Продолжаем тему безопасности микросервисной архитектуры. Сегодня у нас на очереди годная статья от одного известного в узких кругах безопасника про Service Mesh и про то, как его приручить – ссылка
Там и про Istio, и про mTLS, и про то, как все это провернуть в реальной жизни.
#DevSecOps #BaseSecurity
🧠 Твой Пакет Знаний | 👨🏫 Менторство ИБ
📂 Другие каналы
Там и про Istio, и про mTLS, и про то, как все это провернуть в реальной жизни.
#DevSecOps #BaseSecurity
Please open Telegram to view this post
VIEW IN TELEGRAM
Хабр
Service Mesh в дикой природе или как не стать жертвой атак
Введение Угрозы безопасности в Service Mesh 1. Ошибки конфигурации и человеческий фактор 2. Атаки на контрольную плоскость (control plane) 3. Обход sidecar-прокси (атаки на data plane) 4....
Обзор_рынка_ИБ_2024.pdf
6.8 MB
Обзор рынка ИБ
Инфосистемы Джет выпустили "Обзор рынка информационной безопасности за 2024 год". Букв конечно много, но если читать по-диагонали, то самое то.
Во-первых, там на 5-ой странице красивая схемка. Во-вторых, отчет действительно крутой, так как там разобраны практически все домены ИБ, как оно реализовано в существующих компаниях, и на каких решениях это все строится.
Будет полезно как новичкам для наработки насмотренности, так и прожженным менеджерам, которым все это ИБ еще надо строить.
#BaseSecurity
🧠 Твой Пакет Знаний | 👨🏫 Менторство ИБ
📂 Другие каналы
Инфосистемы Джет выпустили "Обзор рынка информационной безопасности за 2024 год". Букв конечно много, но если читать по-диагонали, то самое то.
Во-первых, там на 5-ой странице красивая схемка. Во-вторых, отчет действительно крутой, так как там разобраны практически все домены ИБ, как оно реализовано в существующих компаниях, и на каких решениях это все строится.
Будет полезно как новичкам для наработки насмотренности, так и прожженным менеджерам, которым все это ИБ еще надо строить.
#BaseSecurity
Please open Telegram to view this post
VIEW IN TELEGRAM
Nmap здорового человека
Наконец-то кто-то сел и сделал это – красивую и функциональную оболочку для Nmap-а, которым все еще продолжает пользоваться вся планета. Ну вы только посмотрите, как это красиво и удобно.
Да, придется запариться и поставить себе комбайн из SQLite и Графаны, но на долгосрок оно того точно стоит. Нюанс заключается в том, что это лишает инструмент его ключевой особенности в виде легковесности, но выглядит то красиво!
Называется эта годнота nmap-did-what, а пощупать ее можно вот тут – ссылка
#BaseSecurity #Network #Pentest
🧠 Твой Пакет Знаний | 👨🏫 Менторство ИБ
📂 Другие каналы
Наконец-то кто-то сел и сделал это – красивую и функциональную оболочку для Nmap-а, которым все еще продолжает пользоваться вся планета. Ну вы только посмотрите, как это красиво и удобно.
Да, придется запариться и поставить себе комбайн из SQLite и Графаны, но на долгосрок оно того точно стоит. Нюанс заключается в том, что это лишает инструмент его ключевой особенности в виде легковесности, но выглядит то красиво!
Называется эта годнота nmap-did-what, а пощупать ее можно вот тут – ссылка
#BaseSecurity #Network #Pentest
Please open Telegram to view this post
VIEW IN TELEGRAM
Как OSINT-еры телеграм-каналы исследуют
Тема полутехническая, а OSINT и форензику мы в этом канале вообще затрагиваем крайне редко, но доклад правда достойный. Так что советую глянуть, особенно если у вас есть свой Телеграм-канал.
Америку Игорь Бедеров тут не открыл, но точно собрал все в одном месте и принес вам на блюдечке. В общем, смотрим – ссылка
#BaseSecurity
🧠 Твой Пакет Знаний | 👨🏫 Менторство ИБ
📂 Другие каналы
Тема полутехническая, а OSINT и форензику мы в этом канале вообще затрагиваем крайне редко, но доклад правда достойный. Так что советую глянуть, особенно если у вас есть свой Телеграм-канал.
Америку Игорь Бедеров тут не открыл, но точно собрал все в одном месте и принес вам на блюдечке. В общем, смотрим – ссылка
#BaseSecurity
Please open Telegram to view this post
VIEW IN TELEGRAM
YouTube
Криминалистическое исследование Telegram-каналов
Игорь Бедеров в ходе своего выступления на Moscow Forensics Day 2024 рассказал о том, как проводится анализ Telegram-каналов и чатов, а также представил примеры инструментов для мониторинга и поиска данных в Telegram. Бедеров также подчеркнул важность выявления…
Не одним htb едины
Гонял тут меня недавно один крутой АппСек на собеседовании по антипаттернам в коде, которые могут привести к эксплуатации типовых уязвимостей в продакшене. Психика конечно пострадала (не только моя), но зато потом я сел и начал искать способы тренировки этого навыка. А то кажется, что делать это вдали от реального Git-а и SAST-а не так уж и просто. И я нашел.
В общем, это почти как Hack The Box или Try Hack Me, но для АппСек-ов. Заходим, выбираем челлендж и ищем уязвимости в коде. А вот и сам сервис – ссылка
#AppSec
🧠 Твой Пакет Знаний | 👨🏫 Менторство ИБ
📂 Другие каналы
Гонял тут меня недавно один крутой АппСек на собеседовании по антипаттернам в коде, которые могут привести к эксплуатации типовых уязвимостей в продакшене. Психика конечно пострадала (не только моя), но зато потом я сел и начал искать способы тренировки этого навыка. А то кажется, что делать это вдали от реального Git-а и SAST-а не так уж и просто. И я нашел.
В общем, это почти как Hack The Box или Try Hack Me, но для АппСек-ов. Заходим, выбираем челлендж и ищем уязвимости в коде. А вот и сам сервис – ссылка
#AppSec
Please open Telegram to view this post
VIEW IN TELEGRAM
Вот и настало время анонса нового стрима. В этот раз тема не настолько техническая, но от этого не менее интересная.
Тут один из менти по направлению пентеста хочет рассказать вам, "Почему вы пишете заметки неправильно". Он в этом гуру, и именно поэтому ни одна пройденная им машина на Hack The Box или TryHackMe никогда не будет забыта, в приобретенный опыт навсегда останется в его багаже.
Умение правильно фиксировать и структурировать информацию в наше время правда очень важно, потому что этой информации становится все больше. И касается это далеко не только мира кибербезопасности или образования в целом.
Ну а тайны мироздания вам поведает в этот раз Костя (@AloshkaCigan).
🗓 Когда: 16 апреля в 19:00 по мск
📍 Где: прямо в этом канале в формате стрима
🧠 Твой Пакет Знаний | 👨🏫 Менторство ИБ
📂 Другие каналы
Тут один из менти по направлению пентеста хочет рассказать вам, "Почему вы пишете заметки неправильно". Он в этом гуру, и именно поэтому ни одна пройденная им машина на Hack The Box или TryHackMe никогда не будет забыта, в приобретенный опыт навсегда останется в его багаже.
Умение правильно фиксировать и структурировать информацию в наше время правда очень важно, потому что этой информации становится все больше. И касается это далеко не только мира кибербезопасности или образования в целом.
Ну а тайны мироздания вам поведает в этот раз Костя (@AloshkaCigan).
Please open Telegram to view this post
VIEW IN TELEGRAM
Пакет Знаний | Кибербезопасность
Дамы и господа, уже сегодня в 19:00 нас ждет стрим с разбором того, как правильно писать заметки. Так что не забываем, ставим себе напоминание и зовём друзей. До встречи 🕺
Please open Telegram to view this post
VIEW IN TELEGRAM
Telegram
Пакет Знаний | Кибербезопасность
Вот и настало время анонса нового стрима. В этот раз тема не настолько техническая, но от этого не менее интересная.
Тут один из менти по направлению пентеста хочет рассказать вам, "Почему вы пишите заметки неправильно". Он в этом гуру, и именно поэтому…
Тут один из менти по направлению пентеста хочет рассказать вам, "Почему вы пишите заметки неправильно". Он в этом гуру, и именно поэтому…
А вот и пост для ваших вопросов и обратной связи. Можете либо писать в комментах под ним, либо сразу прыгать в этот чат
Telegram
Чат Знаний | Кибербезопасность
Роман Панин invites you to join this group on Telegram.
Запись стрима
Тема: Почему вы пишете заметки неправильно
Автор: Ахманов Константин (@AloshkaCigan)
А вот и ссылки:
-📹 Youtube
-📺 VK Video
-📺 Rutube
Всем еще раз спасибо за то, что зашли послушать и за вашу обратную связь.
🧠 Твой Пакет Знаний | 👨🏫 Менторство ИБ
📂 Другие каналы
Тема: Почему вы пишете заметки неправильно
Автор: Ахманов Константин (@AloshkaCigan)
А вот и ссылки:
-
-
-
Всем еще раз спасибо за то, что зашли послушать и за вашу обратную связь.
Please open Telegram to view this post
VIEW IN TELEGRAM
Не одним кибербезом едины, как говорится. Ловите достаточно неплохую подборку нейросетевых сервисов, которые решают узко-прикладные задачи.
Половина, как и всегда, работает через пень-колоду, но некоторые правда показывают себя лучше, чем попсовый ЧатГПТ. Если качество сильно пожмёт, то пишите, пришлю исходник.
🧠 Твой Пакет Знаний | 👨🏫 Менторство ИБ
📂 Другие каналы
Половина, как и всегда, работает через пень-колоду, но некоторые правда показывают себя лучше, чем попсовый ЧатГПТ. Если качество сильно пожмёт, то пишите, пришлю исходник.
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
Ловите сборник бесплатных лабораторных – ссылка
Там и NGFW потыкать можно, и кое что из CCNA Security. Советую еще поковырять этот сайт, там много годноты.
#BaseSecurity #Network #Practice
🧠 Твой Пакет Знаний | 👨🏫 Менторство ИБ
📂 Другие каналы
Там и NGFW потыкать можно, и кое что из CCNA Security. Советую еще поковырять этот сайт, там много годноты.
#BaseSecurity #Network #Practice
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from Пакет Безопасности
Бот для ваших вопросов
Я тут в рамках менторства решил сделать бота, с помощью которого любой желающий абсолютно бесплатно сможет задать свой вопрос по кибербезопасности или карьере в ИБ.
Ну а мы с менторами, по ту сторону бота, будем на эти вопросы отвечать. Чем точнее и конкретнее будет сформулирован вопрос, тем вероятнее мы сможем с ним помочь.
В чем смысл? Да в том, что:
1. Не у всех есть деньги на менторство или консультации, а далеко не все вопросы гуглятся и ресерчатся с помощью ChatGPT (особенно когда нет опыта и насмотренности).
2. В нашем чате или в комментариях к постам многие задать свой вопрос банально стесняются.
3. Да просто потому что эта мысль пришла мне в голову и потому что могу.
В общем, мы с менторами ждем ваших вопросов – @cybersec_help_bot
И помните самую главную пацанскую цитату из пабликов ВК – "Глупых вопросов не бывает. Глуп тот вопрос, который не был задан."🐺
Я тут в рамках менторства решил сделать бота, с помощью которого любой желающий абсолютно бесплатно сможет задать свой вопрос по кибербезопасности или карьере в ИБ.
Ну а мы с менторами, по ту сторону бота, будем на эти вопросы отвечать. Чем точнее и конкретнее будет сформулирован вопрос, тем вероятнее мы сможем с ним помочь.
В чем смысл? Да в том, что:
1. Не у всех есть деньги на менторство или консультации, а далеко не все вопросы гуглятся и ресерчатся с помощью ChatGPT (особенно когда нет опыта и насмотренности).
2. В нашем чате или в комментариях к постам многие задать свой вопрос банально стесняются.
3. Да просто потому что эта мысль пришла мне в голову и потому что могу.
В общем, мы с менторами ждем ваших вопросов – @cybersec_help_bot
И помните самую главную пацанскую цитату из пабликов ВК – "Глупых вопросов не бывает. Глуп тот вопрос, который не был задан."
Please open Telegram to view this post
VIEW IN TELEGRAM
Telegram
Кибербот | Пакет Безопасности
Этому боту ты можешь задавать несложные вопросы по ИБ и карьере, а мы с менторами будем пытаться тебе с ними помочь.
Я там в канале по менторству начал постить разборы ключевых направлений в кибербезе – роли, кто чем занимается, какие обязанности, почему та или иная роль важна, как может выглядеть рабочий день такого-то специалиста, как им стать и т.д.
Но тот канал закрытый и ссылки работать для большинства из вас не будут. Поэтому я решил, что буду сюда пересылать это добро, а потом соберу это все в одну статью и навигационный пост для удобства.
Как-то так.
🔥 – крутая идея!
🐳 – да я и так всё знаю!
Но тот канал закрытый и ссылки работать для большинства из вас не будут. Поэтому я решил, что буду сюда пересылать это добро, а потом соберу это все в одну статью и навигационный пост для удобства.
Как-то так.
Please open Telegram to view this post
VIEW IN TELEGRAM
Начнем с АппСек-ов
Я тут недавно зацепился в чате с одним крутым безопасником на тему того, как вообще должен выглядеть Application Security инженер и кем он является на самом деле.
Его позиция заключалась в том, что АппСек должен брать на себя всё, что касается безопасности кода, компонентов и приложений, начиная от ревью фичей, заканчивая несложным пентестом. В общем, покрывать почти весь Secure SDLC.
Я же стоял на том, что на рынке сейчас подавляющее большинство ребят, которые умеют только уязвимости от SAST-ов триажить, антипаттерны в коде вылавливать и с безопасностью компонентов работать. И если брать шире, то начнет страдать качество и глубина погружения.
Ах да, и в его, и в моем случае им надо еще успевать общаться с разработчиками и пояснять им за безопасность.
Победителя, как понимаете, тут нет. Но на рынке сейчас правда существует две концепции АппСек-ов. Но я все еще остаюсь приверженцем подхода, в котором надо делать хоть и узко, но качественно. Либо учиться всему и сразу, но садиться за безопасность какого-нибудь одного продукта. Брать денег при этом надо сильно больше, как по мне.
Вот кстати можете еще глянуть доклад на эту тему – ссылка. Тут круто то, что девушка затронула вопрос того, что AppSec – это не только про мобилку и веб. Это еще и про такие специфики, как IoT, операционки и всё то, что могут производить на свет инженеры и разработчики.
В общем, смотрим и читаем разбор того самого направления👇
🧠 Твой Пакет Знаний | 👨🏫 Менторство ИБ
📂 Другие каналы
Я тут недавно зацепился в чате с одним крутым безопасником на тему того, как вообще должен выглядеть Application Security инженер и кем он является на самом деле.
Его позиция заключалась в том, что АппСек должен брать на себя всё, что касается безопасности кода, компонентов и приложений, начиная от ревью фичей, заканчивая несложным пентестом. В общем, покрывать почти весь Secure SDLC.
Я же стоял на том, что на рынке сейчас подавляющее большинство ребят, которые умеют только уязвимости от SAST-ов триажить, антипаттерны в коде вылавливать и с безопасностью компонентов работать. И если брать шире, то начнет страдать качество и глубина погружения.
Ах да, и в его, и в моем случае им надо еще успевать общаться с разработчиками и пояснять им за безопасность.
Победителя, как понимаете, тут нет. Но на рынке сейчас правда существует две концепции АппСек-ов. Но я все еще остаюсь приверженцем подхода, в котором надо делать хоть и узко, но качественно. Либо учиться всему и сразу, но садиться за безопасность какого-нибудь одного продукта. Брать денег при этом надо сильно больше, как по мне.
Вот кстати можете еще глянуть доклад на эту тему – ссылка. Тут круто то, что девушка затронула вопрос того, что AppSec – это не только про мобилку и веб. Это еще и про такие специфики, как IoT, операционки и всё то, что могут производить на свет инженеры и разработчики.
В общем, смотрим и читаем разбор того самого направления
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from Менторство ИБ | Пакет Безопасности
AppSec
AppSec (Application Security) — это направление кибербезопасности, которое фокусируется на защите приложений (веб, мобильных, десктопных) от уязвимостей и атак.
AppSec-инженер — это специалист, который встраивает и отвечает за безопасность в процессе разработки программного обеспечения (ПО), чтобы предотвратить появление уязвимостей до того, как они станут проблемой и смогут быть проэксплуатированы плохими ребятами.
Чем занимается AppSec-инженер
Его главная задача — сделать так, чтобы приложение было/стало безопасным на этапе проектирования, разработки и тестирования. В отличие от пентестеров или этичных хакеров (которые ищут уже существующие дыры), AppSec-инженер старается предотвратить их появление.
Основные обязанности
1. Статический анализ кода (SAST) – автоматизированная проверка исходного кода на уязвимости (SQL-инъекции, XSS, десериализация и т. д.).
2. Динамический анализ (DAST) – тестирование работающего приложения (например, через сканеры вроде OWASP ZAP или Burp Suite).
3. Проверка зависимостей (SCA) – поиск уязвимых библиотек (например, через Dependency Track или Snyk).
4. Участие в Code Review – ручной анализ кода с точки зрения безопасности.
5. Консультации разработчиков – объяснение уязвимостей и способов (и что самое главное – ценности) их исправления.
6. (иногда) Настройка DevSecOps-процессов – интеграция инструментов безопасности в CI/CD (например, проверки в GitLab CI/GitHub Actions).
7. (иногда) Threat Modeling – анализ архитектуры приложения на потенциальные угрозы.
8. (иногда) Обучение команды – проведение тренингов по безопасной разработке (Secure Coding).
---
Почему AppSec важен
- Большинство атак начинаются с уязвимостей в приложениях (OWASP Top 10), которые можно предотвратить еще до того, как завершена разработка.
- Безопасность "на поздних этапах" дороже – проще исправить код до релиза, чем латать дыры в продакшене.
- Комплаенс и законы – многие стандарты (ГОСТы, PCI DSS, ISO 27001) требуют безопасной разработки.
---
Как может выглядеть рабочий день AppSec-инженера
1. Разбор отчетов со сканеров (SAST/DAST/SCA), приоритизация найденных уязвимостей.
2. Встреча с разработчиками – обсуждение критичных проблем (например, найденной SQL-инъекции).
3. Code Review (редко) – проверка merge/pull request’ов в Git.
4. Написание скриптов/правил – автоматизация проверок (например, кастомные правила для Semgrep).
5. Threat Modeling нового функционала – оценка рисков перед началом разработки.
6. Исследование новых инструментов – например, тестирование ShiftLeft или Checkmarx.
7. Документирование – обновление политик безопасности, написание гайдов для разработчиков.
---
Как стать AppSec-инженером
1. Базовые знания:
- Понимание OWASP Top 10.
- Опыт в разработке (хотя бы на базовом уровне, чтобы читать код).
- Знание сетевой безопасности (HTTP, TLS, аутентификация).
2. Инструменты:
- SAST: Semgrep, SonarQube, Checkmarx.
- DAST: OWASP ZAP, Burp Suite.
- SCA: Snyk, Dependency Track.
3. Практика:
- Участие в bug bounty.
- Лаборатории типа PortSwigger Web Security Academy.
4. Сертификации (не обязательны, но полезны на первых порах):
- Offensive Security Certified Professional (OSCP) – для углубленного понимания атак.
- Certified Secure Software Lifecycle Professional (CSSLP) – фокус на безопасную разработку.
---
Суммируем
AppSec — это мост между разработкой и безопасностью. Хороший AppSec-инженер не только ищет баги, но и помогает команде писать более безопасный код с самого начала. Нужно также учитывать, что разработчиков и самого кода становится все больше, а нейронки пока не научились заменять АппСек-ов, да и вакансий на рынке хватает.
В AppSec можно спокойно заходить тем, кто до этого занимался разработкой и тестированием. После освоения этой роли и получения некоторого опыта, можно смело двигаться в сторону уже более высокооплачиваемых DevSecOps-ов или AppSec Business Partner-ов.
#ликбез
👨🏫 Менторство ИБ | Чат
AppSec (Application Security) — это направление кибербезопасности, которое фокусируется на защите приложений (веб, мобильных, десктопных) от уязвимостей и атак.
AppSec-инженер — это специалист, который встраивает и отвечает за безопасность в процессе разработки программного обеспечения (ПО), чтобы предотвратить появление уязвимостей до того, как они станут проблемой и смогут быть проэксплуатированы плохими ребятами.
Чем занимается AppSec-инженер
Его главная задача — сделать так, чтобы приложение было/стало безопасным на этапе проектирования, разработки и тестирования. В отличие от пентестеров или этичных хакеров (которые ищут уже существующие дыры), AppSec-инженер старается предотвратить их появление.
Основные обязанности
1. Статический анализ кода (SAST) – автоматизированная проверка исходного кода на уязвимости (SQL-инъекции, XSS, десериализация и т. д.).
2. Динамический анализ (DAST) – тестирование работающего приложения (например, через сканеры вроде OWASP ZAP или Burp Suite).
3. Проверка зависимостей (SCA) – поиск уязвимых библиотек (например, через Dependency Track или Snyk).
4. Участие в Code Review – ручной анализ кода с точки зрения безопасности.
5. Консультации разработчиков – объяснение уязвимостей и способов (и что самое главное – ценности) их исправления.
6. (иногда) Настройка DevSecOps-процессов – интеграция инструментов безопасности в CI/CD (например, проверки в GitLab CI/GitHub Actions).
7. (иногда) Threat Modeling – анализ архитектуры приложения на потенциальные угрозы.
8. (иногда) Обучение команды – проведение тренингов по безопасной разработке (Secure Coding).
---
Почему AppSec важен
- Большинство атак начинаются с уязвимостей в приложениях (OWASP Top 10), которые можно предотвратить еще до того, как завершена разработка.
- Безопасность "на поздних этапах" дороже – проще исправить код до релиза, чем латать дыры в продакшене.
- Комплаенс и законы – многие стандарты (ГОСТы, PCI DSS, ISO 27001) требуют безопасной разработки.
---
Как может выглядеть рабочий день AppSec-инженера
1. Разбор отчетов со сканеров (SAST/DAST/SCA), приоритизация найденных уязвимостей.
2. Встреча с разработчиками – обсуждение критичных проблем (например, найденной SQL-инъекции).
3. Code Review (редко) – проверка merge/pull request’ов в Git.
4. Написание скриптов/правил – автоматизация проверок (например, кастомные правила для Semgrep).
5. Threat Modeling нового функционала – оценка рисков перед началом разработки.
6. Исследование новых инструментов – например, тестирование ShiftLeft или Checkmarx.
7. Документирование – обновление политик безопасности, написание гайдов для разработчиков.
---
Как стать AppSec-инженером
1. Базовые знания:
- Понимание OWASP Top 10.
- Опыт в разработке (хотя бы на базовом уровне, чтобы читать код).
- Знание сетевой безопасности (HTTP, TLS, аутентификация).
2. Инструменты:
- SAST: Semgrep, SonarQube, Checkmarx.
- DAST: OWASP ZAP, Burp Suite.
- SCA: Snyk, Dependency Track.
3. Практика:
- Участие в bug bounty.
- Лаборатории типа PortSwigger Web Security Academy.
4. Сертификации (не обязательны, но полезны на первых порах):
- Offensive Security Certified Professional (OSCP) – для углубленного понимания атак.
- Certified Secure Software Lifecycle Professional (CSSLP) – фокус на безопасную разработку.
---
Суммируем
AppSec — это мост между разработкой и безопасностью. Хороший AppSec-инженер не только ищет баги, но и помогает команде писать более безопасный код с самого начала. Нужно также учитывать, что разработчиков и самого кода становится все больше, а нейронки пока не научились заменять АппСек-ов, да и вакансий на рынке хватает.
В AppSec можно спокойно заходить тем, кто до этого занимался разработкой и тестированием. После освоения этой роли и получения некоторого опыта, можно смело двигаться в сторону уже более высокооплачиваемых DevSecOps-ов или AppSec Business Partner-ов.
#ликбез
Please open Telegram to view this post
VIEW IN TELEGRAM