DevSecOps

DevSecOps (Development + Security + Operations) — это подход, при котором безопасность (Sec) интегрируется в процессы разработки (Dev) и эксплуатации (Ops) на всех этапах жизненного цикла ПО.
DevSecOps-инженер — это специалист, который автоматизирует и внедряет практики безопасности в CI/CD-конвейер, обеспечивая защиту инфраструктуры, кода и данных без замедления процессов доставки ПО.

Чем занимается DevSecOps-инженер
Его главная задача — сделать безопасность неотъемлемой частью DevOps, а не отдельным этапом. В отличие от классических security-специалистов, DevSecOps работает с автоматизированными пайплайнами и инфраструктурой как код (IaC).

Основные обязанности
1. Интеграция security-инструментов в CI/CD:
- SAST/DAST/SCA (аналогично AppSec, но с упором на автоматизацию в сборках).
- Проверки инфраструктурного кода (Terraform, Ansible) на уязвимости (например, с помощью Checkov или Terrascan).
2. Защита облачной инфраструктуры:
- Настройка CSPM (Cloud Security Posture Management) — например, Prisma Cloud или AWS Security Hub.
- Мониторинг конфигураций облачных сервисов (AWS S3 buckets, IAM-ролей) на соответствие best practices.
3. Secrets Management:
- Контроль утечек данных (токены, пароли) через GitLeaks или HashiCorp Vault.
4. Контейнерная безопасность:
- Сканирование образов Docker на уязвимости (Trivy, Clair).
- Проверка Kubernetes-кластеров (Kube-bench, Falco).
5. Автоматизация комплаенса:
- Генерация отчетов для стандартов (GDPR, PCI DSS) с помощью OpenSCAP или Chef InSpec.
6. Мониторинг и реагирование:
- Настройка SIEM (Splunk, ELK) для детектирования аномалий в реальном времени.
- Интеграция с SOAR (например, TheHive) для автоматизированного реагирования.

---

Почему DevSecOps важен
Здесь думаю все очевидно, так как на этих ребятах порой держится вся безопасность в компаниях.

---

Как может выглядеть рабочий день DevSecOps-инженера
1. Проверка алертов от CSPM/SIEM, анализ ночных сканирований (например, уязвимостей в новых Docker-образах).
2. Работа с CI/CD:
- Доработка pipeline (например, добавление шага с Trivy для сканирования контейнеров).
- Разбор ложных срабатываний в SAST-отчетах (редко).
3. Облачная безопасность:
- Исправление мисконфигураций в AWS/GCP (например, публичный S3 bucket).
- Настройка политик доступа через IAM или Kubernetes RBAC.
4. Совместные задачи с DevOps:
- Внедрение принципа наименьших привилегий (PoLP) для сервисных аккаунтов.
- Оптимизация работы инструментов безопасности, чтобы не увеличивать время сборки.
5. Документирование:
- Обновление playbook-ов для реагирования на инциденты.
- Запись метрик (например, % уязвимых зависимостей в проектах).

---

Как стать DevSecOps-инженером
1. Базовые навыки:
- Опыт в DevOps (Docker, Kubernetes, Terraform, CI/CD).
- Понимание облачных платформ (AWS/GCP/Azure) и их нативных инструментов безопасности.
- Знание всего того, что было у AppSec-ов.
2. Инструменты:
- Сканирование кода: Semgrep, SonarQube.
- Cloud Security: Prisma Cloud, AWS GuardDuty.
- Контейнеры: Trivy, Anchore.
3. Практика:
- Развернуть небезопасный CI/CD (например, в GitLab) и защитить его.
- Пройти лабы от Pentester Academy (CloudSec, DevSecOps).
4. Сертификации:
- Certified DevSecOps Professional (CDP) — практический фокус.
- AWS Certified Security – Specialty — для облачных специалистов.

---

Суммируем
DevSecOps — это эволюция DevOps, где безопасность становится частью культуры. Если сравнивать с АппСек-ом и пытаться найти отличия, то чаще всего они заключаются в том, что DevSecOps встраивает и автоматизирует инструменты, а AppSec ими пользуется.

Также можно заметить, что на DevSecOps намного больше ответственности (инфраструктура, облака, продакшен). Чаще всего DevSecOps выступает в роли швейцарского ножа, который может закрыть практически любую потребности в ИБ. Отсюда такие зарплаты и спрос.

#ликбез

👨‍🏫 Менторство ИБ | Чат

Нейросетевой пентест

Тут на днях в нашего кибербота прилетел вопрос на тему полезного чтива об ML/AI в сфере наступательной безопасности и рэдтиминга. Подумал, что вам этот ответ тоже может быть полезен, поэтому ловите годный тред с Реддита по этому вопросу – ссылка

#Pentest #AI

🧠 Твой Пакет Знаний | 👨‍🏫 Менторство ИБ
📂 Другие каналы

Администратор/инженер СЗИ (средств защиты информации)

Специалист по СЗИ — это инженер, отвечающий за настройку, внедрение и поддержку технических и программных средств защиты информации в организации. Его задача — обеспечить конфиденциальность, целостность и доступность данных в соответствии с требованиями регуляторов и стандартов (ФСТЭК, ФСБ, GDPR, PCI DSS и др.).

Чем занимается инженер СЗИ?
Он работает с комплексными системами защиты, включая:
- Криптографию (VPN, шифрование данных, электронная подпись).
- Межсетевые экраны (МСЭ/Firewall) и системы обнаружения вторжений (IDS/IPS).
- DLP-системы (защита от утечек данных).
- Антивирусы и системы контроля доступа (СКУД).
- Аудит безопасности и расследование инцидентов.

Основные обязанности:
1. Развертывание и настройка СЗИ:
- Установка и конфигурация VPN, HIPS (Host-based IPS), SIEM (например, MaxPatrol, IBM QRadar).
- Настройка правил межсетевых экранов (Check Point, Fortinet).
2. Поддержка соответствия стандартам:
- Подготовка к проверкам ФСТЭК, ФСБ, ГОСТ Р 57580.
- Документирование политик безопасности (например, Политика ИБ по приказу №17 ФСТЭК).
3. Мониторинг и реагирование:
- Анализ логов SIEM, расследование инцидентов.
- Работа с DLP (например, SearchInform, DeviceLock) для предотвращения утечек.
4. Обучение сотрудников (редко):
- Проведение инструктажей по информационной безопасности.
5. Тестирование защищенности (редко):
- Проверка системы на соответствие Требованиям к СЗИ (например, для госсектора — Приказ №239 ФСТЭК).

---

Почему инженер СЗИ важен?
- Законодательные требования: Без сертифицированных СЗИ компании не могут работать с гостайной или персданными (152-ФЗ).
- Защита от кибератак: Правильно настроенные СЗИ блокируют до 90% стандартных атак (брутфорс, эксплойты, фишинг).
- Репутационные риски: Утечки данных ведут к штрафам и потере клиентов.

---

Как может выглядеть рабочий день инженера СЗИ?
1. Проверка алертов SIEM/DLP, анализ ночных событий (например, подозрительные попытки входа).
2. Работа с оборудованием:
- Обновление правил межсетевого экрана после согласования с сетевой командой.
- Настройка криптографических средств (например, ViPNet).
3. Документирование:
- Заполнение Журнала учета СЗИ (требование ФСТЭК).
- Подготовка отчета о выполнении Плана мероприятий по ИБ.
4. Совместные задачи:
- Участие в аттестации объекта (для госорганизаций).
- Тестирование нового антивируса (например, Kaspersky Endpoint Security).
5. ЧС и инциденты:
- Реагирование на утечку данных (блокировка учеток, анализ через DLP).
- Расследование срабатывания IDS (например, Suricata).

---

Как стать инженером СЗИ?
1. Базовые знания:
- Сети (TCP/IP, VLAN, VPN) и ОС (Windows Server, Linux).
- Основы криптографии (сертификаты, ГОСТ Р 34.10-2012).
- Нормативные документы (ФСТЭК, 152-ФЗ).
2. Инструменты:
- Российские СЗИ: ViPNet, Secret Net, Континент.
- Международные: Palo Alto, Cisco ASA, Splunk.
3. Сертификации:
- СДПО (ФСТЭК) — для работы с гостайной.
- CISSP — международный стандарт.
4. Практика:
- Стажировка в ЦОДах или госструктурах.
- Лабораторные работы с КриптоПро или Huawei Firewall.

---

Суммируем
Инженер СЗИ — это инженер, который обеспечивает защиту данных на уровне инфраструктуры. Работа требует знания нормативов, сетей и специализированного ПО.

Эта роль/направление в кибербезопасности с достаточно низким порогом вхождения, поэтому с нее начинают свой карьерный путь многие безопасники. После ее освоения можно свободно двигаться дальше в сторону других ролей, таких как DevSecOps, SOC L2/L3 и т.д.

#ликбез

👨‍🏫 Менторство ИБ | Чат

На GitHub не так много звездных ИБшных репозиториев, и это как раз один из них – ссылка

Собственно, это очередной агрегатор всего, что можно от AppSec и DevSecOps до пентеста и фишинга. Там и чеклисты, и инструменты, и фреймворки, и тактики, и даже лабораторные.

#AppSec #Pentest #DevSecOps #BaseSecurity #Network #web3

🧠 Твой Пакет Знаний | 👨‍🏫 Менторство ИБ
📂 Другие каналы

Пентестер

Пентестер — это этичный хакер, который легально взламывает системы, приложения и сети, чтобы найти уязвимости до того, как это сделают злоумышленники. Его цель — не навредить, а помочь устранить дыры в безопасности.

Чем занимается пентестер?
Он имитирует действия злоумышленника, но с разрешения владельца системы. В отличие от AppSec или DevSecOps, он не разрабатывает защиту, а ищет слабые места в уже работающих системах.

Основные направления пентеста:
1. Веб-приложения (Web Pentest) — поиск уязвимостей типа SQL-инъекций, XSS, CSRF (по стандарту OWASP Top 10).
2. Сети и инфраструктура (Network/Infra Pentest) — взлом серверов, маршрутизаторов, VPN.
3. Мобильные приложения (Mobile Pentest) — анализ iOS/Android-приложений на недостатки шифрования, логики работы.
4. Социальная инженерия — фишинг, телефонные атаки (vishing), проверка сотрудников на устойчивость к манипуляциям.
5. Физический пентест — попытки проникнуть в офис/ЦОД (например, под видом курьера).

---

Почему пентестеры важны?
- Обнаруживают то, что пропускают автоматические сканеры (логические уязвимости, 0-day).
- Помогают соответствовать стандартам (PCI DSS, ISO 27001 требуют регулярных пентестов).
- Предотвращают финансовые и репутационные потери (например, утечку данных клиентов).

---

Как может выглядеть рабочий день пентестера?
1. Планирование:
- Обсуждение скоупа (что можно тестировать, какие методы запрещены).
2. Разведка:
- Пассивная: сбор данных через Google Dorks, Shodan, WHOIS.
- Активная: сканирование портов (Nmap), поиск поддомов (Amass).
3. Атака:
- Использование инструментов (Metasploit, Burp Suite, Cobalt Strike).
- Попытки эксплуатации уязвимостей (например, через известные CVE).
4. Пост-эксплуатация:
- Закрепление доступа, перемещение по сети.
- Доказательство уязвимости (скриншоты, дампы данных).
5. Отчетность (репортинг):
- Описание уязвимостей, их критичности (CVSS-скоринг).
- Рекомендации по исправлению (например, "Обновить Apache до нужной версии").
6. Повторная проверка (ретест):
- Убедиться, что уязвимости устранены.

---

Как стать пентестером?
1. Базовые навыки:
- Сети (TCP/IP, DNS, HTTP), ОС (Linux, Windows).
- Основы программирования (Python, Bash).
- Понимание OWASP Top 10, MITRE ATT&CK.
2. Знание базовых инструментов
- Сканирование: Nmap, Nessus, OpenVAS.
- Веб: Burp Suite Pro, OWASP ZAP, SQLmap.
- Взлом сетей: Metasploit, Cobalt Strike, Impacket.
- Wi-Fi: Aircrack-ng, Wireshark.
- Социнженерия: SET (Social-Engineer Toolkit), Gophish.
- Отчетность: Dradis, Faraday, LaTeX-шаблоны.
3. Практика:
- Лабы: Hack The Box, TryHackMe, Vulnhub.
- Bug Bounty
4. Сертификации:
- OSCP (Offensive Security) — золотой стандарт для пентестеров.
- CEH (Ethical Hacker) — для базового понимания.
- eJPT — для новичков.
5. Софт-скиллы:
- Умение объяснять суть уязвимостей и тактики их эксплуатации как разработчикам, так и бизнесу.
- Креативность (поиск неочевидных векторов атаки).

---

Суммируем
Пентестер — это "белый хакер", сочетающий технические навыки, креативность и этику. Пожалуй, это самая романтизированная роль, которая еще и у всех на слуху. Ну кто не мечтал в детстве стать хакером? А тут и легально, и денег на жизнь хватать будет.

Пентест можно также использовать для входа в мир кибербезопасности, чтобы осознать, как работает наступательная безопасность, как может действовать злоумышленник и какие инструменты он для этого использует. Ну а позже уже можно либо расти в навыках, масштабируя свой доход карьерно и через БагБаунти, либо перемещаться на сторону защиты, в тот же AppSec.

#ликбез

👨‍🏫 Менторство ИБ | Чат

Мобильщики на месте?

Крутая, хоть и не самая свежая статья от ребят из Свордфиша на тему безопасности мобилок: инструменты анализа и защиты, уязвимости, нюансы операционок, подкасты на эту тему и даже CTFы. В общем, сборник полезных ссылок.

#Mobile

🧠 Твой Пакет Знаний | 👨‍🏫 Менторство ИБ
📂 Другие каналы

Смотрим, как нас будут атаковать

Держите плейбук, а точнее сшитые вместе кучу плейбуков с векторами атак по абсолютно разным направлениям кибербеза и IT: от цепочек поставок и дипфейков до зеродеев и IoT-а.

В общем, сюда запихнули почти все известные вам ИБшные термины.

#BaseSecurity

🧠 Твой Пакет Знаний | 👨‍🏫 Менторство ИБ
📂 Другие каналы

Вам тоже надоели бесконечные теоретические вопросы по OWASP TOP 10 на собеседованиях по абсолютно любому направлению в ИБ? А как насчет того, чтобы перейти от теории к практике?

Собственно, ребята, подарившие этому миру Snyk, сделали полноценный обучающий курс по OWASP TOP 10 для опенсорса. Там разобран каждый из 10 пунктов, приведены примеры сразу на 7 разных языках программирования со снипетами кода, квизами и вот этим вот всем.

А что самое главное – все это абсолютно бесплатно. Так что погнали смотреть – ссылка

🧠 Твой Пакет Знаний | 👨‍🏫 Менторство ИБ
📂 Другие каналы

Стрим с менторами

Настало время нового стрима среди наших менторов. В прошлый раз получилось недурно, а значит надо повторить.

В этот раз мы решили прожарить ваши резюме, поэтому присылайте их мне в личку – @romanpnn. Если вы не готовы к публичному деанону, то можете замазать все чувствительные данные в своих резюме/CV.

🗓 Стрим пройдет 20-го мая в 19:30 по мск
📍 Проведем стрим прямо в этом канале

В этот раз будет запись, которую чуть позже я выложу в канал. Свои вопросы можете также писать как в личку, так и в комментариях под этим постом. Если останется время, то ответим на них прямо на стриме.

👨‍🏫 Менторство ИБ | Чат

Выберите свой цвет

Сколько в мире людей, столько и мнений. Сколько в мире безопасников, столько и мнений насчет того: какие цвета в ИБ имеют право на жизнь, что входит в БлюТим, существует ли ПёрплТим, за что отвечают все остальные цвета, кроме синего и красного, куда делась белая команда и вот это вот всё.

Собственно, ловите разбивку по разноцветным каналам в кибербезе – ссылка. Тут достаточно подробно расписана та концепция, к которой у меня меньше всего вопросов.

#BaseSecurity

🧠 Твой Пакет Знаний | 👨‍🏫 Менторство ИБ
📂 Другие каналы

Я когда-то давно советовал в одном из чатиков бесплатный онлайн-курс по СОК от Эшелона. Вот на днях получил крайне положительную обратную связь от человека, который его прошел.

Поэтому теперь советую и вам – ссылка

#BaseSecurity #SOC

🧠 Твой Пакет Знаний | 👨‍🏫 Менторство ИБ
📂 Другие каналы

Мне тут через предложку напомнили о том, что Позитивы когда-то запарились и перевели могучую матрицу MITRE ATT&CK. И сделали они это кстати даже в более приятном интерфейсе, чем в оригинале, за что отдельное спасибо.

Так вот, оказывается они ее еще и продолжают поддерживать в актуальном состоянии – ссылка

Ну а за напоминалку спасибо @readonl7

#BaseSecurity

🧠 Твой Пакет Знаний | 👨‍🏫 Менторство ИБ
📂 Другие каналы

Запись стрима

Тема: Прожарка резюме
Кажется, что мы отлично провели время, покритиковали ваши резюме, пораздавали советов и обсудили, как начинать свою карьеру с Кофемании.

Ссылки на запись:
- 📹 Youtube
- 📺 VK Video
- 📺 Rutube

Всем еще раз спасибо за то, что зашли послушать и за вашу обратную связь.

👨‍🏫 Менторство ИБ | Чат

Хэлп

Ищу человека, который будет готов мне помочь с контентом в этом канале. Материалов полно, искать ничего не надо будет (только если вы захотите сами). Я целюсь примерно в 3 поста в неделю, но можно и больше.

Этот канал пока никак не монетизируется и таких планов у меня нет. Так что, если сможем договориться на формат с обменом вашего времени на мой опыт, то отлично. Если нужна будет какая-то доплата – обсудим.

Если тебе такое интересно, смело пиши мне в личные сообщения – @romanpnn. Если знаешь, кому такое может быть интересно – смело пересылай этот пост.

Всем мир.

UPD: найти такого человека оказалось сильно проще и быстрее, чем я думал. Всем большое спасибо за то, что написали, скоро всем отвечу ❤️

🧠 Твой Пакет Знаний | 👨‍🏫 Менторство ИБ
📂 Другие каналы

Ловите периодическую табличку инструментов DevOps.

Зачем она вам нужна? Я без понятия. Будете ли вы ей пользоваться? Маловероятно.

Но разок взглянуть, пробежаться по классам инструментов и выписать себе что-то, с чем вы еще не сталкивались – можно.

🧠 Твой Пакет Знаний | 👨‍🏫 Менторство ИБ
📂 Другие каналы

Полезное

Так и не понял, почему этот репозиторий называется роадмапом, но ловите – ссылка

По сути, это неплохой сборник ИБшных ролей с небольшим описанием внутри каждой из них. Где-то есть ссылки, где-то просто список навыков. В целом, для осознанных новичков этого более, чем достаточно, чтобы примерно прикинуть, чем нужно будет заниматься на той или иной позиции, и как к этому подготовиться.

👨‍🏫 Менторство ИБ | Чат

Ура, у меня дошли руки до исследования рынка кибербезопасности от Альфа-Банка. Мне все-таки кажется, что оно более бизнесовое и будет полезно в первую очередь тем, кто крутит нормальными бюджетами и рулит стратегией.

Само собой, радует то, что рынок кибербеза уже окончательно стал миллиардным и только продолжает расти. Одни компании скупают другие компании, взращиваются новые технологии, увеличивается емкость рынка, а бизнес все больше убеждается в том, что безопасность бывает не только "для галочки".

Ну а нам, обычным смертным, можно глянуть на раздел с перспективными технологиями (если вдруг вы забыли про вездесущий ИИ и избитую квантовую криптографию) и далее, начиная с 18 страницы. Как-то так.

⚡ Пакет Безопасности | 💬 Чат
🛍 Другие каналы

Практика, практика и ещё раз практика

Все вы уже наверняка знакомы с платформами по типу HackTheBox и TryHackMe. Они безусловно хороши для практики, но подойдут далеко не всем. И для этих не всех у нас сегодня есть небольшая подборка платформ для практики.

Ребята из Standoff выкатили платформу по Threat Intelligence. В бесплатной версии доступно 16 киберинцидентов, а в PRO версии будет открыт доступ к заданиям, сделанным на основе инцидентов с кибербитвы.

Ещё из вкусного для TI и всех интересующихся есть крутой квест, где вы в роли эксперта по кибербезопасности пытаетесь предотвратить кражу рецепта у компании по производству газировок.

И напоследок расскажу об интересной платформе для вирусных аналитиков и реверсеров. Здесь собраны практические задачки, разработанные вирусными аналитиками на основе реальных кейсов.

#Practice #SOC #TI

🧠 Твой Пакет Знаний | 👨‍🏫 Менторство ИБ
📂 Другие каналы

Стрим по безопасной архитектуре

Один мой старый приятель (@Goryachev_Sergey), который сейчас является руководителем проектов ИБ в Яндексе, решил поделиться с вами базой настоящего кибербеза. Он расскажет вам о безопасной архитектуре, на пальцах разберет, что такое аутентификация, авторизация, и какие с этим связаны токены и протоколы.

🗓 Когда: 11 июня в 19:30 по мск
📍 Где: как и всегда, прямо в этом канале в формате стрима
📹 Запись: будет ждать вас на наших каналах в YoutTube, Rutube и VK Видео

🧠 Твой Пакет Знаний | 👨‍🏫 Менторство ИБ
📂 Другие каналы

Если у вас, дорогие читатели и подписчики этого канала, тоже есть желание поделиться со всеми своими знаниями, закрепить это в истории и прокачать параллельно свою медийку, то не сдерживайте себя и пишите мне (@romanpnn) – все организуем 😙

🧠 Твой Пакет Знаний | 👨‍🏫 Менторство ИБ
📂 Другие каналы