Запись стрима
Тема: Почему вы пишете заметки неправильно
Автор: Ахманов Константин (@AloshkaCigan)
А вот и ссылки:
-📹 Youtube
-📺 VK Video
-📺 Rutube
Всем еще раз спасибо за то, что зашли послушать и за вашу обратную связь.
🧠 Твой Пакет Знаний | 👨🏫 Менторство ИБ
📂 Другие каналы
Тема: Почему вы пишете заметки неправильно
Автор: Ахманов Константин (@AloshkaCigan)
А вот и ссылки:
-
-
-
Всем еще раз спасибо за то, что зашли послушать и за вашу обратную связь.
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥15👍4🏆4🆒1
Не одним кибербезом едины, как говорится. Ловите достаточно неплохую подборку нейросетевых сервисов, которые решают узко-прикладные задачи.
Половина, как и всегда, работает через пень-колоду, но некоторые правда показывают себя лучше, чем попсовый ЧатГПТ. Если качество сильно пожмёт, то пишите, пришлю исходник.
🧠 Твой Пакет Знаний | 👨🏫 Менторство ИБ
📂 Другие каналы
Половина, как и всегда, работает через пень-колоду, но некоторые правда показывают себя лучше, чем попсовый ЧатГПТ. Если качество сильно пожмёт, то пишите, пришлю исходник.
Please open Telegram to view this post
VIEW IN TELEGRAM
👍7⚡2🫡2❤1🔥1🤩1
Please open Telegram to view this post
VIEW IN TELEGRAM
👍7👏2❤1🤝1
Ловите сборник бесплатных лабораторных – ссылка
Там и NGFW потыкать можно, и кое что из CCNA Security. Советую еще поковырять этот сайт, там много годноты.
#BaseSecurity #Network #Practice
🧠 Твой Пакет Знаний | 👨🏫 Менторство ИБ
📂 Другие каналы
Там и NGFW потыкать можно, и кое что из CCNA Security. Советую еще поковырять этот сайт, там много годноты.
#BaseSecurity #Network #Practice
Please open Telegram to view this post
VIEW IN TELEGRAM
⚡8👍6🔥4❤1🤩1
Forwarded from Пакет Безопасности
Бот для ваших вопросов
Я тут в рамках менторства решил сделать бота, с помощью которого любой желающий абсолютно бесплатно сможет задать свой вопрос по кибербезопасности или карьере в ИБ.
Ну а мы с менторами, по ту сторону бота, будем на эти вопросы отвечать. Чем точнее и конкретнее будет сформулирован вопрос, тем вероятнее мы сможем с ним помочь.
В чем смысл? Да в том, что:
1. Не у всех есть деньги на менторство или консультации, а далеко не все вопросы гуглятся и ресерчатся с помощью ChatGPT (особенно когда нет опыта и насмотренности).
2. В нашем чате или в комментариях к постам многие задать свой вопрос банально стесняются.
3. Да просто потому что эта мысль пришла мне в голову и потому что могу.
В общем, мы с менторами ждем ваших вопросов – @cybersec_help_bot
И помните самую главную пацанскую цитату из пабликов ВК – "Глупых вопросов не бывает. Глуп тот вопрос, который не был задан."🐺
Я тут в рамках менторства решил сделать бота, с помощью которого любой желающий абсолютно бесплатно сможет задать свой вопрос по кибербезопасности или карьере в ИБ.
Ну а мы с менторами, по ту сторону бота, будем на эти вопросы отвечать. Чем точнее и конкретнее будет сформулирован вопрос, тем вероятнее мы сможем с ним помочь.
В чем смысл? Да в том, что:
1. Не у всех есть деньги на менторство или консультации, а далеко не все вопросы гуглятся и ресерчатся с помощью ChatGPT (особенно когда нет опыта и насмотренности).
2. В нашем чате или в комментариях к постам многие задать свой вопрос банально стесняются.
3. Да просто потому что эта мысль пришла мне в голову и потому что могу.
В общем, мы с менторами ждем ваших вопросов – @cybersec_help_bot
И помните самую главную пацанскую цитату из пабликов ВК – "Глупых вопросов не бывает. Глуп тот вопрос, который не был задан."
Please open Telegram to view this post
VIEW IN TELEGRAM
Telegram
Кибербот | Пакет Безопасности
Этому боту ты можешь задавать несложные вопросы по ИБ и карьере, а мы с менторами будем пытаться тебе с ними помочь.
🔥9👍5🤩2⚡1
Я там в канале по менторству начал постить разборы ключевых направлений в кибербезе – роли, кто чем занимается, какие обязанности, почему та или иная роль важна, как может выглядеть рабочий день такого-то специалиста, как им стать и т.д.
Но тот канал закрытый и ссылки работать для большинства из вас не будут. Поэтому я решил, что буду сюда пересылать это добро, а потом соберу это все в одну статью и навигационный пост для удобства.
Как-то так.
🔥 – крутая идея!
🐳 – да я и так всё знаю!
Но тот канал закрытый и ссылки работать для большинства из вас не будут. Поэтому я решил, что буду сюда пересылать это добро, а потом соберу это все в одну статью и навигационный пост для удобства.
Как-то так.
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥33❤2🐳2🍓1
Начнем с АппСек-ов
Я тут недавно зацепился в чате с одним крутым безопасником на тему того, как вообще должен выглядеть Application Security инженер и кем он является на самом деле.
Его позиция заключалась в том, что АппСек должен брать на себя всё, что касается безопасности кода, компонентов и приложений, начиная от ревью фичей, заканчивая несложным пентестом. В общем, покрывать почти весь Secure SDLC.
Я же стоял на том, что на рынке сейчас подавляющее большинство ребят, которые умеют только уязвимости от SAST-ов триажить, антипаттерны в коде вылавливать и с безопасностью компонентов работать. И если брать шире, то начнет страдать качество и глубина погружения.
Ах да, и в его, и в моем случае им надо еще успевать общаться с разработчиками и пояснять им за безопасность.
Победителя, как понимаете, тут нет. Но на рынке сейчас правда существует две концепции АппСек-ов. Но я все еще остаюсь приверженцем подхода, в котором надо делать хоть и узко, но качественно. Либо учиться всему и сразу, но садиться за безопасность какого-нибудь одного продукта. Брать денег при этом надо сильно больше, как по мне.
Вот кстати можете еще глянуть доклад на эту тему – ссылка. Тут круто то, что девушка затронула вопрос того, что AppSec – это не только про мобилку и веб. Это еще и про такие специфики, как IoT, операционки и всё то, что могут производить на свет инженеры и разработчики.
В общем, смотрим и читаем разбор того самого направления👇
🧠 Твой Пакет Знаний | 👨🏫 Менторство ИБ
📂 Другие каналы
Я тут недавно зацепился в чате с одним крутым безопасником на тему того, как вообще должен выглядеть Application Security инженер и кем он является на самом деле.
Его позиция заключалась в том, что АппСек должен брать на себя всё, что касается безопасности кода, компонентов и приложений, начиная от ревью фичей, заканчивая несложным пентестом. В общем, покрывать почти весь Secure SDLC.
Я же стоял на том, что на рынке сейчас подавляющее большинство ребят, которые умеют только уязвимости от SAST-ов триажить, антипаттерны в коде вылавливать и с безопасностью компонентов работать. И если брать шире, то начнет страдать качество и глубина погружения.
Ах да, и в его, и в моем случае им надо еще успевать общаться с разработчиками и пояснять им за безопасность.
Победителя, как понимаете, тут нет. Но на рынке сейчас правда существует две концепции АппСек-ов. Но я все еще остаюсь приверженцем подхода, в котором надо делать хоть и узко, но качественно. Либо учиться всему и сразу, но садиться за безопасность какого-нибудь одного продукта. Брать денег при этом надо сильно больше, как по мне.
Вот кстати можете еще глянуть доклад на эту тему – ссылка. Тут круто то, что девушка затронула вопрос того, что AppSec – это не только про мобилку и веб. Это еще и про такие специфики, как IoT, операционки и всё то, что могут производить на свет инженеры и разработчики.
В общем, смотрим и читаем разбор того самого направления
Please open Telegram to view this post
VIEW IN TELEGRAM
❤7👍4🔥1
Forwarded from Менторство ИБ | Пакет Безопасности
AppSec
AppSec (Application Security) — это направление кибербезопасности, которое фокусируется на защите приложений (веб, мобильных, десктопных) от уязвимостей и атак.
AppSec-инженер — это специалист, который встраивает и отвечает за безопасность в процессе разработки программного обеспечения (ПО), чтобы предотвратить появление уязвимостей до того, как они станут проблемой и смогут быть проэксплуатированы плохими ребятами.
Чем занимается AppSec-инженер
Его главная задача — сделать так, чтобы приложение было/стало безопасным на этапе проектирования, разработки и тестирования. В отличие от пентестеров или этичных хакеров (которые ищут уже существующие дыры), AppSec-инженер старается предотвратить их появление.
Основные обязанности
1. Статический анализ кода (SAST) – автоматизированная проверка исходного кода на уязвимости (SQL-инъекции, XSS, десериализация и т. д.).
2. Динамический анализ (DAST) – тестирование работающего приложения (например, через сканеры вроде OWASP ZAP или Burp Suite).
3. Проверка зависимостей (SCA) – поиск уязвимых библиотек (например, через Dependency Track или Snyk).
4. Участие в Code Review – ручной анализ кода с точки зрения безопасности.
5. Консультации разработчиков – объяснение уязвимостей и способов (и что самое главное – ценности) их исправления.
6. (иногда) Настройка DevSecOps-процессов – интеграция инструментов безопасности в CI/CD (например, проверки в GitLab CI/GitHub Actions).
7. (иногда) Threat Modeling – анализ архитектуры приложения на потенциальные угрозы.
8. (иногда) Обучение команды – проведение тренингов по безопасной разработке (Secure Coding).
---
Почему AppSec важен
- Большинство атак начинаются с уязвимостей в приложениях (OWASP Top 10), которые можно предотвратить еще до того, как завершена разработка.
- Безопасность "на поздних этапах" дороже – проще исправить код до релиза, чем латать дыры в продакшене.
- Комплаенс и законы – многие стандарты (ГОСТы, PCI DSS, ISO 27001) требуют безопасной разработки.
---
Как может выглядеть рабочий день AppSec-инженера
1. Разбор отчетов со сканеров (SAST/DAST/SCA), приоритизация найденных уязвимостей.
2. Встреча с разработчиками – обсуждение критичных проблем (например, найденной SQL-инъекции).
3. Code Review (редко) – проверка merge/pull request’ов в Git.
4. Написание скриптов/правил – автоматизация проверок (например, кастомные правила для Semgrep).
5. Threat Modeling нового функционала – оценка рисков перед началом разработки.
6. Исследование новых инструментов – например, тестирование ShiftLeft или Checkmarx.
7. Документирование – обновление политик безопасности, написание гайдов для разработчиков.
---
Как стать AppSec-инженером
1. Базовые знания:
- Понимание OWASP Top 10.
- Опыт в разработке (хотя бы на базовом уровне, чтобы читать код).
- Знание сетевой безопасности (HTTP, TLS, аутентификация).
2. Инструменты:
- SAST: Semgrep, SonarQube, Checkmarx.
- DAST: OWASP ZAP, Burp Suite.
- SCA: Snyk, Dependency Track.
3. Практика:
- Участие в bug bounty.
- Лаборатории типа PortSwigger Web Security Academy.
4. Сертификации (не обязательны, но полезны на первых порах):
- Offensive Security Certified Professional (OSCP) – для углубленного понимания атак.
- Certified Secure Software Lifecycle Professional (CSSLP) – фокус на безопасную разработку.
---
Суммируем
AppSec — это мост между разработкой и безопасностью. Хороший AppSec-инженер не только ищет баги, но и помогает команде писать более безопасный код с самого начала. Нужно также учитывать, что разработчиков и самого кода становится все больше, а нейронки пока не научились заменять АппСек-ов, да и вакансий на рынке хватает.
В AppSec можно спокойно заходить тем, кто до этого занимался разработкой и тестированием. После освоения этой роли и получения некоторого опыта, можно смело двигаться в сторону уже более высокооплачиваемых DevSecOps-ов или AppSec Business Partner-ов.
#ликбез
👨🏫 Менторство ИБ | Чат
AppSec (Application Security) — это направление кибербезопасности, которое фокусируется на защите приложений (веб, мобильных, десктопных) от уязвимостей и атак.
AppSec-инженер — это специалист, который встраивает и отвечает за безопасность в процессе разработки программного обеспечения (ПО), чтобы предотвратить появление уязвимостей до того, как они станут проблемой и смогут быть проэксплуатированы плохими ребятами.
Чем занимается AppSec-инженер
Его главная задача — сделать так, чтобы приложение было/стало безопасным на этапе проектирования, разработки и тестирования. В отличие от пентестеров или этичных хакеров (которые ищут уже существующие дыры), AppSec-инженер старается предотвратить их появление.
Основные обязанности
1. Статический анализ кода (SAST) – автоматизированная проверка исходного кода на уязвимости (SQL-инъекции, XSS, десериализация и т. д.).
2. Динамический анализ (DAST) – тестирование работающего приложения (например, через сканеры вроде OWASP ZAP или Burp Suite).
3. Проверка зависимостей (SCA) – поиск уязвимых библиотек (например, через Dependency Track или Snyk).
4. Участие в Code Review – ручной анализ кода с точки зрения безопасности.
5. Консультации разработчиков – объяснение уязвимостей и способов (и что самое главное – ценности) их исправления.
6. (иногда) Настройка DevSecOps-процессов – интеграция инструментов безопасности в CI/CD (например, проверки в GitLab CI/GitHub Actions).
7. (иногда) Threat Modeling – анализ архитектуры приложения на потенциальные угрозы.
8. (иногда) Обучение команды – проведение тренингов по безопасной разработке (Secure Coding).
---
Почему AppSec важен
- Большинство атак начинаются с уязвимостей в приложениях (OWASP Top 10), которые можно предотвратить еще до того, как завершена разработка.
- Безопасность "на поздних этапах" дороже – проще исправить код до релиза, чем латать дыры в продакшене.
- Комплаенс и законы – многие стандарты (ГОСТы, PCI DSS, ISO 27001) требуют безопасной разработки.
---
Как может выглядеть рабочий день AppSec-инженера
1. Разбор отчетов со сканеров (SAST/DAST/SCA), приоритизация найденных уязвимостей.
2. Встреча с разработчиками – обсуждение критичных проблем (например, найденной SQL-инъекции).
3. Code Review (редко) – проверка merge/pull request’ов в Git.
4. Написание скриптов/правил – автоматизация проверок (например, кастомные правила для Semgrep).
5. Threat Modeling нового функционала – оценка рисков перед началом разработки.
6. Исследование новых инструментов – например, тестирование ShiftLeft или Checkmarx.
7. Документирование – обновление политик безопасности, написание гайдов для разработчиков.
---
Как стать AppSec-инженером
1. Базовые знания:
- Понимание OWASP Top 10.
- Опыт в разработке (хотя бы на базовом уровне, чтобы читать код).
- Знание сетевой безопасности (HTTP, TLS, аутентификация).
2. Инструменты:
- SAST: Semgrep, SonarQube, Checkmarx.
- DAST: OWASP ZAP, Burp Suite.
- SCA: Snyk, Dependency Track.
3. Практика:
- Участие в bug bounty.
- Лаборатории типа PortSwigger Web Security Academy.
4. Сертификации (не обязательны, но полезны на первых порах):
- Offensive Security Certified Professional (OSCP) – для углубленного понимания атак.
- Certified Secure Software Lifecycle Professional (CSSLP) – фокус на безопасную разработку.
---
Суммируем
AppSec — это мост между разработкой и безопасностью. Хороший AppSec-инженер не только ищет баги, но и помогает команде писать более безопасный код с самого начала. Нужно также учитывать, что разработчиков и самого кода становится все больше, а нейронки пока не научились заменять АппСек-ов, да и вакансий на рынке хватает.
В AppSec можно спокойно заходить тем, кто до этого занимался разработкой и тестированием. После освоения этой роли и получения некоторого опыта, можно смело двигаться в сторону уже более высокооплачиваемых DevSecOps-ов или AppSec Business Partner-ов.
#ликбез
Please open Telegram to view this post
VIEW IN TELEGRAM
❤6👍4🔥2💩2🤡1
Forwarded from Пакет Безопасности
Поиск работы в ИБ
Написал тут для вас (и не только) новую статейку о том, какие этапы ждут того, кто планирует начать искать работу в ИБ. Чтиво подойдет как для матерых специалистов, так и для тех, кто только заглядывает в этот чудный мир кибербезопасности.
Жестокие блиц-скрининги, торги за оффер, детектор лжи и всё в этом духе. Статья логично дополняет и продолжает тему прошлой про написание лучшего резюме в галактике.
Ну а вот и сама статья – ссылка
Лайк, шер, репост, как говорится👍
⚡ Пакет Безопасности | 💬 Чат
🛍 Другие каналы
Написал тут для вас (и не только) новую статейку о том, какие этапы ждут того, кто планирует начать искать работу в ИБ. Чтиво подойдет как для матерых специалистов, так и для тех, кто только заглядывает в этот чудный мир кибербезопасности.
Жестокие блиц-скрининги, торги за оффер, детектор лжи и всё в этом духе. Статья логично дополняет и продолжает тему прошлой про написание лучшего резюме в галактике.
Ну а вот и сама статья – ссылка
Лайк, шер, репост, как говорится
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥9❤🔥2🤝2🤡1
А давайте потыкаем, кто чем занимается в кибербезе (и занимается ли вообще)
Anonymous Poll
13%
AppSec или DevSecOps
10%
Архитектор ИБ или Security Business Partner
7%
SOC (L1, L2. L3) или Форензик
4%
Аудитор ИБ
14%
Инженер/администратор СЗИ
11%
Pentest/BugHunter/RedTeam
4%
Методолог/Комплаенс/DPO
1%
Антифрод
23%
Другое (IT)
12%
Другое (не IT)
Ну что, продолжаем наш разбор ролей и направлений в мире ИБ. В этот раз на очереди одни из самых обеспеченных ребят – DevSecOps 👇
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from Менторство ИБ | Пакет Безопасности
DevSecOps
DevSecOps (Development + Security + Operations) — это подход, при котором безопасность (Sec) интегрируется в процессы разработки (Dev) и эксплуатации (Ops) на всех этапах жизненного цикла ПО.
DevSecOps-инженер — это специалист, который автоматизирует и внедряет практики безопасности в CI/CD-конвейер, обеспечивая защиту инфраструктуры, кода и данных без замедления процессов доставки ПО.
Чем занимается DevSecOps-инженер
Его главная задача — сделать безопасность неотъемлемой частью DevOps, а не отдельным этапом. В отличие от классических security-специалистов, DevSecOps работает с автоматизированными пайплайнами и инфраструктурой как код (IaC).
Основные обязанности
1. Интеграция security-инструментов в CI/CD:
- SAST/DAST/SCA (аналогично AppSec, но с упором на автоматизацию в сборках).
- Проверки инфраструктурного кода (Terraform, Ansible) на уязвимости (например, с помощью Checkov или Terrascan).
2. Защита облачной инфраструктуры:
- Настройка CSPM (Cloud Security Posture Management) — например, Prisma Cloud или AWS Security Hub.
- Мониторинг конфигураций облачных сервисов (AWS S3 buckets, IAM-ролей) на соответствие best practices.
3. Secrets Management:
- Контроль утечек данных (токены, пароли) через GitLeaks или HashiCorp Vault.
4. Контейнерная безопасность:
- Сканирование образов Docker на уязвимости (Trivy, Clair).
- Проверка Kubernetes-кластеров (Kube-bench, Falco).
5. Автоматизация комплаенса:
- Генерация отчетов для стандартов (GDPR, PCI DSS) с помощью OpenSCAP или Chef InSpec.
6. Мониторинг и реагирование:
- Настройка SIEM (Splunk, ELK) для детектирования аномалий в реальном времени.
- Интеграция с SOAR (например, TheHive) для автоматизированного реагирования.
---
Почему DevSecOps важен
Здесь думаю все очевидно, так как на этих ребятах порой держится вся безопасность в компаниях.
---
Как может выглядеть рабочий день DevSecOps-инженера
1. Проверка алертов от CSPM/SIEM, анализ ночных сканирований (например, уязвимостей в новых Docker-образах).
2. Работа с CI/CD:
- Доработка pipeline (например, добавление шага с Trivy для сканирования контейнеров).
- Разбор ложных срабатываний в SAST-отчетах (редко).
3. Облачная безопасность:
- Исправление мисконфигураций в AWS/GCP (например, публичный S3 bucket).
- Настройка политик доступа через IAM или Kubernetes RBAC.
4. Совместные задачи с DevOps:
- Внедрение принципа наименьших привилегий (PoLP) для сервисных аккаунтов.
- Оптимизация работы инструментов безопасности, чтобы не увеличивать время сборки.
5. Документирование:
- Обновление playbook-ов для реагирования на инциденты.
- Запись метрик (например, % уязвимых зависимостей в проектах).
---
Как стать DevSecOps-инженером
1. Базовые навыки:
- Опыт в DevOps (Docker, Kubernetes, Terraform, CI/CD).
- Понимание облачных платформ (AWS/GCP/Azure) и их нативных инструментов безопасности.
- Знание всего того, что было у AppSec-ов.
2. Инструменты:
- Сканирование кода: Semgrep, SonarQube.
- Cloud Security: Prisma Cloud, AWS GuardDuty.
- Контейнеры: Trivy, Anchore.
3. Практика:
- Развернуть небезопасный CI/CD (например, в GitLab) и защитить его.
- Пройти лабы от Pentester Academy (CloudSec, DevSecOps).
4. Сертификации:
- Certified DevSecOps Professional (CDP) — практический фокус.
- AWS Certified Security – Specialty — для облачных специалистов.
---
Суммируем
DevSecOps — это эволюция DevOps, где безопасность становится частью культуры. Если сравнивать с АппСек-ом и пытаться найти отличия, то чаще всего они заключаются в том, что DevSecOps встраивает и автоматизирует инструменты, а AppSec ими пользуется.
Также можно заметить, что на DevSecOps намного больше ответственности (инфраструктура, облака, продакшен). Чаще всего DevSecOps выступает в роли швейцарского ножа, который может закрыть практически любую потребности в ИБ. Отсюда такие зарплаты и спрос.
#ликбез
👨🏫 Менторство ИБ | Чат
DevSecOps (Development + Security + Operations) — это подход, при котором безопасность (Sec) интегрируется в процессы разработки (Dev) и эксплуатации (Ops) на всех этапах жизненного цикла ПО.
DevSecOps-инженер — это специалист, который автоматизирует и внедряет практики безопасности в CI/CD-конвейер, обеспечивая защиту инфраструктуры, кода и данных без замедления процессов доставки ПО.
Чем занимается DevSecOps-инженер
Его главная задача — сделать безопасность неотъемлемой частью DevOps, а не отдельным этапом. В отличие от классических security-специалистов, DevSecOps работает с автоматизированными пайплайнами и инфраструктурой как код (IaC).
Основные обязанности
1. Интеграция security-инструментов в CI/CD:
- SAST/DAST/SCA (аналогично AppSec, но с упором на автоматизацию в сборках).
- Проверки инфраструктурного кода (Terraform, Ansible) на уязвимости (например, с помощью Checkov или Terrascan).
2. Защита облачной инфраструктуры:
- Настройка CSPM (Cloud Security Posture Management) — например, Prisma Cloud или AWS Security Hub.
- Мониторинг конфигураций облачных сервисов (AWS S3 buckets, IAM-ролей) на соответствие best practices.
3. Secrets Management:
- Контроль утечек данных (токены, пароли) через GitLeaks или HashiCorp Vault.
4. Контейнерная безопасность:
- Сканирование образов Docker на уязвимости (Trivy, Clair).
- Проверка Kubernetes-кластеров (Kube-bench, Falco).
5. Автоматизация комплаенса:
- Генерация отчетов для стандартов (GDPR, PCI DSS) с помощью OpenSCAP или Chef InSpec.
6. Мониторинг и реагирование:
- Настройка SIEM (Splunk, ELK) для детектирования аномалий в реальном времени.
- Интеграция с SOAR (например, TheHive) для автоматизированного реагирования.
---
Почему DevSecOps важен
Здесь думаю все очевидно, так как на этих ребятах порой держится вся безопасность в компаниях.
---
Как может выглядеть рабочий день DevSecOps-инженера
1. Проверка алертов от CSPM/SIEM, анализ ночных сканирований (например, уязвимостей в новых Docker-образах).
2. Работа с CI/CD:
- Доработка pipeline (например, добавление шага с Trivy для сканирования контейнеров).
- Разбор ложных срабатываний в SAST-отчетах (редко).
3. Облачная безопасность:
- Исправление мисконфигураций в AWS/GCP (например, публичный S3 bucket).
- Настройка политик доступа через IAM или Kubernetes RBAC.
4. Совместные задачи с DevOps:
- Внедрение принципа наименьших привилегий (PoLP) для сервисных аккаунтов.
- Оптимизация работы инструментов безопасности, чтобы не увеличивать время сборки.
5. Документирование:
- Обновление playbook-ов для реагирования на инциденты.
- Запись метрик (например, % уязвимых зависимостей в проектах).
---
Как стать DevSecOps-инженером
1. Базовые навыки:
- Опыт в DevOps (Docker, Kubernetes, Terraform, CI/CD).
- Понимание облачных платформ (AWS/GCP/Azure) и их нативных инструментов безопасности.
- Знание всего того, что было у AppSec-ов.
2. Инструменты:
- Сканирование кода: Semgrep, SonarQube.
- Cloud Security: Prisma Cloud, AWS GuardDuty.
- Контейнеры: Trivy, Anchore.
3. Практика:
- Развернуть небезопасный CI/CD (например, в GitLab) и защитить его.
- Пройти лабы от Pentester Academy (CloudSec, DevSecOps).
4. Сертификации:
- Certified DevSecOps Professional (CDP) — практический фокус.
- AWS Certified Security – Specialty — для облачных специалистов.
---
Суммируем
DevSecOps — это эволюция DevOps, где безопасность становится частью культуры. Если сравнивать с АппСек-ом и пытаться найти отличия, то чаще всего они заключаются в том, что DevSecOps встраивает и автоматизирует инструменты, а AppSec ими пользуется.
Также можно заметить, что на DevSecOps намного больше ответственности (инфраструктура, облака, продакшен). Чаще всего DevSecOps выступает в роли швейцарского ножа, который может закрыть практически любую потребности в ИБ. Отсюда такие зарплаты и спрос.
#ликбез
Please open Telegram to view this post
VIEW IN TELEGRAM
⚡5🔥5❤1
Нейросетевой пентест
Тут на днях в нашего кибербота прилетел вопрос на тему полезного чтива об ML/AI в сфере наступательной безопасности и рэдтиминга. Подумал, что вам этот ответ тоже может быть полезен, поэтому ловите годный тред с Реддита по этому вопросу – ссылка
#Pentest #AI
🧠 Твой Пакет Знаний | 👨🏫 Менторство ИБ
📂 Другие каналы
Тут на днях в нашего кибербота прилетел вопрос на тему полезного чтива об ML/AI в сфере наступательной безопасности и рэдтиминга. Подумал, что вам этот ответ тоже может быть полезен, поэтому ловите годный тред с Реддита по этому вопросу – ссылка
#Pentest #AI
Please open Telegram to view this post
VIEW IN TELEGRAM
❤4🤝3⚡2
Forwarded from Менторство ИБ | Пакет Безопасности
Администратор/инженер СЗИ (средств защиты информации)
Специалист по СЗИ — это инженер, отвечающий за настройку, внедрение и поддержку технических и программных средств защиты информации в организации. Его задача — обеспечить конфиденциальность, целостность и доступность данных в соответствии с требованиями регуляторов и стандартов (ФСТЭК, ФСБ, GDPR, PCI DSS и др.).
Чем занимается инженер СЗИ?
Он работает с комплексными системами защиты, включая:
- Криптографию (VPN, шифрование данных, электронная подпись).
- Межсетевые экраны (МСЭ/Firewall) и системы обнаружения вторжений (IDS/IPS).
- DLP-системы (защита от утечек данных).
- Антивирусы и системы контроля доступа (СКУД).
- Аудит безопасности и расследование инцидентов.
Основные обязанности:
1. Развертывание и настройка СЗИ:
- Установка и конфигурация VPN, HIPS (Host-based IPS), SIEM (например, MaxPatrol, IBM QRadar).
- Настройка правил межсетевых экранов (Check Point, Fortinet).
2. Поддержка соответствия стандартам:
- Подготовка к проверкам ФСТЭК, ФСБ, ГОСТ Р 57580.
- Документирование политик безопасности (например, Политика ИБ по приказу №17 ФСТЭК).
3. Мониторинг и реагирование:
- Анализ логов SIEM, расследование инцидентов.
- Работа с DLP (например, SearchInform, DeviceLock) для предотвращения утечек.
4. Обучение сотрудников (редко):
- Проведение инструктажей по информационной безопасности.
5. Тестирование защищенности (редко):
- Проверка системы на соответствие Требованиям к СЗИ (например, для госсектора — Приказ №239 ФСТЭК).
---
Почему инженер СЗИ важен?
- Законодательные требования: Без сертифицированных СЗИ компании не могут работать с гостайной или персданными (152-ФЗ).
- Защита от кибератак: Правильно настроенные СЗИ блокируют до 90% стандартных атак (брутфорс, эксплойты, фишинг).
- Репутационные риски: Утечки данных ведут к штрафам и потере клиентов.
---
Как может выглядеть рабочий день инженера СЗИ?
1. Проверка алертов SIEM/DLP, анализ ночных событий (например, подозрительные попытки входа).
2. Работа с оборудованием:
- Обновление правил межсетевого экрана после согласования с сетевой командой.
- Настройка криптографических средств (например, ViPNet).
3. Документирование:
- Заполнение Журнала учета СЗИ (требование ФСТЭК).
- Подготовка отчета о выполнении Плана мероприятий по ИБ.
4. Совместные задачи:
- Участие в аттестации объекта (для госорганизаций).
- Тестирование нового антивируса (например, Kaspersky Endpoint Security).
5. ЧС и инциденты:
- Реагирование на утечку данных (блокировка учеток, анализ через DLP).
- Расследование срабатывания IDS (например, Suricata).
---
Как стать инженером СЗИ?
1. Базовые знания:
- Сети (TCP/IP, VLAN, VPN) и ОС (Windows Server, Linux).
- Основы криптографии (сертификаты, ГОСТ Р 34.10-2012).
- Нормативные документы (ФСТЭК, 152-ФЗ).
2. Инструменты:
- Российские СЗИ: ViPNet, Secret Net, Континент.
- Международные: Palo Alto, Cisco ASA, Splunk.
3. Сертификации:
- СДПО (ФСТЭК) — для работы с гостайной.
- CISSP — международный стандарт.
4. Практика:
- Стажировка в ЦОДах или госструктурах.
- Лабораторные работы с КриптоПро или Huawei Firewall.
---
Суммируем
Инженер СЗИ — это инженер, который обеспечивает защиту данных на уровне инфраструктуры. Работа требует знания нормативов, сетей и специализированного ПО.
Эта роль/направление в кибербезопасности с достаточно низким порогом вхождения, поэтому с нее начинают свой карьерный путь многие безопасники. После ее освоения можно свободно двигаться дальше в сторону других ролей, таких как DevSecOps, SOC L2/L3 и т.д.
#ликбез
👨🏫 Менторство ИБ | Чат
Специалист по СЗИ — это инженер, отвечающий за настройку, внедрение и поддержку технических и программных средств защиты информации в организации. Его задача — обеспечить конфиденциальность, целостность и доступность данных в соответствии с требованиями регуляторов и стандартов (ФСТЭК, ФСБ, GDPR, PCI DSS и др.).
Чем занимается инженер СЗИ?
Он работает с комплексными системами защиты, включая:
- Криптографию (VPN, шифрование данных, электронная подпись).
- Межсетевые экраны (МСЭ/Firewall) и системы обнаружения вторжений (IDS/IPS).
- DLP-системы (защита от утечек данных).
- Антивирусы и системы контроля доступа (СКУД).
- Аудит безопасности и расследование инцидентов.
Основные обязанности:
1. Развертывание и настройка СЗИ:
- Установка и конфигурация VPN, HIPS (Host-based IPS), SIEM (например, MaxPatrol, IBM QRadar).
- Настройка правил межсетевых экранов (Check Point, Fortinet).
2. Поддержка соответствия стандартам:
- Подготовка к проверкам ФСТЭК, ФСБ, ГОСТ Р 57580.
- Документирование политик безопасности (например, Политика ИБ по приказу №17 ФСТЭК).
3. Мониторинг и реагирование:
- Анализ логов SIEM, расследование инцидентов.
- Работа с DLP (например, SearchInform, DeviceLock) для предотвращения утечек.
4. Обучение сотрудников (редко):
- Проведение инструктажей по информационной безопасности.
5. Тестирование защищенности (редко):
- Проверка системы на соответствие Требованиям к СЗИ (например, для госсектора — Приказ №239 ФСТЭК).
---
Почему инженер СЗИ важен?
- Законодательные требования: Без сертифицированных СЗИ компании не могут работать с гостайной или персданными (152-ФЗ).
- Защита от кибератак: Правильно настроенные СЗИ блокируют до 90% стандартных атак (брутфорс, эксплойты, фишинг).
- Репутационные риски: Утечки данных ведут к штрафам и потере клиентов.
---
Как может выглядеть рабочий день инженера СЗИ?
1. Проверка алертов SIEM/DLP, анализ ночных событий (например, подозрительные попытки входа).
2. Работа с оборудованием:
- Обновление правил межсетевого экрана после согласования с сетевой командой.
- Настройка криптографических средств (например, ViPNet).
3. Документирование:
- Заполнение Журнала учета СЗИ (требование ФСТЭК).
- Подготовка отчета о выполнении Плана мероприятий по ИБ.
4. Совместные задачи:
- Участие в аттестации объекта (для госорганизаций).
- Тестирование нового антивируса (например, Kaspersky Endpoint Security).
5. ЧС и инциденты:
- Реагирование на утечку данных (блокировка учеток, анализ через DLP).
- Расследование срабатывания IDS (например, Suricata).
---
Как стать инженером СЗИ?
1. Базовые знания:
- Сети (TCP/IP, VLAN, VPN) и ОС (Windows Server, Linux).
- Основы криптографии (сертификаты, ГОСТ Р 34.10-2012).
- Нормативные документы (ФСТЭК, 152-ФЗ).
2. Инструменты:
- Российские СЗИ: ViPNet, Secret Net, Континент.
- Международные: Palo Alto, Cisco ASA, Splunk.
3. Сертификации:
- СДПО (ФСТЭК) — для работы с гостайной.
- CISSP — международный стандарт.
4. Практика:
- Стажировка в ЦОДах или госструктурах.
- Лабораторные работы с КриптоПро или Huawei Firewall.
---
Суммируем
Инженер СЗИ — это инженер, который обеспечивает защиту данных на уровне инфраструктуры. Работа требует знания нормативов, сетей и специализированного ПО.
Эта роль/направление в кибербезопасности с достаточно низким порогом вхождения, поэтому с нее начинают свой карьерный путь многие безопасники. После ее освоения можно свободно двигаться дальше в сторону других ролей, таких как DevSecOps, SOC L2/L3 и т.д.
#ликбез
Please open Telegram to view this post
VIEW IN TELEGRAM
❤8👍6🔥3🤮1🫡1
На GitHub не так много звездных ИБшных репозиториев, и это как раз один из них – ссылка
Собственно, это очередной агрегатор всего, что можно от AppSec и DevSecOps до пентеста и фишинга. Там и чеклисты, и инструменты, и фреймворки, и тактики, и даже лабораторные.
#AppSec #Pentest #DevSecOps #BaseSecurity #Network #web3
🧠 Твой Пакет Знаний | 👨🏫 Менторство ИБ
📂 Другие каналы
Собственно, это очередной агрегатор всего, что можно от AppSec и DevSecOps до пентеста и фишинга. Там и чеклисты, и инструменты, и фреймворки, и тактики, и даже лабораторные.
#AppSec #Pentest #DevSecOps #BaseSecurity #Network #web3
Please open Telegram to view this post
VIEW IN TELEGRAM
❤🔥7👍5🔥4😍1🤝1
Forwarded from Менторство ИБ | Пакет Безопасности
Пентестер
Пентестер — это этичный хакер, который легально взламывает системы, приложения и сети, чтобы найти уязвимости до того, как это сделают злоумышленники. Его цель — не навредить, а помочь устранить дыры в безопасности.
Чем занимается пентестер?
Он имитирует действия злоумышленника, но с разрешения владельца системы. В отличие от AppSec или DevSecOps, он не разрабатывает защиту, а ищет слабые места в уже работающих системах.
Основные направления пентеста:
1. Веб-приложения (Web Pentest) — поиск уязвимостей типа SQL-инъекций, XSS, CSRF (по стандарту OWASP Top 10).
2. Сети и инфраструктура (Network/Infra Pentest) — взлом серверов, маршрутизаторов, VPN.
3. Мобильные приложения (Mobile Pentest) — анализ iOS/Android-приложений на недостатки шифрования, логики работы.
4. Социальная инженерия — фишинг, телефонные атаки (vishing), проверка сотрудников на устойчивость к манипуляциям.
5. Физический пентест — попытки проникнуть в офис/ЦОД (например, под видом курьера).
---
Почему пентестеры важны?
- Обнаруживают то, что пропускают автоматические сканеры (логические уязвимости, 0-day).
- Помогают соответствовать стандартам (PCI DSS, ISO 27001 требуют регулярных пентестов).
- Предотвращают финансовые и репутационные потери (например, утечку данных клиентов).
---
Как может выглядеть рабочий день пентестера?
1. Планирование:
- Обсуждение скоупа (что можно тестировать, какие методы запрещены).
2. Разведка:
- Пассивная: сбор данных через Google Dorks, Shodan, WHOIS.
- Активная: сканирование портов (Nmap), поиск поддомов (Amass).
3. Атака:
- Использование инструментов (Metasploit, Burp Suite, Cobalt Strike).
- Попытки эксплуатации уязвимостей (например, через известные CVE).
4. Пост-эксплуатация:
- Закрепление доступа, перемещение по сети.
- Доказательство уязвимости (скриншоты, дампы данных).
5. Отчетность (репортинг):
- Описание уязвимостей, их критичности (CVSS-скоринг).
- Рекомендации по исправлению (например, "Обновить Apache до нужной версии").
6. Повторная проверка (ретест):
- Убедиться, что уязвимости устранены.
---
Как стать пентестером?
1. Базовые навыки:
- Сети (TCP/IP, DNS, HTTP), ОС (Linux, Windows).
- Основы программирования (Python, Bash).
- Понимание OWASP Top 10, MITRE ATT&CK.
2. Знание базовых инструментов
- Сканирование: Nmap, Nessus, OpenVAS.
- Веб: Burp Suite Pro, OWASP ZAP, SQLmap.
- Взлом сетей: Metasploit, Cobalt Strike, Impacket.
- Wi-Fi: Aircrack-ng, Wireshark.
- Социнженерия: SET (Social-Engineer Toolkit), Gophish.
- Отчетность: Dradis, Faraday, LaTeX-шаблоны.
3. Практика:
- Лабы: Hack The Box, TryHackMe, Vulnhub.
- Bug Bounty
4. Сертификации:
- OSCP (Offensive Security) — золотой стандарт для пентестеров.
- CEH (Ethical Hacker) — для базового понимания.
- eJPT — для новичков.
5. Софт-скиллы:
- Умение объяснять суть уязвимостей и тактики их эксплуатации как разработчикам, так и бизнесу.
- Креативность (поиск неочевидных векторов атаки).
---
Суммируем
Пентестер — это "белый хакер", сочетающий технические навыки, креативность и этику. Пожалуй, это самая романтизированная роль, которая еще и у всех на слуху. Ну кто не мечтал в детстве стать хакером? А тут и легально, и денег на жизнь хватать будет.
Пентест можно также использовать для входа в мир кибербезопасности, чтобы осознать, как работает наступательная безопасность, как может действовать злоумышленник и какие инструменты он для этого использует. Ну а позже уже можно либо расти в навыках, масштабируя свой доход карьерно и через БагБаунти, либо перемещаться на сторону защиты, в тот же AppSec.
#ликбез
👨🏫 Менторство ИБ | Чат
Пентестер — это этичный хакер, который легально взламывает системы, приложения и сети, чтобы найти уязвимости до того, как это сделают злоумышленники. Его цель — не навредить, а помочь устранить дыры в безопасности.
Чем занимается пентестер?
Он имитирует действия злоумышленника, но с разрешения владельца системы. В отличие от AppSec или DevSecOps, он не разрабатывает защиту, а ищет слабые места в уже работающих системах.
Основные направления пентеста:
1. Веб-приложения (Web Pentest) — поиск уязвимостей типа SQL-инъекций, XSS, CSRF (по стандарту OWASP Top 10).
2. Сети и инфраструктура (Network/Infra Pentest) — взлом серверов, маршрутизаторов, VPN.
3. Мобильные приложения (Mobile Pentest) — анализ iOS/Android-приложений на недостатки шифрования, логики работы.
4. Социальная инженерия — фишинг, телефонные атаки (vishing), проверка сотрудников на устойчивость к манипуляциям.
5. Физический пентест — попытки проникнуть в офис/ЦОД (например, под видом курьера).
---
Почему пентестеры важны?
- Обнаруживают то, что пропускают автоматические сканеры (логические уязвимости, 0-day).
- Помогают соответствовать стандартам (PCI DSS, ISO 27001 требуют регулярных пентестов).
- Предотвращают финансовые и репутационные потери (например, утечку данных клиентов).
---
Как может выглядеть рабочий день пентестера?
1. Планирование:
- Обсуждение скоупа (что можно тестировать, какие методы запрещены).
2. Разведка:
- Пассивная: сбор данных через Google Dorks, Shodan, WHOIS.
- Активная: сканирование портов (Nmap), поиск поддомов (Amass).
3. Атака:
- Использование инструментов (Metasploit, Burp Suite, Cobalt Strike).
- Попытки эксплуатации уязвимостей (например, через известные CVE).
4. Пост-эксплуатация:
- Закрепление доступа, перемещение по сети.
- Доказательство уязвимости (скриншоты, дампы данных).
5. Отчетность (репортинг):
- Описание уязвимостей, их критичности (CVSS-скоринг).
- Рекомендации по исправлению (например, "Обновить Apache до нужной версии").
6. Повторная проверка (ретест):
- Убедиться, что уязвимости устранены.
---
Как стать пентестером?
1. Базовые навыки:
- Сети (TCP/IP, DNS, HTTP), ОС (Linux, Windows).
- Основы программирования (Python, Bash).
- Понимание OWASP Top 10, MITRE ATT&CK.
2. Знание базовых инструментов
- Сканирование: Nmap, Nessus, OpenVAS.
- Веб: Burp Suite Pro, OWASP ZAP, SQLmap.
- Взлом сетей: Metasploit, Cobalt Strike, Impacket.
- Wi-Fi: Aircrack-ng, Wireshark.
- Социнженерия: SET (Social-Engineer Toolkit), Gophish.
- Отчетность: Dradis, Faraday, LaTeX-шаблоны.
3. Практика:
- Лабы: Hack The Box, TryHackMe, Vulnhub.
- Bug Bounty
4. Сертификации:
- OSCP (Offensive Security) — золотой стандарт для пентестеров.
- CEH (Ethical Hacker) — для базового понимания.
- eJPT — для новичков.
5. Софт-скиллы:
- Умение объяснять суть уязвимостей и тактики их эксплуатации как разработчикам, так и бизнесу.
- Креативность (поиск неочевидных векторов атаки).
---
Суммируем
Пентестер — это "белый хакер", сочетающий технические навыки, креативность и этику. Пожалуй, это самая романтизированная роль, которая еще и у всех на слуху. Ну кто не мечтал в детстве стать хакером? А тут и легально, и денег на жизнь хватать будет.
Пентест можно также использовать для входа в мир кибербезопасности, чтобы осознать, как работает наступательная безопасность, как может действовать злоумышленник и какие инструменты он для этого использует. Ну а позже уже можно либо расти в навыках, масштабируя свой доход карьерно и через БагБаунти, либо перемещаться на сторону защиты, в тот же AppSec.
#ликбез
Please open Telegram to view this post
VIEW IN TELEGRAM
❤6🔥4👍2🤝2⚡1
Мобильщики на месте?
Крутая, хоть и не самая свежая статья от ребят из Свордфиша на тему безопасности мобилок: инструменты анализа и защиты, уязвимости, нюансы операционок, подкасты на эту тему и даже CTFы. В общем, сборник полезных ссылок.
#Mobile
🧠 Твой Пакет Знаний | 👨🏫 Менторство ИБ
📂 Другие каналы
Крутая, хоть и не самая свежая статья от ребят из Свордфиша на тему безопасности мобилок: инструменты анализа и защиты, уязвимости, нюансы операционок, подкасты на эту тему и даже CTFы. В общем, сборник полезных ссылок.
#Mobile
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥5❤1👍1
2025 attacks playbook.pdf
882.1 KB
Смотрим, как нас будут атаковать
Держите плейбук, а точнее сшитые вместе кучу плейбуков с векторами атак по абсолютно разным направлениям кибербеза и IT: от цепочек поставок и дипфейков до зеродеев и IoT-а.
В общем, сюда запихнули почти все известные вам ИБшные термины.
#BaseSecurity
🧠 Твой Пакет Знаний | 👨🏫 Менторство ИБ
📂 Другие каналы
Держите плейбук, а точнее сшитые вместе кучу плейбуков с векторами атак по абсолютно разным направлениям кибербеза и IT: от цепочек поставок и дипфейков до зеродеев и IoT-а.
В общем, сюда запихнули почти все известные вам ИБшные термины.
#BaseSecurity
Please open Telegram to view this post
VIEW IN TELEGRAM
❤7🔥3🍓2🫡1
Вам тоже надоели бесконечные теоретические вопросы по OWASP TOP 10 на собеседованиях по абсолютно любому направлению в ИБ? А как насчет того, чтобы перейти от теории к практике?
Собственно, ребята, подарившие этому миру Snyk, сделали полноценный обучающий курс по OWASP TOP 10 для опенсорса. Там разобран каждый из 10 пунктов, приведены примеры сразу на 7 разных языках программирования со снипетами кода, квизами и вот этим вот всем.
А что самое главное – все это абсолютно бесплатно. Так что погнали смотреть – ссылка
🧠 Твой Пакет Знаний | 👨🏫 Менторство ИБ
📂 Другие каналы
Собственно, ребята, подарившие этому миру Snyk, сделали полноценный обучающий курс по OWASP TOP 10 для опенсорса. Там разобран каждый из 10 пунктов, приведены примеры сразу на 7 разных языках программирования со снипетами кода, квизами и вот этим вот всем.
А что самое главное – все это абсолютно бесплатно. Так что погнали смотреть – ссылка
Please open Telegram to view this post
VIEW IN TELEGRAM
👍10👏2❤1🔥1🙏1
Forwarded from Менторство ИБ | Пакет Безопасности
Стрим с менторами
Настало время нового стрима среди наших менторов. В прошлый раз получилось недурно, а значит надо повторить.
В этот раз мы решили прожарить ваши резюме, поэтому присылайте их мне в личку – @romanpnn. Если вы не готовы к публичному деанону, то можете замазать все чувствительные данные в своих резюме/CV.
🗓 Стрим пройдет 20-го мая в 19:30 по мск
📍 Проведем стрим прямо в этом канале
В этот раз будет запись, которую чуть позже я выложу в канал. Свои вопросы можете также писать как в личку, так и в комментариях под этим постом. Если останется время, то ответим на них прямо на стриме.
👨🏫 Менторство ИБ | Чат
Настало время нового стрима среди наших менторов. В прошлый раз получилось недурно, а значит надо повторить.
В этот раз мы решили прожарить ваши резюме, поэтому присылайте их мне в личку – @romanpnn. Если вы не готовы к публичному деанону, то можете замазать все чувствительные данные в своих резюме/CV.
В этот раз будет запись, которую чуть позже я выложу в канал. Свои вопросы можете также писать как в личку, так и в комментариях под этим постом. Если останется время, то ответим на них прямо на стриме.
Please open Telegram to view this post
VIEW IN TELEGRAM
👍3❤1🤩1💘1