Кибер ПТУ | Кибербезопасность

Полгода под давлением. Что показал новый срез киберустойчивости За последние месяцы компании столкнулись с серией киберинцидентов, которые стали проверкой на устойчивость.F6 выпустил исследование «Цепь под напряжением» — о том, как бизнес восстанавливает контроль над внешним периметром. Анализ показывает: одни отрасли укрепили защиту и выстроили процессы, другие по-прежнему действуют реактивно.Транспорт и энергетика стали зрелее. Финансовый сектор стабилен. Ритейл и строительство остаются в зоне риска. Отчёт помогает понять, где компании действительно управляют безопасностью, а где всё ещё пытаются тушить пожары. Посмотреть исследование можно здесь Пройти Индекс кибербезопасности и узнать свой результат #реклама О рекламодателе

Тут у Security Vision в их материале для студентов есть интересные статейки. Они расписали вопросы для собеседований и кейсы вместе с правильными ответами. Заучивать наизусть конечно будет излишне, но ознакомиться точно не помешает, чтобы примерно понимать, что вас ждёт на собесе. Статьи доступные по следующим специальностям: - Архитектор безопасности - Аналитик IT-безопасности - Специалист SOC - Администратор систем безопасности - Программист систем защиты ИБ - Инженер ИБ - Инженер по тестированию ПО - Консультант по ИБ - Разработчик ПО в сфере кибербезопасности #BaseSecurity 🧠 Твой Пакет Знаний | 👨‍🏫 Менторство ИБ 📂 Другие каналы

Зацените, что за красота 🤩

OpenAI решили объединить два тренда 2025-го года - безопасность и AI-агентов. В итоге получился Aardvark - агент, который анализирует исходный код на предмет уязвимостей. Судя по всему, это такой очень умный SAST, который и код проанализирует, и юнит-тесты напишет, и даже закинет коммит, который исправляет найденные уязвимости. На бумаге, как всегда, всё выглядит хорошо, посмотрим как будет на практике. Пока что инструмент раскатывают в закрытой бете, на которую можно записаться по ссылке. #AI #AppSec 🧠 Твой Пакет Знаний | 👨‍🏫 Менторство ИБ 📂 Другие каналы

В этот прекрасный пятничный день загрузим вас всякими большими и сложными табличками! А вы как думали, завтра работаем. Это модель, отражающая зрелость процессов ИБ. Собрана она аж из пяти стандартов: COBIT 4.1/5, ISO 27001:2013, NIST Cybersecurity Framework, DNB 2017 и BIO 2019. Сама модель делится на 15 аспектов, которые в свою очередь делятся на конкретные элементы. На практике это выглядит следующим образом: Существует основной аспект, допустим "Управление инцидентами/проблемами". Данный аспект состоит из следующих элементов: - Управление инцидентами; - Эскалация инцидента; - Реагирование на инциденты; - Управление проблемами. Далее у каждого элемента оценивается уровень зрелости. Всего уровней пять - от хаотичного процесса до максимального контроля и эффективности. Каждый уровень сопровождается подробным описанием для конкретного элемента. Более подробно модель описана в данной статье. 🧠 Твой Пакет Знаний | 👨‍🏫 Менторство ИБ 📂 Другие каналы

Сегодня нашли для вас сервис с практическими лабами для синей команды - CyberDefenders. Лабы делятся на следующие категории: • Malware Analysis • Threat Intel • Network Forensics • Endpoint Forensics • Detection Engineering • Threat Hunting • Cloud Forensics По последним трём темам к сожалению бесплатных лаб нет. Но зато на остальные темы вы сможете найти больше 80-ти заданий без подписки. Есть ещё задачи в разделе Trial, это премиум лабы, которые доступны бесплатно. Их всего 10, но неизвестно пополняется ли этот раздел или нет. В остальном, платформа стандартная, есть райтапы к лабам, очки за прохождение активных машин, ну и сопутствующая таблица лидеров. #AppSec #DevSecOps #Practice 🧠 Твой Пакет Знаний | 👨‍🏫 Менторство ИБ 📂 Другие каналы

Всем привет! В этот прекрасный понедельник продолжаем радовать вас интересными статьями с хабра за прошедшую неделю. Сегодня наша подборка будет состоять в основном из теоретической базы по сетевым технологиям. Первая статья посвящена протоколу DNS и его надстройке DNSSEC. Следующая статья посвящена протоколу HTTP, а точнее про работу кэширования в этом протоколе. В тексте подробно рассказано про: - заголовки, связанные с кэшированием; - определение возраста ответа с примерами; - распространённые мифы и заблуждения. Дальше у нас идёт текст про технологию WiFi. В статье освящаются протоколы безопасности (WPA2, WPA3), их различие и современные методы аутентификации. Ну и под конец парочка статей более практической направленности: - Разбор уязвимости Blind LDAP Injection на примере CTF таска; - Разбор пентеста пет-проекта. Хорошая статья, в которой качественно описаны отчёты об уязвимостях. #BaseSecurity #Pentest 🧠 Твой Пакет Знаний | 👨‍🏫 Менторство ИБ 📂 Другие каналы

Самое время проверить себя и своих коллег на профпригодность. Сегодня хотим рассказать вам о тесте Security Champion, который подскажет, какие моменты нужно подтянуть для прохождения предстоящих собесов. Тест состоит из 20 вопросов, которые основаны на реальных кейсах взломов приложений. Вопросы посвящены следующим темам: • Вывод информации в браузер (XSS) • Обработка данных форм • Предотвращение CRLF • Предотвращение RCE • Работа с SQL В конце прохождения вам покажут диаграмму с оценкой скиллов по этим темам. Тест хоть и короткий, но вопросы интересные и сложные. #BaseSecurity 🧠 Твой Пакет Знаний | 👨‍🏫 Менторство ИБ 📂 Другие каналы

Грокаем безопасность веб-приложений. Это книга, о которой вы, вероятно, слышали уже не раз, поскольку она обрела популярность почти сразу же после выхода в тираж. Не исключено, что ажиотаж вызван благодаря стилистической схожести с ещё одним бэнгером – "Грокаем алгоритмы". Данную книгу нам любезно предоставило издательство "Питер", за что мы его сердечно благодарим. Со вступлением закончили, перейдём же к самому обзору. В книге разбирается в первую очередь аспект безопасной разработки веб-приложений. Содержание книги поделено на две части: • В первой части автор рассказывает читателю некоторую базу безопасности, начиная с того, кто такие хакеры и заканчивая понятным объяснением работы шифрования и процессов безопасной разработки. Полезно почитать тем, кто не знаком с архитектурой REST или плавает в вопросах различия http от https. • Далее начинается самое интересное – вторая часть, где по главам разбираются уже сами уязвимости. Рекомендации по безопасности автор сопровождает наглядными фрагментами кода, в которых используются описанные меры защиты. Эту часть книги обязательно советуем к прочтению как аппсекам, так и пентестерам. Первым дают хорошие советы по обеспечению безопасности от описанных уязвимостей, а вторые смогут вдохновиться и узнать много нового о том, почему появляются эти же уязвимости. Повествование в книге очень дружелюбное по отношению к читателю: каждая глава сопровождается качественными и понятными иллюстрациями, автор старается разжевать сложные концепции простыми аналогиями. В общем, чтиво довольно увлекательное. Рекомендуем абсолютно всем, кому интересна веб-разработка или же тестирование на безопасность веб-приложений. #Pentest #AppSec 🧠 Твой Пакет Знаний | 👨‍🏫 Менторство ИБ 📂 Другие каналы

Понедельник - день тяжелый, так что не помешает немного расслабиться за чашечкой чая и почитать интересные статьи прошедшей недели. Начнём с чего-то простого. Статья о взломе подарочного сертификата вдохновит вас на мысли о том, что уязвимости могут быть даже в самых простых системах. Следующая статья расскажет о случаях безопасности протокола HTTP, которые нужно учитывать при разработке API. Полезно будет почитать как разработчикам, так и пентестерам. Далее у нас идёт статья для синей команды - шпаргалка по Linux для DFIR. Затем забираем себе подборку руководств и книг по DevSecOps. Ну и закончим на сегодня объёмным и интересным разбором (буквально) POS-терминала. Хорошего вам дня и продуктивной недели! #AppSec #Pentest #DevSecOps 🧠 Пакет Знаний | 👨‍🏫 Менторство 📂 Другие каналы

Ладно, кажется, что муки с выбором логотипа окончены. Держите свои трусы.

Опа, а вот это уже интересно – ссылка Если коротко, то ребята ИИфицировали SAST под ключ на базе мультиагентной системы. Хейтеры скажу, что это конец AppSec-а. Я скажу, что это новая ветвь его эволюции. #AppSec 🧠 Пакет Знаний | 👨‍🏫 Менторство 📂 Другие каналы

Нашли для вас ресурс, где понятно объясняют распространённые уязвимости в веб приложениях. В Hacksplaining вас ждёт 42 небольших модуля, где подробно рассказано про типовые веб уязвимости (XSS, SSRF, CSRF и т.д.). Объяснения сопровождаются красивой визуализацией. Также, для закрепления материала, в конце каждого модуля есть не сложные тесты, которые закрепляют знания об уязвимостях. #Pentest #AppSec 🧠 Пакет Знаний | 👨‍🏫 Менторство 📂 Другие каналы

Такого мы вам вроде еще не рекомендовали, но видимо время настало – тут у ребят из «Лаборатории Касперского» грядет стрим по эффективному управлению инцидентами ИБ – ссылка Полезно будет послушать как инженерам, так и менеджерам. Ну а для тех, кто только думает идти в ИБ – даст побольше контекста об одной из самых больных тем. Обещают обсудить ландшафт кибергуроз, известные инциденты и их последствия и рекомендации при инциденте ИБ: пошаговое реагирование и превентивные меры. Сам стрим пройдет 1 октября в 11:00. #SOC 🧠 Пакет Знаний | 👨‍🏫 Менторство 📂 Другие каналы

Сегодня у нас в меню CTF площадка, посвящённая криптографии - CryptoHack. Есть много категорий (аж целых 14), начиная от азов криптографии, заканчивая хэш-функциями, шифрами Диффи-Хельмана, RSA и так далее. Помимо самих тасок, на платформе есть пять курсов, которые помогут вам плавно погрузиться в мир шифрования. #Pentest #AppSec 🧠 Пакет Знаний | 👨‍🏫 Менторство 📂 Другие каналы

Привет, наши дорогие и преданные читатели. У нас тут грядет пара изменений. Первое – что-то захотелось поменять аватарку. Как вам? Оставляем старую или берем новую? И второе – мы себе уже всю голову сломали в попытках придумать новое название для канала, которое не будет связано с "Пакетом". Брать что-то банальное из серии "Кладовка безопасника" или "Образ хакера" вообще не хочется. Может у вас есть какие-то идеи? Пишите их (понимаю, что вы этого не любите, но иногда надо) в комментарии! 👇

Сегодня понедельник, а значит что? Правильно - лучшие статьи прошедшей недели. Начнём с улучшения защиты вашей системы. Первая статья рассказывает о том, как защитить ваш веб-сайт от ботов, которые создают большую нагрузку и нагружают вашу систему. После улучшения веба идём работать с инфрой - защитим Kubernetes на уровне ядра Linux. Далее у нас остаются ещё домены AD, которые тоже не помешало бы обезопасить. В этом нам помогут две статьи - Повышение защищённости Active Directory часть 1 и часть 2 (Да, первая часть вышла в апреле, но кто начинает смотреть сиквел без просмотра оригинала?). Что ж, над защитой поработали, теперь время порадовать и ребят из красной команды. Держите разборы кейсов с багбаунти: 1) баг с использованием NULL в имени пользователя; 2) статья о том, как придумать интересный вектор атаки для обычного IDOR и повысить его в глазах триажеров. Ещё хотелось бы поделиться обделённой вниманием статьёй с разбором атаки gadget chain, приводящей к RCE. Далее у нас довольно подробный разбор техник разведки в MITRE ATT&CK. Ну и под конец немного практики - создаём личный OSINT-комбайн на основе Google Sheets. #Pentest #AppSec #DevSecOps #SecArch #BaseSecurity 🧠 Пакет Знаний | 👨‍🏫 Менторство 📂 Другие каналы

Под конец недели делимся небольшим сайтом с тасками для практики XSS. Никаких запусков стендов. Вам даётся код и ваша задача прокинуть стандартный alert(1) в поле ввода. Всего заданий около двадцати штук. Набиваем руку и идём на заслуженный отдых в этот пятничный вечер. #Pentest 🧠 Пакет Знаний | 👨‍🏫 Менторство 📂 Другие каналы