Кибер ПТУ | Кибербезопасность

Поиск работы в ИБ Написал тут для вас (и не только) новую статейку о том, какие этапы ждут того, кто планирует начать искать работу в ИБ. Чтиво подойдет как для матерых специалистов, так и для тех, кто только заглядывает в этот чудный мир кибербезопасности. Жестокие блиц-скрининги, торги за оффер, детектор лжи и всё в этом духе. Статья логично дополняет и продолжает тему прошлой про написание лучшего резюме в галактике. Ну а вот и сама статья – ссылка Лайк, шер, репост, как говорится 👍 ⚡ Пакет Безопасности | 💬 Чат 🛍 Другие каналы

AppSec AppSec (Application Security) — это направление кибербезопасности, которое фокусируется на защите приложений (веб, мобильных, десктопных) от уязвимостей и атак. AppSec-инженер — это специалист, который встраивает и отвечает за безопасность в процессе разработки программного обеспечения (ПО), чтобы предотвратить появление уязвимостей до того, как они станут проблемой и смогут быть проэксплуатированы плохими ребятами. Чем занимается AppSec-инженер Его главная задача — сделать так, чтобы приложение было/стало безопасным на этапе проектирования, разработки и тестирования. В отличие от пентестеров или этичных хакеров (которые ищут уже существующие дыры), AppSec-инженер старается предотвратить их появление. Основные обязанности 1. Статический анализ кода (SAST) – автоматизированная проверка исходного кода на уязвимости (SQL-инъекции, XSS, десериализация и т. д.). 2. Динамический анализ (DAST) – тестирование работающего приложения (например, через сканеры вроде OWASP ZAP или Burp Suite). 3. Проверка зависимостей (SCA) – поиск уязвимых библиотек (например, через Dependency Track или Snyk). 4. Участие в Code Review – ручной анализ кода с точки зрения безопасности. 5. Консультации разработчиков – объяснение уязвимостей и способов (и что самое главное – ценности) их исправления. 6. (иногда) Настройка DevSecOps-процессов – интеграция инструментов безопасности в CI/CD (например, проверки в GitLab CI/GitHub Actions). 7. (иногда) Threat Modeling – анализ архитектуры приложения на потенциальные угрозы. 8. (иногда) Обучение команды – проведение тренингов по безопасной разработке (Secure Coding). --- Почему AppSec важен - Большинство атак начинаются с уязвимостей в приложениях (OWASP Top 10), которые можно предотвратить еще до того, как завершена разработка. - Безопасность "на поздних этапах" дороже – проще исправить код до релиза, чем латать дыры в продакшене. - Комплаенс и законы – многие стандарты (ГОСТы, PCI DSS, ISO 27001) требуют безопасной разработки. --- Как может выглядеть рабочий день AppSec-инженера 1. Разбор отчетов со сканеров (SAST/DAST/SCA), приоритизация найденных уязвимостей. 2. Встреча с разработчиками – обсуждение критичных проблем (например, найденной SQL-инъекции). 3. Code Review (редко) – проверка merge/pull request’ов в Git. 4. Написание скриптов/правил – автоматизация проверок (например, кастомные правила для Semgrep). 5. Threat Modeling нового функционала – оценка рисков перед началом разработки. 6. Исследование новых инструментов – например, тестирование ShiftLeft или Checkmarx. 7. Документирование – обновление политик безопасности, написание гайдов для разработчиков. --- Как стать AppSec-инженером 1. Базовые знания: - Понимание OWASP Top 10. - Опыт в разработке (хотя бы на базовом уровне, чтобы читать код). - Знание сетевой безопасности (HTTP, TLS, аутентификация). 2. Инструменты: - SAST: Semgrep, SonarQube, Checkmarx. - DAST: OWASP ZAP, Burp Suite. - SCA: Snyk, Dependency Track. 3. Практика: - Участие в bug bounty. - Лаборатории типа PortSwigger Web Security Academy. 4. Сертификации (не обязательны, но полезны на первых порах): - Offensive Security Certified Professional (OSCP) – для углубленного понимания атак. - Certified Secure Software Lifecycle Professional (CSSLP) – фокус на безопасную разработку. --- Суммируем AppSec — это мост между разработкой и безопасностью. Хороший AppSec-инженер не только ищет баги, но и помогает команде писать более безопасный код с самого начала. Нужно также учитывать, что разработчиков и самого кода становится все больше, а нейронки пока не научились заменять АппСек-ов, да и вакансий на рынке хватает. В AppSec можно спокойно заходить тем, кто до этого занимался разработкой и тестированием. После освоения этой роли и получения некоторого опыта, можно смело двигаться в сторону уже более высокооплачиваемых DevSecOps-ов или AppSec Business Partner-ов. #ликбез 👨‍🏫 Менторство ИБ | Чат

Начнем с АппСек-ов Я тут недавно зацепился в чате с одним крутым безопасником на тему того, как вообще должен выглядеть Application Security инженер и кем он является на самом деле. Его позиция заключалась в том, что АппСек должен брать на себя всё, что касается безопасности кода, компонентов и приложений, начиная от ревью фичей, заканчивая несложным пентестом. В общем, покрывать почти весь Secure SDLC. Я же стоял на том, что на рынке сейчас подавляющее большинство ребят, которые умеют только уязвимости от SAST-ов триажить, антипаттерны в коде вылавливать и с безопасностью компонентов работать. И если брать шире, то начнет страдать качество и глубина погружения. Ах да, и в его, и в моем случае им надо еще успевать общаться с разработчиками и пояснять им за безопасность. Победителя, как понимаете, тут нет. Но на рынке сейчас правда существует две концепции АппСек-ов. Но я все еще остаюсь приверженцем подхода, в котором надо делать хоть и узко, но качественно. Либо учиться всему и сразу, но садиться за безопасность какого-нибудь одного продукта. Брать денег при этом надо сильно больше, как по мне. Вот кстати можете еще глянуть доклад на эту тему – ссылка. Тут круто то, что девушка затронула вопрос того, что AppSec – это не только про мобилку и веб. Это еще и про такие специфики, как IoT, операционки и всё то, что могут производить на свет инженеры и разработчики. В общем, смотрим и читаем разбор того самого направления 👇 🧠 Твой Пакет Знаний | 👨‍🏫 Менторство ИБ 📂 Другие каналы

Я там в канале по менторству начал постить разборы ключевых направлений в кибербезе – роли, кто чем занимается, какие обязанности, почему та или иная роль важна, как может выглядеть рабочий день такого-то специалиста, как им стать и т.д. Но тот канал закрытый и ссылки работать для большинства из вас не будут. Поэтому я решил, что буду сюда пересылать это добро, а потом соберу это все в одну статью и навигационный пост для удобства. Как-то так. 🔥 – крутая идея! 🐳 – да я и так всё знаю!

Бот для ваших вопросов Я тут в рамках менторства решил сделать бота, с помощью которого любой желающий абсолютно бесплатно сможет задать свой вопрос по кибербезопасности или карьере в ИБ. Ну а мы с менторами, по ту сторону бота, будем на эти вопросы отвечать. Чем точнее и конкретнее будет сформулирован вопрос, тем вероятнее мы сможем с ним помочь. В чем смысл? Да в том, что: 1. Не у всех есть деньги на менторство или консультации, а далеко не все вопросы гуглятся и ресерчатся с помощью ChatGPT (особенно когда нет опыта и насмотренности). 2. В нашем чате или в комментариях к постам многие задать свой вопрос банально стесняются. 3. Да просто потому что эта мысль пришла мне в голову и потому что могу. В общем, мы с менторами ждем ваших вопросов – @cybersec_help_bot И помните самую главную пацанскую цитату из пабликов ВК – "Глупых вопросов не бывает. Глуп тот вопрос, который не был задан." 🐺

Ловите сборник бесплатных лабораторных – ссылка Там и NGFW потыкать можно, и кое что из CCNA Security. Советую еще поковырять этот сайт, там много годноты. #BaseSecurity #Network #Practice 🧠 Твой Пакет Знаний | 👨‍🏫 Менторство ИБ 📂 Другие каналы

А у нас снова митапный муд 😎

Не одним кибербезом едины, как говорится. Ловите достаточно неплохую подборку нейросетевых сервисов, которые решают узко-прикладные задачи. Половина, как и всегда, работает через пень-колоду, но некоторые правда показывают себя лучше, чем попсовый ЧатГПТ. Если качество сильно пожмёт, то пишите, пришлю исходник. 🧠 Твой Пакет Знаний | 👨‍🏫 Менторство ИБ 📂 Другие каналы

Запись стрима Тема: Почему вы пишете заметки неправильно Автор: Ахманов Константин (@AloshkaCigan) А вот и ссылки: - 📹 Youtube - 📺 VK Video - 📺 Rutube Всем еще раз спасибо за то, что зашли послушать и за вашу обратную связь. 🧠 Твой Пакет Знаний | 👨‍🏫 Менторство ИБ 📂 Другие каналы

А вот и пост для ваших вопросов и обратной связи. Можете либо писать в комментах под ним, либо сразу прыгать в этот чат

Дамы и господа, уже сегодня в 19:00 нас ждет стрим с разбором того, как правильно писать заметки. Так что не забываем, ставим себе напоминание и зовём друзей. До встречи 🕺

Чуть поменял закрепленный пост и добавил туда напоминание о предложке. Поэтому, если у вас есть что-то интересное, чем вы бы хотели поделиться с миром через этот канал – смело пишите @romanpnn

Вот и настало время анонса нового стрима. В этот раз тема не настолько техническая, но от этого не менее интересная. Тут один из менти по направлению пентеста хочет рассказать вам, "Почему вы пишете заметки неправильно". Он в этом гуру, и именно поэтому ни одна пройденная им машина на Hack The Box или TryHackMe никогда не будет забыта, в приобретенный опыт навсегда останется в его багаже. Умение правильно фиксировать и структурировать информацию в наше время правда очень важно, потому что этой информации становится все больше. И касается это далеко не только мира кибербезопасности или образования в целом. Ну а тайны мироздания вам поведает в этот раз Костя (@AloshkaCigan). 🗓 Когда: 16 апреля в 19:00 по мск 📍 Где: прямо в этом канале в формате стрима 🧠 Твой Пакет Знаний | 👨‍🏫 Менторство ИБ 📂 Другие каналы

Не одним htb едины Гонял тут меня недавно один крутой АппСек на собеседовании по антипаттернам в коде, которые могут привести к эксплуатации типовых уязвимостей в продакшене. Психика конечно пострадала (не только моя), но зато потом я сел и начал искать способы тренировки этого навыка. А то кажется, что делать это вдали от реального Git-а и SAST-а не так уж и просто. И я нашел. В общем, это почти как Hack The Box или Try Hack Me, но для АппСек-ов. Заходим, выбираем челлендж и ищем уязвимости в коде. А вот и сам сервис – ссылка #AppSec 🧠 Твой Пакет Знаний | 👨‍🏫 Менторство ИБ 📂 Другие каналы

Как OSINT-еры телеграм-каналы исследуют Тема полутехническая, а OSINT и форензику мы в этом канале вообще затрагиваем крайне редко, но доклад правда достойный. Так что советую глянуть, особенно если у вас есть свой Телеграм-канал. Америку Игорь Бедеров тут не открыл, но точно собрал все в одном месте и принес вам на блюдечке. В общем, смотрим – ссылка #BaseSecurity 🧠 Твой Пакет Знаний | 👨‍🏫 Менторство ИБ 📂 Другие каналы

Nmap здорового человека Наконец-то кто-то сел и сделал это – красивую и функциональную оболочку для Nmap-а, которым все еще продолжает пользоваться вся планета. Ну вы только посмотрите, как это красиво и удобно. Да, придется запариться и поставить себе комбайн из SQLite и Графаны, но на долгосрок оно того точно стоит. Нюанс заключается в том, что это лишает инструмент его ключевой особенности в виде легковесности, но выглядит то красиво! Называется эта годнота nmap-did-what, а пощупать ее можно вот тут – ссылка #BaseSecurity #Network #Pentest 🧠 Твой Пакет Знаний | 👨‍🏫 Менторство ИБ 📂 Другие каналы

Продолжаем тему безопасности микросервисной архитектуры. Сегодня у нас на очереди годная статья от одного известного в узких кругах безопасника про Service Mesh и про то, как его приручить – ссылка Там и про Istio, и про mTLS, и про то, как все это провернуть в реальной жизни. #DevSecOps #BaseSecurity 🧠 Твой Пакет Знаний | 👨‍🏫 Менторство ИБ 📂 Другие каналы

Запись стрима Тема: Три атаки на Цербера | Безопасность Kerberos Автор: Миронов Валерий (@Valerka321) А вот и ссылки: - 📹 Youtube - 📺 VK Video - 📺 Rutube Всем еще раз спасибо за то, что зашли послушать и за вашу обратную связь. 🧠 Твой Пакет Знаний | 👨‍🏫 Менторство ИБ 📂 Другие каналы