую – вам звонит человек с поставленной речью, представляется сотрудником органов и... после этого страдают либо ваши финансы, либо данные.
Как же ищут информацию о ваших местах работы и вашем руководстве? Всё очень просто – даже если не брать во внимание реально утёкшие базы сотрудников достаточно большого количества компаний, то можно просто взять, зайти на LinkedIn и посмотреть, кто, где и когда работал. Ну а еще можно оплатить аккаунт на hh и получить доступ ко всем резюме, где будет написано всё тоже самое, только пользоваться этим уже не так удобно, чтобы искать связи между жертвами и руководством.
В общем, будьте осторожны, особенно с бывшиминачальниками .
#Кибергигиена
Твой Пакет Безопасности
Наткнулся тут (не сам) на новую схему мошенничества с применением нашей любимой социальной инженерии. Злоумышленники пишут жертвам от имени их бывшего руководства (с поддельных телеграм-аккаунтов, например) с посылом о том, что в компании, где они вместе работали, произошла утечка данных, а произошла она тогда, когда жертва там работала. Дальше начинают упоминать, что сейчас проводится расследование со стороны МВД и ФСБ, и надо быть готовым к разговору с ними. Есть теория, что диалог с жертвами в мессенджерах ведет нейросеть, но это не точно.
Ну а дальше схема превращается в классическую – вам звонит человек с поставленной речью, представляется сотрудником органов и... после этого страдают либо ваши финансы, либо данные.
Как же ищут информацию о ваших местах работы и вашем руководстве? Всё очень просто – даже если не брать во внимание реально утёкшие базы сотрудников достаточно большого количества компаний, то можно просто взять, зайти на LinkedIn и посмотреть, кто, где и когда работал. Ну а еще можно оплатить аккаунт на hh и получить доступ ко всем резюме, где будет написано всё тоже самое, только пользоваться этим уже не так удобно, чтобы искать связи между жертвами и руководством.
В общем, будьте осторожны, особенно с бывшими
#Кибергигиена
Твой Пакет Безопасности
Нет, ну вы это видели?
В общем, сегодня без кибербезного контента, поэтому можете расслабиться и выдохнуть. Просто короткий пост по двум инфоповодам:
Во-первых, какой-то герой поставил платную реакцию под предыдущий пост!!!!!
Во-вторых, нас тут добавили в папку с другими каналами по кибербезопасности – ссылка (да, с первой новостью конечно же не сравнится, но тоже событие ). Не могу сказать, что знаком со всеми из этого списка, но видеть себя там приятно. И кстати, мы с вами там одни из самых больших 💪
В общем, не смею больше всех вас отвлекать, поэтому погнали жить эту жизнь дальше.
Твой Пакет Безопасности
В общем, сегодня без кибербезного контента, поэтому можете расслабиться и выдохнуть. Просто короткий пост по двум инфоповодам:
Во-первых, какой-то герой поставил платную реакцию под предыдущий пост!!!!!
Во-вторых, нас тут добавили в папку с другими каналами по кибербезопасности – ссылка (
В общем, не смею больше всех вас отвлекать, поэтому погнали жить эту жизнь дальше.
Твой Пакет Безопасности
Please open Telegram to view this post
VIEW IN TELEGRAM
Привет всем, как новоприбывшим, так и тем, кто со мной в этом канале уже давно 👋
Для новеньких – вот тут, тут, тут и тут можно подробнее почитать об этом канале, вот здесь можно поподробнее почитать обо мне. Ну а вот здесь можно узнать про менторство в мире кибербеза, если вдруг оно вам интересно (если нет, то я не обижусь,честно ).
Всем остальным хочется в очередной раз сказать большое спасибо за доверие и время, которые вы тратите на прочтение этих длинных (ну не прям длинных, скорее средних) постов 🤥
Напоминаю, что у нас теперь не один канал, а сразу несколько, и под разные задачи – вакансии, мероприятия, знания, ну и конечно же мемы.
Впереди нас ждёт еще масса всего полезного и интересного из мира безопасности, в том числе конкурсы, призы и авторские разборы разной годноты.
Ну вот и всё, я выговорился, всем мир!
Твой Пакет Безопасности
Для новеньких – вот тут, тут, тут и тут можно подробнее почитать об этом канале, вот здесь можно поподробнее почитать обо мне. Ну а вот здесь можно узнать про менторство в мире кибербеза, если вдруг оно вам интересно (если нет, то я не обижусь,
Всем остальным хочется в очередной раз сказать большое спасибо за доверие и время, которые вы тратите на прочтение этих длинных (ну не прям длинных, скорее средних) постов 🤥
Напоминаю, что у нас теперь не один канал, а сразу несколько, и под разные задачи – вакансии, мероприятия, знания, ну и конечно же мемы.
Впереди нас ждёт еще масса всего полезного и интересного из мира безопасности, в том числе конкурсы, призы и авторские разборы разной годноты.
Ну вот и всё, я выговорился, всем мир!
Твой Пакет Безопасности
Поперхнулся
ХэдХантер опубликовал у себя на сайте зарплатную статистику по профессии Специалист по информационной безопасности. Я сначала обрадовался тому, что у них дошли руки до кибербезопасников, а потом перешел по ссылке и не обрадовался.
Шок, отрицание, гнев, торг, депрессия и принятие. В общем, чтобы правильно воспринять эту статистику нужно учитывать несколько вещей:
- анализировались только вакансии с самого hh (что логично)
- анализировались только вакансии с указанным уровнем ЗП (что логично)
- анализировались только вакансии, в названии которых было написано "Специалист по информационной безопасности". То есть всякие DevSecOps-ы, Архитекторы ИБ, AppSec-ки не учитывались
Поначалу кажется, что зарплаты удручающие, но, если посмотреть внимательнее (на горизонтальный график со столбцами), то ситуация становится уже больше похожей на правду. Особенно, если учесть, что выборка из-за фильтров, которые я описал выше, очень уж маленькая и только по специалистам.
Нравится, что hh наконец-то добрался и до наших ролей. Надеюсь, что эта история будет развиваться и скоро появятся другие коллеги по цеху.
Твой Пакет Безопасности
ХэдХантер опубликовал у себя на сайте зарплатную статистику по профессии Специалист по информационной безопасности. Я сначала обрадовался тому, что у них дошли руки до кибербезопасников, а потом перешел по ссылке и не обрадовался.
Шок, отрицание, гнев, торг, депрессия и принятие. В общем, чтобы правильно воспринять эту статистику нужно учитывать несколько вещей:
- анализировались только вакансии с самого hh (что логично)
- анализировались только вакансии с указанным уровнем ЗП (что логично)
- анализировались только вакансии, в названии которых было написано "Специалист по информационной безопасности". То есть всякие DevSecOps-ы, Архитекторы ИБ, AppSec-ки не учитывались
Поначалу кажется, что зарплаты удручающие, но, если посмотреть внимательнее (на горизонтальный график со столбцами), то ситуация становится уже больше похожей на правду. Особенно, если учесть, что выборка из-за фильтров, которые я описал выше, очень уж маленькая и только по специалистам.
Нравится, что hh наконец-то добрался и до наших ролей. Надеюсь, что эта история будет развиваться и скоро появятся другие коллеги по цеху.
Твой Пакет Безопасности
Всем привет!
Сегодня без дайджеста (крепитесь, надо в него верить), так как новостей хватает.
Во-первых, нас уже больше 15 000 человек! Растем, развиваемся, дальше больше и вот это вот всё.
Во-вторых, я тут на прошлой неделе впервые попытался донести до восьмиклассников суть и ценность кибербезопасности – было очень сложно, необычно и интересно (есть даже фото-подтверждение).
В-третьих, вышла очередная статейка на тему того, как мы с одним человеком строили Secure by Design в одной компании – ссылка. Наверняка будет интересно всем тем, кто видит несовершенства в ИБ-подходах, у кого чешутся от этого руки, и тем, кто не боится внедрять какие-то практики, собирая грабли по-дороге.
Вроде ничего не забыл. Всем отличного завершения выходных👍
Твой Пакет Безопасности
Сегодня без дайджеста (крепитесь, надо в него верить), так как новостей хватает.
Во-первых, нас уже больше 15 000 человек! Растем, развиваемся, дальше больше и вот это вот всё.
Во-вторых, я тут на прошлой неделе впервые попытался донести до восьмиклассников суть и ценность кибербезопасности – было очень сложно, необычно и интересно (есть даже фото-подтверждение).
В-третьих, вышла очередная статейка на тему того, как мы с одним человеком строили Secure by Design в одной компании – ссылка. Наверняка будет интересно всем тем, кто видит несовершенства в ИБ-подходах, у кого чешутся от этого руки, и тем, кто не боится внедрять какие-то практики
Вроде ничего не забыл. Всем отличного завершения выходных
Твой Пакет Безопасности
Please open Telegram to view this post
VIEW IN TELEGRAM