Кибер ПТУ | Кибербезопасность

Не одним опенсорсом едины Да, порой бесплатных или условно-бесплатных инструментов становится недостаточно, особенно, когда дело касается энтерпрайза, сжатых сроков и резинового бюджета. Так что ловите подробнейший (боюсь представить, сколько на это ушло времени) обзор коммерческих решений по управлению уязвимостями – ссылка. Полезно будет и начинающим ИБшникам кстати, так как все эти решения вы можете рано или поздно повстречать на своем карьерном пути. И нужно быть к этому готовыми. Ну и плюс ко всему, у вас явно должно расшириться восприятие всего Vulnerability Management после прочтения такой годноты. Читаем, сохраняем, рассылаем ⌨️ #BaseSecurity 🧠 Твой Пакет Знаний

Такое мы сохраняем Я за свою жизнь прочитал не так много книг, особенно тех, что как-то связаны с кибербезопасностью. У меня как-то давно закралась и укоренилась мысль о том, что технологии развиваются сильно быстрее, чем пишутся (а тем более читаются) книги. Именно поэтому я проводил достаточно много вечеров в ютубе со своими друзьями – индусами, ну или просто сидел в интернетах, читая очередную интересную статью, исследование или документацию (согласен, тут слово "интересная" не подходит). Ну и чаще всего я решал и изучал какие-то вопросы по мере поступления проблем, чтобы сразу закрепить полученные знания. Своё мнение я не навязываю, тем более, что в книгах можно почерпнуть достаточно много той самой базы – фундамента, на котором строится не только ИБ, но и всё IT. Так что настало время составить и поделиться с вами подборкой достойных книг (на основе отзывов знакомых, коллег и одной нейросети), так что погнали 👇 📖 "Компьютерные сети" — Эндрю Таненбаум. Один из лучших учебников по сетям, охватывающий архитектуру и протоколы, начиная с простых основ и заканчивая более сложными аспектами. Другие книги автора тоже советую посмотреть. 📖 "Практическая криптография" — Брюс Шнайер. Основы шифрования и защиты данных от одного из ведущих экспертов в этой области. 📖 "Искусство тестирования на проникновение в сеть" — Ройс Дэвис. Тут всё и так очевидно. 📖 "Кибербезопасность для чайников" — Джозеф Штейнберг. Простая и понятная вводная по кибербезопасности, охватывающий основные аспекты защиты информации. 📖 "Социальная инженерия и социальные хакеры" — Максим Кузнецов, Игорь Симдянов. Как говорится, «Любители взламывают системы. Профессионалы взламывают людей». Как-то так. Если вы знаете о книгах из мира информационной безопасности, которых нет в этом списке, но они должны в нём появиться – вэлкам в комментарии. И да, помните о том, что знания, не закрепленные практикой, очень быстро забываются 🤪 Твой Пакет Безопасности

Настало время опенсорса Когда-то давно я начал собирать в своих закромах все вопросы, которые я периодически встречал на технических собеседованиях. Вопросы достаточно часто повторялись, хоть у них и менялись иногда формулировки, и в какой-то момент я осознал, что количество таких вопросов конечное и даже не очень большое. По итогу я структурировал всё это добро, опубликовал для своих менти, а они сами периодически помогали мне дополнять этот раздел вопросами и кейсами со своих интервью или же какими-то полезными ссылками. Собственно настало время поделиться этим сокровищем с миром 🌈 Собеседования и так стрессовая штука, на которой некоторые запрещают гуглить (а это, я вам скажу, отдельный навык, который еще прокачать надо), давят психологически, не дают время на подумать и применяют другие техники для снижения когнитивных способностей (осуждаю 😡). Так что такой сборник вопросов точно лишним не будет, особенно для новичков. Я не стал выгружать его PDF-кой, потому что эта страница постоянно пополняется и видоизменяется, и вам так будет проще сохранить ее в закладки и периодически поглядывать в нее. Ну а вот и тот самый Список вопросов и кейсов на техническом интервью для ИБшников #BaseSecurity Твой Пакет Знаний | Кибербезопасность

Автоботы, сегментируемся Это вам не ванильный систем-дизайн с собеседований на архитектора. Ловите годный пример (а точнее даже 4 примера) по правильному распилу инфраструктуры на сетевые сегменты, да еще и с обоснованием – ссылка Можете брать как референс, а можете попробовать приложить к тому, что есть уже сейчас, осознать, насколько всё плохо/хорошо и понять, что нужно делать дальше. #SecArch #DevSecOps #BaseSecurity Твой Пакет Знаний | Кибербезопасность

Подборок много не бывает Три подборки со сканерами и анализаторами (статическими и динамическими) всего, чего только можно – от бинарей и облаков до API и кода практически на любом попсовом языке. Есть как платные инструменты (помним про триальные версии, кряки и манибэки), так и бесплатные. ✍️ Подборка раз (статика) – ссылка ✍️ Подборка два (динамика) – ссылка ✍️ Поборка три (веб) – ссылка #AppSec #Pentest #DevSecOps 🧠 Твой Пакет Знаний | Кибербезопасность

Больше визуала Не знаю, кто изобрёл майндмапы, но то, что они упрощают поглощение полезного контента – знаю точно. Собственно, ловите целую коллекцию структурированной и визуализированной годноты по кибербезопасности – ссылка Там и про безопасность API, и про тестирование 2FA, и даже роадмап общий есть (к которому конечно много вопросов). В общем, сохраняем. #AppSec #Pentest #BaseSecurity 🧠 Твой Пакет Знаний | Кибербезопасность

Безопасность API Как сказал однажды один умный человек, "Надо знать прошлое, чтобы понимать настоящее и предвидеть будущее", так что сегодня делюсь с вами полезными историческими данными по безопасности API от некой Escape Security Research team – ссылка Там есть информация по инцидентам, векторам атак и уязвимостям API. На настольную книгу не тянет, но разок пробежаться точно будет полезно. Ну и в дополнение ловите модель угроз для всё тех же API (а вот такого я еще не видел) – ссылка #SecArch #AppSec #Pentest 🧠 Твой Пакет Знаний | Кибербезопасность

Пэйлоад тайм Что такое payload (в двух словах) можно почитать вот тут – ссылка. Ну а для тех, кто в курсе, ловите аж несколько сборников таких пэйлоадов. Для АппСеков и пентестеров – мастхэв 👇 🔒 Payloads All The Things (фаворит всего списка) – раз и два 🔒 Payload для XSS (Payload Box) – ссылка 🔒 Payload для SQLi (Payload Box) – ссылка 🔒 Payload для XXE (Payload Box) – ссылка 🔒 Payload для LFI | RFI (Payload Box) – ссылка 🔒 Payload для Command Injection (Payload Box) – ссылка #AppSec #Pentest Твой Пакет Знаний | Кибербезопасность

Ребята из позитивов тут выдали очередную годноту по AppSec – заопенсорсили свою методологию по построению этой практики и даже шаблон дорожной карты положить не забыли. Советую глянуть и либо приложить к своему АппСеку, стряхнув с него пыль, либо построить то, чего еще нет. Взял вот отсюда – ссылка #AppSec Твой Пакет Знаний | Кибербезопасность

Полезное и бесплатное Ловите подборку годного образовательного контента для погружения в мир кибербезопасности – как со стороны атаки, так и защиты 👇 Для синих (защищающих) ребят: - Введение в информационную безопасность от Selectel - С нуля до аналитика DevSecOps | Введение в кибербезопасность - КИБЕРБЕЗОПАСНОСТЬ 2024 | ТЕОРЕТИЧЕСКИЙ КУРС - ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ - Мастер-классы по кибербезопасности от кафедры №42 "Криптология и кибербезопасность" Для красных (атакующих) ребят: - Полный учебный курс по этичному хакингу 2023 от нуля до мастерства - Взлом Android приложений | Проверка приложений на уязвимость - Взлом серверов и сетей | Международная сертификация OSCP - Тестирования сайтов на уязвимость - Практическое руководство по взлому веб-приложений - Kali Linux для начинающих: основы, администрирование, взлом Для всех сразу: - Хакинг и кибербезопасность. Обучение от Skillbox #DevSecOps #Pentest #AppSec #BaseSecurity Твой Пакет Знаний | Кибербезопасность

Очередной полезный сборник годноты по АппСеку и Пентесту. Там и про методологию, и про инструменты, и про автоматизацию, и про уязвимости. В общем, забираем, сохраняем. Вот оно – ссылка #AppSec #Pentest Твой Пакет Знаний | Кибербезопасность

Целая коллекция полезных материалов для всех кибербезопасников, как со стороны защиты, так и нападения – ссылка #AppSec #Pentest #DevSecOps #BaseSecurity Твой Пакет Знаний | Кибербезопасность

Так как кибербезопасность была создана для того, что защищать IT от угроз, безопасникам очень важно знать и понимать, как работает само IT. С нуля сейчас уже мало что пишется, почти под любую задачу есть свой инструмент или фреймворк. И есть определенный набор инструментов, знать который хорошо бы всем, в том числе и кибербезопасникам. Так что, ловите крутую картинку, на которой все (ну или почти все) эти инструменты не только отображены, но еще и сгруппированы по своим функциям. Будет полезно для работы, собесов, и для подготовки к ним. Такое мы сохраняем. Источник тут – ссылка #BaseSecurity #SecArch Твой Пакет Знаний | Кибербезопасность