Ну вот, потихоньку, начинают появляться исследования по использованию роботов для эксплуатации зеродеев, т.е. температура LLM здесь уже явно не 0, модель находит то, чему не могла учиться (0-day), однако результат ее работы попадает в цели.
Понятно, что пока результативность невелика, однако, за подобными исследования важно следить, поскольку Offensive AI - это вполне ощутимый сдвиг в ландшафте угроз, и с этим на стороне Defensive, где, традиционно, с автоматизацией на практике тяжеловато, надо будет что-то делать...
#mdr #ml
Понятно, что пока результативность невелика, однако, за подобными исследования важно следить, поскольку Offensive AI - это вполне ощутимый сдвиг в ландшафте угроз, и с этим на стороне Defensive, где, традиционно, с автоматизацией на практике тяжеловато, надо будет что-то делать...
#mdr #ml
👍4🍾2🔥1
Восстановление открытого ключа по подписи
При разработке криптосхем во внимание берутся модели нарушителя. Ну, например, можно вспомнить классические атаки типа Known-plaintext, когда известны открытый текст и шифртекст, задача - найти ключ (кстати, ЕМНИП, эта атака была реализована на небезызвестную немецкую Энигму, поскольку в начале шифрованного сообщения передавались сводки погоды, которые были более-менее предсказуемы) , или Chosen-plaintext, когда открытый текст нам не просто известен, а мы можем его выбирать...
В общем, главное, что криптосхемы, как правило, устойчивы к предусмотренным сценариям атак, а к непредусмотренным - устойчивость не гарантируется. И проблемы наступают тогда, когда расширяется область практического применения той или иной криптосхемы - в новой области применения возможны сценарии атак, которые не предусмотрены при разработке применяемой криптосхемы.
Обычно при использовании цифровой подписи у нас есть открытый ключ и мы проверяем валидна ли подпись, и, например, таким образом, аутентифицируем субъекта или подтверждаем его авторство для документа.
Теперь допустим, что вместо открытого ключа у нас есть сообщение и подпись, и мы знаем, что подпись валидна, а наша задача - узнать открытый ключ.
Такая нестандартная схема атаки может понадобиться, например, если мы хотим атаковать анонимность в какой-то системе\приложении, где все сообщения подписаны кем-то, валидность подписи гарантируется приложением\системой, а по открытому ключу (например, по сертификату) можно установить фактического владельца ключевой пары.
Вот в статье автор показывает, что есть вычислительная возможность восстановления открытого ключа по подписи, а следовательно, этот побочный канал надо иметь в виду при встраивании криптосхем ЭЦП в приложения\системы.
При разработке криптосхем во внимание берутся модели нарушителя. Ну, например, можно вспомнить классические атаки типа Known-plaintext, когда известны открытый текст и шифртекст, задача - найти ключ
В общем, главное, что криптосхемы, как правило, устойчивы к предусмотренным сценариям атак, а к непредусмотренным - устойчивость не гарантируется. И проблемы наступают тогда, когда расширяется область практического применения той или иной криптосхемы - в новой области применения возможны сценарии атак, которые не предусмотрены при разработке применяемой криптосхемы.
Обычно при использовании цифровой подписи у нас есть открытый ключ и мы проверяем валидна ли подпись, и, например, таким образом, аутентифицируем субъекта или подтверждаем его авторство для документа.
Теперь допустим, что вместо открытого ключа у нас есть сообщение и подпись, и мы знаем, что подпись валидна, а наша задача - узнать открытый ключ.
Такая нестандартная схема атаки может понадобиться, например, если мы хотим атаковать анонимность в какой-то системе\приложении, где все сообщения подписаны кем-то, валидность подписи гарантируется приложением\системой, а по открытому ключу (например, по сертификату) можно установить фактического владельца ключевой пары.
Вот в статье автор показывает, что есть вычислительная возможность восстановления открытого ключа по подписи, а следовательно, этот побочный канал надо иметь в виду при встраивании криптосхем ЭЦП в приложения\системы.
Key Material
Reconstructing public keys from signatures
One weird hobby of mine is reasonable properties of cryptographic schemes that nobody promised they do or don’t have. Whether that’s invisible salamanders or binding through shared secr…
👍5🔥1
За окном уже 21 июля, а сообщество продолжает обсуждать Crowdstrike, прослеживаются и как цель попродвигать свои подходы\продукты (потанцевать на костях) , так и почти искреннее желание извлечь уроки, попытаться учиться на чужих ошибках.
Не хочется ощущать себя хайполовом, да и что бы я по этому поводу не сказал, гарантировано, невозможно быть находчивым, в общем, не написал об этом ни строчки(хотя, наврал, были комментарии ) .
Поэтому передаю послушать моего коллегу Володю Дащенко в студии РБК.
В интервью проскользнула мысль, что мы становимся супер-зависимыми от цифровых технологий и что решение - выезжать в лес и жечь костер. В точку! Я писал, любая наша зависимость от чего-то - это ограничение нашей свободы, а нам надо оставаться могучими ("могущими многое")... В общем, в этом году, в первые две недели августа, как и во многие предыдущие годы, я отправляюсь в водный поход, в этот раз - на Кольский, где у меня будет прекрасная возможность, в очередной раз, потренировать свою могучесть, проверить насколько я привязан к бытовому комфорту, насколько погода и насекомые способны определять мое настроение, провести переоценку ценностей, заново полюбить вещи, к которым мы уже привыкли и не замечаем... в общем, первые две неделе августа - не теряйте. Но, пробую пообещать, что напишу отчет и поделюсь им здесь с тегом #здоровье 😁
Всем добра, а обновления тестируйте в типовых окружениях и накатывайте волнами, начиная с наименее критичных систем!
Не хочется ощущать себя хайполовом, да и что бы я по этому поводу не сказал, гарантировано, невозможно быть находчивым, в общем, не написал об этом ни строчки
Поэтому передаю послушать моего коллегу Володю Дащенко в студии РБК.
В интервью проскользнула мысль, что мы становимся супер-зависимыми от цифровых технологий и что решение - выезжать в лес и жечь костер. В точку! Я писал, любая наша зависимость от чего-то - это ограничение нашей свободы, а нам надо оставаться могучими ("могущими многое")... В общем, в этом году, в первые две недели августа, как и во многие предыдущие годы, я отправляюсь в водный поход, в этот раз - на Кольский, где у меня будет прекрасная возможность, в очередной раз, потренировать свою могучесть, проверить насколько я привязан к бытовому комфорту, насколько погода и насекомые способны определять мое настроение, провести переоценку ценностей, заново полюбить вещи, к которым мы уже привыкли и не замечаем... в общем, первые две неделе августа - не теряйте. Но, пробую пообещать, что напишу отчет и поделюсь им здесь с тегом #здоровье 😁
Всем добра, а обновления тестируйте в типовых окружениях и накатывайте волнами, начиная с наименее критичных систем!
Видео РБК
ЧЭЗ: Выпуск за 19 июля 2024. Смотреть онлайн
Программа ЧЭЗ на РБК. Смотреть выпуск за 19 июля 2024. ЧЭЗ. Выпуск от 19.07.2024, часть 3 - подробности в передаче ЧЭЗ онлайн на РБК-ТВ.
👍10👏2🤡2🥱1😍1
Опубликовали слайды и видео с конференции по безопасности контейнерных сред БеКон
Telegram
k8s (in)security
Все слайды и видеозаписи докладов с конференции БеКон 2024!
Изучайте, учитесь и делайте свои контейнерные инфраструктуре безопаснее вместе с нами!
Изучайте, учитесь и делайте свои контейнерные инфраструктуре безопаснее вместе с нами!
👍6
В новом лонгриде рассуждал о важности высшего образования. Попытался высказать, на мой взгляд, наиболее значимые и более-менее объективные причины необходимости получения высшего образования:
- широта, "базовость" и фундаментальность, позволяющая впоследствии легко перестраиваться, быстро адаптироваться и понимать многое
- тренировка нашей способности получать и обрабатывать информацию, корректно интерпретировать наше окружение, ВУЗ позволяет научиться учиться
- обучаться следует именно в молодости, так как далее будет сложнее по множеству причин
- продление школы, продление детства до момента обретения достаточной жизненной мудрости для самостоятельной жизни (21-25 лет)
- социальный трамплин и наш первый опыт в обществе
После публикации старший сын попросил для объективности добавить и минусы высшего образования, однако, я честно их не вижу, кроме как, возможно, потраченного времени. Однако, я не считаю 7 лет обучения в институте пустой тратой времени, да и разве можно найти более разумное времяпровождение в молодости, когда нет никаких обременений, чем саморазвитие?! Допустим, даже, что в институтах учат не тому и не так, но кто запрещает найти правильные курсы и обучаться на них, благо, на старших курсах уже вполне можно и работать на производстве за опыт и на будущее, и получать дополнительное образование... Хотя, никакие курсы и повышения квалификации конечно же не заменят многолетний практический опыт, поэтому при прочих равных, я бы выбирал, конечно, возможность работать за опыт в пользу будущего...
А что думаете вы?
Нужно ли высшее образование? Почему оно не нужно?
#саморазвитие
- широта, "базовость" и фундаментальность, позволяющая впоследствии легко перестраиваться, быстро адаптироваться и понимать многое
- тренировка нашей способности получать и обрабатывать информацию, корректно интерпретировать наше окружение, ВУЗ позволяет научиться учиться
- обучаться следует именно в молодости, так как далее будет сложнее по множеству причин
- продление школы, продление детства до момента обретения достаточной жизненной мудрости для самостоятельной жизни (21-25 лет)
- социальный трамплин и наш первый опыт в обществе
После публикации старший сын попросил для объективности добавить и минусы высшего образования, однако, я честно их не вижу, кроме как, возможно, потраченного времени. Однако, я не считаю 7 лет обучения в институте пустой тратой времени, да и разве можно найти более разумное времяпровождение в молодости, когда нет никаких обременений, чем саморазвитие?! Допустим, даже, что в институтах учат не тому и не так, но кто запрещает найти правильные курсы и обучаться на них, благо, на старших курсах уже вполне можно и работать на производстве за опыт и на будущее, и получать дополнительное образование... Хотя, никакие курсы и повышения квалификации конечно же не заменят многолетний практический опыт, поэтому при прочих равных, я бы выбирал, конечно, возможность работать за опыт в пользу будущего...
А что думаете вы?
Нужно ли высшее образование? Почему оно не нужно?
#саморазвитие
Дзен | Статьи
Высшее образование
Статья автора «REPLY-TO-ALL Information Security Blog» в Дзене ✍: Неоднократно задумываясь о вопросах обучения, я давно пришел к заключению, что лишних знаний не бывает.
👍6🤡2
Сегодня в Cyber media вышло мое интервью. Всеми нами движут стереотипы, журналисты - не исключение, поэтому издание задавало вопросы, в основном, про "антивирус" (видимо, потому что я работаю в ЛК 😂). Однако, я имею опосредованное отношение к антивирусу и продуктам, поэтому отвечал про управление угрозами вообще. По-моему получилось нормально, вопросы и мнения - пишите в комментариях.
Формат интервью не предполагает ссылки на релевантные материалы, поэтому подкреплю свои слова соответствующими ссылками здесь.
1. Ну, про, передположительно, манипуляции мнением и желание отстроиться, или выдать "новизну", я не раз писал, все уже сказано
2. Когда в феврале 2016 года я из заказчика пришел работать в ЛК и за несколько месяцев окунулся в технологии, я реально был восхищен. И именно с тех пор я уверен, что лучшая реклама действительно передовых технологических компаний - это понятные описания используемых ими технологий. Какое-то время назад в ЛК для этих целей создали техновики, и там "на пальцах" рассказано как выглядит современный EPP.
3. Если описания технологий нет, то можно поискать и почитать патенты, они доступны публично. Например, в интервью я рассказываю о том, что есть технологии автоматически создающие правила обнаружения, поэтому, если кто-то один будет успешно скомпрометирован, то остальные уже будут защищены автоматически.
4. За технологиями стоит кропотливая работа высококвалифицированных аналитиков, и то, что не может\"не знает" автомат, в перспективе может попасть к человеку, о чем писал Евгений Валентинович у себя в блоге.
5. Насчет обнаружения атак по длинным цепочкам - чем длиннее цепочка, тем больше вариантов развития атаки => снижаются шансы угадать конкретный вариант, поэтому, на данный момент (может, в перспективе что-то поменяется, но пока такой подход работает хорошо), рабочим вариантом выглядит обнаружение как раз по каким-то атомарным действиям, техникам\процедурам, или их коротким комбинациям.
#mdr
Формат интервью не предполагает ссылки на релевантные материалы, поэтому подкреплю свои слова соответствующими ссылками здесь.
1. Ну, про, передположительно, манипуляции мнением и желание отстроиться, или выдать "новизну", я не раз писал, все уже сказано
2. Когда в феврале 2016 года я из заказчика пришел работать в ЛК и за несколько месяцев окунулся в технологии, я реально был восхищен. И именно с тех пор я уверен, что лучшая реклама действительно передовых технологических компаний - это понятные описания используемых ими технологий. Какое-то время назад в ЛК для этих целей создали техновики, и там "на пальцах" рассказано как выглядит современный EPP.
3. Если описания технологий нет, то можно поискать и почитать патенты, они доступны публично. Например, в интервью я рассказываю о том, что есть технологии автоматически создающие правила обнаружения, поэтому, если кто-то один будет успешно скомпрометирован, то остальные уже будут защищены автоматически.
4. За технологиями стоит кропотливая работа высококвалифицированных аналитиков, и то, что не может\"не знает" автомат, в перспективе может попасть к человеку, о чем писал Евгений Валентинович у себя в блоге.
5. Насчет обнаружения атак по длинным цепочкам - чем длиннее цепочка, тем больше вариантов развития атаки => снижаются шансы угадать конкретный вариант, поэтому, на данный момент (может, в перспективе что-то поменяется, но пока такой подход работает хорошо), рабочим вариантом выглядит обнаружение как раз по каким-то атомарным действиям, техникам\процедурам, или их коротким комбинациям.
#mdr
securitymedia.org
Сергей Солдатов, «Лаборатория Касперского»: Угрозой надо управлять наиболее дешевым и надежным методом
Сергей Солдатов, руководитель Центра мониторинга кибербезопасности, «Лаборатория Касперского», и автор блога «Солдатов в Телеграм», рассказал порталу Cyber Media о том, что собой представляет современный антивирус, как AV эволюционировал в EPP и как изменились…
🔥8👍5⚡2🤡1😍1
Практические руководства должны создаваться практиками!
Но, к величайшему сожалению, когда ты полностью занят на работе, да еще и в operations, написать книгу или разработать курс - очень сложно найти время. Хотя рассказать есть много чего, и много чему научить...
Поэтому материалы от реальных практиков очень ценны!
Вот, например, книжка Practical Windows Forensics, написанная замечательными профессионалами-практиками и моими друзьями, знакомством с которыми я очень дорожу, Константином Сапроновым и Айманом Шаабаном, из нашей команды Global Emergency Response Team (GERT).
#книги
Но, к величайшему сожалению, когда ты полностью занят на работе, да еще и в operations, написать книгу или разработать курс - очень сложно найти время. Хотя рассказать есть много чего, и много чему научить...
Поэтому материалы от реальных практиков очень ценны!
Вот, например, книжка Practical Windows Forensics, написанная замечательными профессионалами-практиками и моими друзьями, знакомством с которыми я очень дорожу, Константином Сапроновым и Айманом Шаабаном, из нашей команды Global Emergency Response Team (GERT).
#книги
👍10🔥7
Книжка - это хорошо, но не самый эффективный инструмент приобретения практических навыков... Поэтому мне вдвойне приятно, что Айман смог найти время и разработать курс Windows digital forensics!
Формат курса, однозначно, более эффективен для получения практического опыта, тем более, что автор курса - действующий эксперт DFIR в команде GERT, работающей по всему миру.
DFIR - основа и для Incident Response, для Compromise Assessment, а также, для Threat hunting-а, абсолютно необходим для Detection Engineering-а.
В общем, вместо вечернего просмотра сериалов, можно потихоньку проходить хорошие online-курсы и заниматься саморазвитием вообще
Язык курса - английский, но я не думаю, что это должно быть стоп-фактором. Мне сложно представить современного ИТшника, не умеющего понимать английский. Ну а про иностранные языки, вот несколько советов из моего личного опыта.
#саморазвитие
Формат курса, однозначно, более эффективен для получения практического опыта, тем более, что автор курса - действующий эксперт DFIR в команде GERT, работающей по всему миру.
DFIR - основа и для Incident Response, для Compromise Assessment, а также, для Threat hunting-а, абсолютно необходим для Detection Engineering-а.
В общем, вместо вечернего просмотра сериалов, можно потихоньку проходить хорошие online-курсы и заниматься саморазвитием вообще
Язык курса - английский, но я не думаю, что это должно быть стоп-фактором. Мне сложно представить современного ИТшника, не умеющего понимать английский. Ну а про иностранные языки, вот несколько советов из моего личного опыта.
#саморазвитие
Kaspersky Expert Training | Online Cybersecurity Courses
Windows digital forensics - Kaspersky Expert Training | Online Cybersecurity Courses
Master the skills of incident analysis, evidence collection, log file analysis, network analysis, creating indicators of compromise (IoC) and memory forensics.
👍6🔥4❤1
Forwarded from k8s (in)security (r0binak)
Классный исследователь безопасности и по совместительству подписчик нашего телеграм канала
100
Luis Toro Puig совсем недавно выступил на конференции EuskalHack с воркшопом Kubernetes Security Fundamentals. Доклад затронул, наверное, все самые базовые темы в направлении Kubernetes Security.100
must-have слайдов можно найти тут.👍2
В далекие институтские годы, моя преподавательница по СУБД говорила, что неправильно из баз удалять, все что попадает в базу должно там оставаться навсегда. Это считается "правилами хорошего тона" и выглядит "профессионально". С тех пор, на протяжении всей своей жизни, при проектировании баз данных я всегда стремился не удалять данные, а помечать их как удаленные, и вопрос решать уже на уровне отображения...
А с приходом машинного обучения, эти правила хорошего тона превратились в необходимость, ибо чем больше данных, тем быстрее и лучше мы обучаем наши модельки. В общем, много данных, как и много знаний, не бывает.
Однако, чем больше данных, тем, очевидно, шире на них поверхность атаки... тем более, когда есть соблазн думать, что данные удалены, их нет, а, следовательно, не стоит думать об их защите...
Ну вот и публикация поспела про Github. Лишнее подтверждение тому, что все, что мы с вами вбили в Интернет, останется там навсегда.
А с приходом машинного обучения, эти правила хорошего тона превратились в необходимость, ибо чем больше данных, тем быстрее и лучше мы обучаем наши модельки. В общем, много данных, как и много знаний, не бывает.
Однако, чем больше данных, тем, очевидно, шире на них поверхность атаки... тем более, когда есть соблазн думать, что данные удалены, их нет, а, следовательно, не стоит думать об их защите...
Ну вот и публикация поспела про Github. Лишнее подтверждение тому, что все, что мы с вами вбили в Интернет, останется там навсегда.
Trufflesecurity
Anyone can Access Deleted and Private Repository Data on GitHub ◆ Truffle Security Co.
You can access data from deleted forks, deleted repositories and even private repositories on GitHub. And it is available forever. This is known by GitHub, and intentionally designed that way.
👍3🔥1🤔1😱1
Two steps from DA.pptx
10.4 MB
Какое-то время назад пролетали слайды про атаки на AD через кривые ACL. Наконец-то дошли руки их полистать. Слайды хорошие: есть и базовая теория, есть и полезные ссылки, поэтому решил прикопать здесь.
А вот еще и видео к этим слайдам.
А вот еще и видео к этим слайдам.
👍2
Когда на внутренних семинарах я рассказываю про профиль потенциального заказчика для MDR, Compromise Assessment и Incident Response, то обычно показываю эту картинку. Принципиальный момент здесь: если есть явные следы компрометации - то далее должна работать команда IR, а если следов компрометации нет и надо их поискать - это задача для команды CA. Но жизнь многогранна, поэтому случаются и исключения
Некоторое время назад закончили проект CA, который мы внутри прозвали что-то вроде "zero-lead IR" - идея в том, что заказчик пришел, как бы за IR, однако, явных следов компрометации (leads) не имел.
История в том, что к заказчику пришел местный регулятор и сообщил, что у него на сетевом периметре стоит уязвимое (и эксплуатабельное!) сетевое оборудование, и что практически нет сомнений, что в таких условиях его взломали и ему немедленно следует провести расследование. Заказчик пришел к нам и мы ему помогли, а для себя отметили этот, не совсем типовой, профиль заказчика для Compromise Assessment.
У истории счастливый конец, заказчика не успели серьезно поломать. Но я не писал бы об этой истории в пятницу, если бы ни одно обстоятельство. Вместе с требованием провести расследование регулятор рекомендовал заказчику срочно обновить уязвимое сетевое оборудование, что заказчик незамедлительно выполнил (еще бы, регулятор потребовал!), поэтому если и были какие-либо артефакты эксплуатации уязвимостей, они канули в Лету при обновлении :(
Не будем здесь приводить очевидные выводы и следствия, просто давайте запомним эту историю, и что делать генеральную уборку места преступления следует только после завершения следственных действий.
#mdr #пятница
Некоторое время назад закончили проект CA, который мы внутри прозвали что-то вроде "zero-lead IR" - идея в том, что заказчик пришел, как бы за IR, однако, явных следов компрометации (leads) не имел.
История в том, что к заказчику пришел местный регулятор и сообщил, что у него на сетевом периметре стоит уязвимое (и эксплуатабельное!) сетевое оборудование, и что практически нет сомнений, что в таких условиях его взломали и ему немедленно следует провести расследование. Заказчик пришел к нам и мы ему помогли, а для себя отметили этот, не совсем типовой, профиль заказчика для Compromise Assessment.
У истории счастливый конец, заказчика не успели серьезно поломать. Но я не писал бы об этой истории в пятницу, если бы ни одно обстоятельство. Вместе с требованием провести расследование регулятор рекомендовал заказчику срочно обновить уязвимое сетевое оборудование, что заказчик незамедлительно выполнил (еще бы, регулятор потребовал!), поэтому если и были какие-либо артефакты эксплуатации уязвимостей, они канули в Лету при обновлении :(
Не будем здесь приводить очевидные выводы и следствия, просто давайте запомним эту историю, и что делать генеральную уборку места преступления следует только после завершения следственных действий.
#mdr #пятница
🔥5❤1🤣1
27 июля 1841 на дуэли погиб Михаил Юрьевич Лермонтов. Писатель, перечитывая которого уже сорокалетним многодетным отцом, я не переставал поражаться как можно писать так глубоко в 25 лет!
Я ни раз был и на месте дуэли и на месте первого захоронения, пока бабуля не увезла любимого Мишеля в родовые Тарханы , но до сих пор меня не оставляет трагичность судеб самого Михаила Юрьевича и его бабули, Николая Соломоновича и его сестры..., и мысли плавно переходят к судьбам его литературных героев: Бэлы, Максима Максимыча, Мэри и Грушницкого...
#книги #история
Я ни раз был и на месте дуэли и на месте первого захоронения, пока бабуля не увезла любимого Мишеля в родовые Тарханы , но до сих пор меня не оставляет трагичность судеб самого Михаила Юрьевича и его бабули, Николая Соломоновича и его сестры..., и мысли плавно переходят к судьбам его литературных героев: Бэлы, Максима Максимыча, Мэри и Грушницкого...
#книги #история
Telegram
Солдатов в Телеграм
Сегодня прогуливались вокруг горы Машук от места дуэли Лермонтова с Мартыновым до Провала. Следует заметить, что точное место дуэли доподлинно не известно и памятник установлен весьма примерно со слов сына извозчика, везшего Мишеля на дуэль. Та дуэль ужасна…
❤3🤡1
Когда я готовился к OSCP успел стать фанатом HTB. Всем настоятельно рекомендую ресурс. (например, в мое время лабы OSCP для подготовки были очень старые, тогда как по факту на экзамене было все новенькое, HTB очень помог)
Однако, со времен знакомства с Алексеем Евгеньевичем Жуковым на 4-м курсе, испытывал немалую слабость к прикладной криптографии, что иногда выливалось в небольшие исследования (ZN, PHD ).
А вот на днях попался ресурс, как HTB, но для тех кто любит криптографию.
В общем, ждут меня снова бессонные ночи 😁...
#саморазвитие
Однако, со времен знакомства с Алексеем Евгеньевичем Жуковым на 4-м курсе, испытывал немалую слабость к прикладной криптографии, что иногда выливалось в небольшие исследования (ZN, PHD ).
А вот на днях попался ресурс, как HTB, но для тех кто любит криптографию.
В общем, ждут меня снова бессонные ночи 😁...
#саморазвитие
CryptoHack
CryptoHack – Home
A free, fun platform to learn about cryptography through solving challenges and cracking insecure code. Can you reach the top of the leaderboard?
🔥11👍4🥰1
Forwarded from SOC FORUM | Неделя кибербезопасности
У нас для вас две новости. И обе отличные!
Первая: открыт сбор докладов на SOC Forum 2024. Заявки принимаем с 30 июля до 12 сентября.
Вторая: мы улучшили личный кабинет. Больше не нужно ждать заветного письмаиз Хогвартса с одобрением доклада на почте — на сайте можно сделать все и сразу:
· подать заявку на один или несколько докладов;
· отследить статус заявки;
· узнать важные новости для спикеров.
Уже ждем ваши доклады!
Первая: открыт сбор докладов на SOC Forum 2024. Заявки принимаем с 30 июля до 12 сентября.
Вторая: мы улучшили личный кабинет. Больше не нужно ждать заветного письма
· подать заявку на один или несколько докладов;
· отследить статус заявки;
· узнать важные новости для спикеров.
Уже ждем ваши доклады!
❤1
Несмотря на то, что почти всю жизнь мой work/life баланс в плачевном состоянии (хочется выразить глубокую благодарность всем членам моей семьи за терпение), мне все-таки удавалось принимать участие в жизни собственных детей, а поскольку в этом у меня было несколько попыток, позвольте мне считать себя экспертом в детской психологии и воспитании.
Детский коллектив, из насколько бы гениальных детей он ни состоял, устроен так, что если найдется хотя бы один разгильдяй\безобразник, то весь коллектив непременно скатится до его уровня. В общем, если все серьезно занимаются, но найдется кто-то, кто балуется и не слушает, очень скоро все будут баловаться и не слушать. Вполне возможно, отсюда исходит традиция удалять из класса тех, кто нарушает рабочую обстановку. Один способен подорвать и полностью уничтожить работу всего класса...
Как ни прискорбно это отмечать, но рабочим коллективам, состоящим из уже взрослых людей, свойственна эта же, описанная мною применительно к детям, проблема. В статье, да и вообще, в любой литературе обычно пишут о том, как важно мотивировать лидеров, поддерживать и всячески культивировать их мотивацию. А где-то пишут, что их мотивация будет заряжать остальных и, даже если есть разгильдяи, они непременно включатся в работу, пойдут в гору. Да, такое бывает, но чаще - наоборот, так как идти вниз лидеру проще, чем идти в гору разгильдяю, а закоренелому разгильдяю пойти в гору не суждено никогда, и не надо тешить себя надеждами.
Чем дольше разгильдяй остается в периметре коллектива, тем больше его негативное влияние на всех. Банально, коллеги смотрят на то, как ему все сходит с рук и мотивация пропадает, может, даже и на подсознательном уровне. Ситуация, очевидно, ухудшается еще больше, когда разгильдяй завязан в какие-либо производственные процессы - как бы не напрягались исполнители на всех других этапах, весь процесс будет работать в темпе разгильдяя.
А что с этим делать? Да, то же, что и учитель в классе - удалять! Разгильдяев надо быстро распознавать и увольнять, пока их влияние не заразило остальных и не погубило всю команду. Если нам, менеджерам, взбередет в голову удерживать и сохранять разгильдяя, то мы будем терять истинно мотивированных коллег, которые не смогли изменить своим приципам и скатиться до уровня разгильдяев, которые не смогли начать работать "в привычном темпе", толочь в ступе воду, даже если это соответствует каким-либо "лучшим практикам". Задача менеджера - обеспечение комфортной рабочей среды, нацеленной на достижение результата, где лидеры будут мотивировать, а чтобы они их мотивационное влияние работало, не должно быть разгильдяев-демотиваторов!
#управление
Детский коллектив, из насколько бы гениальных детей он ни состоял, устроен так, что если найдется хотя бы один разгильдяй\безобразник, то весь коллектив непременно скатится до его уровня. В общем, если все серьезно занимаются, но найдется кто-то, кто балуется и не слушает, очень скоро все будут баловаться и не слушать. Вполне возможно, отсюда исходит традиция удалять из класса тех, кто нарушает рабочую обстановку. Один способен подорвать и полностью уничтожить работу всего класса...
Как ни прискорбно это отмечать, но рабочим коллективам, состоящим из уже взрослых людей, свойственна эта же, описанная мною применительно к детям, проблема. В статье, да и вообще, в любой литературе обычно пишут о том, как важно мотивировать лидеров, поддерживать и всячески культивировать их мотивацию. А где-то пишут, что их мотивация будет заряжать остальных и, даже если есть разгильдяи, они непременно включатся в работу, пойдут в гору. Да, такое бывает, но чаще - наоборот, так как идти вниз лидеру проще, чем идти в гору разгильдяю, а закоренелому разгильдяю пойти в гору не суждено никогда, и не надо тешить себя надеждами.
Чем дольше разгильдяй остается в периметре коллектива, тем больше его негативное влияние на всех. Банально, коллеги смотрят на то, как ему все сходит с рук и мотивация пропадает, может, даже и на подсознательном уровне. Ситуация, очевидно, ухудшается еще больше, когда разгильдяй завязан в какие-либо производственные процессы - как бы не напрягались исполнители на всех других этапах, весь процесс будет работать в темпе разгильдяя.
А что с этим делать? Да, то же, что и учитель в классе - удалять! Разгильдяев надо быстро распознавать и увольнять, пока их влияние не заразило остальных и не погубило всю команду. Если нам, менеджерам, взбередет в голову удерживать и сохранять разгильдяя, то мы будем терять истинно мотивированных коллег, которые не смогли изменить своим приципам и скатиться до уровня разгильдяев, которые не смогли начать работать "в привычном темпе", толочь в ступе воду, даже если это соответствует каким-либо "лучшим практикам". Задача менеджера - обеспечение комфортной рабочей среды, нацеленной на достижение результата, где лидеры будут мотивировать, а чтобы они их мотивационное влияние работало, не должно быть разгильдяев-демотиваторов!
#управление
👍11🔥4🤡2🤔1
В нашем с вами канале есть раздел #книги, поэтому уместно здесь рассказывать и о книгах про книги, тем более, что предмет данного поста - весьма неплохая подборка литературы по различным направлениям как организации производства и управления, так и самоорганизации и саморазвития.
Как изменить себя к лучшему. 99 книг Библиотеки Сбера представляет собой сборник коротких статей о, наверно, самых известных книжках в своих областях. Если нам с вами когда-либо захочется погрузиться в ту или иную область, и мы будем подбирать себе литературу, начать имеет смысл с выбора из этих 99.
Сразу скажу, что я их все не читал, а какие-то, типа Шваба или рассуждения о том "почему одни страны богатые, а другие бедные", я и вовсе не планирую читать, но есть и книжки, очень хорошие, о которых мы писали. Как из песни не выкинуть слов, так и из списка Сбера не выкинить книжки, такой уж он есть, этот Сбер...
Наверно, я что-нибудь нарушу, если поделюсь своей электронной версией книги, поскольку с удивлением заметил, что это издание продается(когда читал пару лет назад, искренне думал какой Сбер молодец, что сделал такую замечательную подборку общедоступной бесплатно!) , но даже дилетант Google без труда сможет найти эту книгу самостоятельно.
А в этой заметке я приведу список книг, о которых можно почитать в этой "Библиотеке Сбера". Итак, поехали!
1. 7 навыков высокоэффективных людей. Мощные инструменты развития личности. Стивен Кови
2. От хорошего к великому. Почему одни компании совершают прорыв, а другие нет. Джим Коллинз
3. Жалоба – это подарок. Обратная связь с клиентом – инструмент маркетинговой стратегии. Джанелл Барлоу, Клаус Мёллер
4. Дао Toyota. 14 принципов менеджмента ведущей компании мира. Джеффри Лайкер
5. Искусство результативного управления. Ларри Боссиди, Рэм Чаран
6. Развитие лидеров. Как понять свой стиль управления и эффективно общаться с носителями иных стилей. Ицхак Адизес
7. Управление стрессом. Как найти дополнительные 10 часов в неделю. Дэвид Льюис
8. Когда гений терпит поражение. Взлет и падение компании Long-Term Capital Management. Роджер Ловенстайн
9. Догнать зайца. Как лидеры рынка выигрывают в конкурентной борьбе и как великие компании могут их настичь. Стивен Спир
10. 5S для офиса. Как организовать эффективное рабочее место. Томас Фабрицио, Дон Тэппинг
11. Черный лебедь. Под знаком непредсказуемости. Нассим Николас Талеб
12. Экономика впечатлений. Работа – это театр, а каждый бизнес – сцена. Б. Джозеф Пайн II, Джеймс Х. Гилмор
13. Эмоциональный интеллект. Почему он может значить больше, чем IQ. Дэниел Гоулман
14. Бережливое производство + шесть сигм в сфере услуг. Майкл Джордж
15. Менеджмент. Природа и структура организаций глазами гуру. Генри Минцберг
16. Любовь, любовь, любовь. О разных способах улучшения отношений, о приятии других и себя. Лиз Бурбо
17. Не стать заложником. Сохранить самообладание и убедить оппонента. Джордж Колризер
18. Викиномика. Как массовое сотрудничество изменяет все. Дон Тапскотт, Энтони Д. Уильямс
19. После меня – продолжение… Акин Онгор
20. Рефрейминг организации. Компания как фабрика, семья, джунгли и храм. Ли Болмэн, Терренс Дил
21. Управление результативностью. Система оценки результатов в действии. Майкл Армстронг, Анжела Бэрон
22. Цель. Процесс непрерывного совершенствования. Элияху Голдратт, Джефф Кокс
23. Краудсорсинг. Коллективный разум – будущее бизнеса. Джефф Хау
24. Wiki-правительство. Как технологии могут сделать власть лучше, демократию – сильнее, а граждан – влиятельнее. Бет Симон Новек
25. Переговоры. Полный курс. Гэвин Кеннеди
26. Результативность. Секреты эффективного поведения. Робин Стюарт-Котце
27. Танец перемен. Новые проблемы самообучающихся организаций. Питер Сенге, Ричард Росс, Смит Брайан, Джордж Рот, Арт Клейнер, Шарлотта Робертс
28. Сингапур. Восьмое чудо света. Юрий Сигов
29. Теряя невинность. Как я построил бизнес, делая все по-своему и получая удовольствие от жизни. Ричард Брэнсон
30. Критическая цепь. Элияху Голдратт
31. Deadline. Роман об управлении проектами. Том ДеМарко
Как изменить себя к лучшему. 99 книг Библиотеки Сбера представляет собой сборник коротких статей о, наверно, самых известных книжках в своих областях. Если нам с вами когда-либо захочется погрузиться в ту или иную область, и мы будем подбирать себе литературу, начать имеет смысл с выбора из этих 99.
Сразу скажу, что я их все не читал, а какие-то, типа Шваба или рассуждения о том "почему одни страны богатые, а другие бедные", я и вовсе не планирую читать, но есть и книжки, очень хорошие, о которых мы писали. Как из песни не выкинуть слов, так и из списка Сбера не выкинить книжки, такой уж он есть, этот Сбер...
Наверно, я что-нибудь нарушу, если поделюсь своей электронной версией книги, поскольку с удивлением заметил, что это издание продается
А в этой заметке я приведу список книг, о которых можно почитать в этой "Библиотеке Сбера". Итак, поехали!
1. 7 навыков высокоэффективных людей. Мощные инструменты развития личности. Стивен Кови
2. От хорошего к великому. Почему одни компании совершают прорыв, а другие нет. Джим Коллинз
3. Жалоба – это подарок. Обратная связь с клиентом – инструмент маркетинговой стратегии. Джанелл Барлоу, Клаус Мёллер
4. Дао Toyota. 14 принципов менеджмента ведущей компании мира. Джеффри Лайкер
5. Искусство результативного управления. Ларри Боссиди, Рэм Чаран
6. Развитие лидеров. Как понять свой стиль управления и эффективно общаться с носителями иных стилей. Ицхак Адизес
7. Управление стрессом. Как найти дополнительные 10 часов в неделю. Дэвид Льюис
8. Когда гений терпит поражение. Взлет и падение компании Long-Term Capital Management. Роджер Ловенстайн
9. Догнать зайца. Как лидеры рынка выигрывают в конкурентной борьбе и как великие компании могут их настичь. Стивен Спир
10. 5S для офиса. Как организовать эффективное рабочее место. Томас Фабрицио, Дон Тэппинг
11. Черный лебедь. Под знаком непредсказуемости. Нассим Николас Талеб
12. Экономика впечатлений. Работа – это театр, а каждый бизнес – сцена. Б. Джозеф Пайн II, Джеймс Х. Гилмор
13. Эмоциональный интеллект. Почему он может значить больше, чем IQ. Дэниел Гоулман
14. Бережливое производство + шесть сигм в сфере услуг. Майкл Джордж
15. Менеджмент. Природа и структура организаций глазами гуру. Генри Минцберг
16. Любовь, любовь, любовь. О разных способах улучшения отношений, о приятии других и себя. Лиз Бурбо
17. Не стать заложником. Сохранить самообладание и убедить оппонента. Джордж Колризер
18. Викиномика. Как массовое сотрудничество изменяет все. Дон Тапскотт, Энтони Д. Уильямс
19. После меня – продолжение… Акин Онгор
20. Рефрейминг организации. Компания как фабрика, семья, джунгли и храм. Ли Болмэн, Терренс Дил
21. Управление результативностью. Система оценки результатов в действии. Майкл Армстронг, Анжела Бэрон
22. Цель. Процесс непрерывного совершенствования. Элияху Голдратт, Джефф Кокс
23. Краудсорсинг. Коллективный разум – будущее бизнеса. Джефф Хау
24. Wiki-правительство. Как технологии могут сделать власть лучше, демократию – сильнее, а граждан – влиятельнее. Бет Симон Новек
25. Переговоры. Полный курс. Гэвин Кеннеди
26. Результативность. Секреты эффективного поведения. Робин Стюарт-Котце
27. Танец перемен. Новые проблемы самообучающихся организаций. Питер Сенге, Ричард Росс, Смит Брайан, Джордж Рот, Арт Клейнер, Шарлотта Робертс
28. Сингапур. Восьмое чудо света. Юрий Сигов
29. Теряя невинность. Как я построил бизнес, делая все по-своему и получая удовольствие от жизни. Ричард Брэнсон
30. Критическая цепь. Элияху Голдратт
31. Deadline. Роман об управлении проектами. Том ДеМарко
✍1
32. Новая цель. Как объединить бережливое производство, шесть сигм и теорию ограничений. Джефф Кокс, Ди Джейкоб, Сьюзан Бергланд
33. Гении и аутсайдеры. Почему одним все, а другим ничего? Малкольм Гладуэлл
34. Управление бизнес-процессами. Практическое руководство по успешной реализации проектов. Джон Джестон, Йохан Нелис
35. Как гибнут великие. И почему некоторые компании никогда не сдаются. Джим Коллинз
36. Командный подход. Создание высокоэффективной организации. Джон Катценбах, Дуглас Смит
37. Поток. Психология оптимального переживания. Михай Чиксентмихайи
38. Богатство семьи. Как сохранить в семье человеческий, интеллектуальный и финансовый капиталы. Джеймс Хьюз-мл.
39. Лидер без титула. Современная притча об истинном успехе в жизни и бизнесе. Робин Шарма
40. Победить с помощью инноваций. Практическое руководство по изменению и обновлению организации. Майкл Ташмен, Чарльз О’Райли III
41. Мегапроекты. История недостроев, перерасходов и прочих рисков строительства. Бент Фливбьорг, Нильс Брузелиус, Вернер Ротенгаттер
42. Больше, чем эффективность. Как самые успешные компании сохраняют лидерство на рынке. Скотт Келлер, Колин Прайс
43. Умение слушать. Ключевой навык менеджера. Бернард Феррари
44. Жизнь на полной мощности. Управление энергией – ключ к высокой эффективности, здоровью и счастью. Джим Лоэр, Тони Шварц
45. Сила воли. Как развить и укрепить. Келли Макгонигал
46. Великие по собственному выбору. Джим Коллинз, Мортен Хансен
47. На этот раз все будет иначе. Восемь столетий финансового безрассудства. Кармен М. Рейнхарт, Кеннет С. Рогофф
48. Искусство системного мышления. Необходимые знания о системах и творческом подходе к решению проблем. Джозеф О’Коннор, Иан Макдермотт
49. Банк 3.0. Почему сегодня банк – это не то, куда вы ходите, а то, что вы делаете. Бретт Кинг
50. Ускорение перемен. Джон П. Коттер
51. Почему одни страны богатые, а другие бедные. Происхождение власти, процветания и нищеты. Дарон Аджемоглу, Джеймс А. Робинсон
52. Будущее разума. Митио Каку
53. Как работает Google. Эрик Шмидт, Джонатан Розенберг
54. Принцип пирамиды Минто. Золотые правила мышления, делового письма и устных выступлений. Барбара Минто
55. Практическая мудрость. Правильный путь к правильным поступкам. Барри Шварц, Кеннет Шарп
56. Креативная компания. Как управлять командой творческих людей. Эд Кэтмелл, Эми Уоллес
57. Прыгни выше головы! 20 привычек, от которых нужно отказаться, чтобы покорить вершину успеха. Маршалл Голдсмит
58. Просто о больших данных. Джудит Гурвиц, Алан Ньюджент, Ферн Халпер, Марсия Кауфман
59. Кратко. Ясно. Просто. Алан Сигел, Айрин Этцкорн
60. Scrum. Революционный метод управления проектами. Джефф Сазерленд
61. Взаимодействие в команде. Как организации учатся, создают инновации и конкурируют в экономике знаний. Эми Эдмондсон
62. Эффективное правительство для нового века. Реформирование государственного управления в современном мире. Раби Абучакра, Мишель Хури
63. Четвертая промышленная революция. Клаус Шваб
64. Умные граждане – умное государство. Экспертные технологии и будущее государственного управления. Бет Симон Новек
65. Открывая организации будущего. Фредерик Лалу
66. Позитивная организация. Освобождение от стереотипов, принуждения, консерватизма. Роберт Куинн
67. Выбирать сильнейших. Как лидеру принимать решения о людях. Клаудио Фернандес-Араос
68. Сердце компании. Почему организационное здоровье определяет успех в бизнесе. Патрик Ленсиони
69. Блокчейн. Схема новой экономики. Мелани Свон
70. Университет третьего поколения. Управление университетом в переходный период. Йохан Г. Виссема
71. Huawei. Лидерство, корпоративная культура, открытость. Тянь Тао, Давид де Кремер, У Чуньбо
72. Ищи в себе. Неожиданный путь к достижению успеха, счастья и мира во всем мире. Тан Чад-Мень
73. Отношение определяет результат. Дов Сайдман
74. Синдром «шахты». Как преодолеть разобщенность в жизни и обществе. Джиллиан Тетт
75. Бережливые инновации. Как делать лучше меньшим. Нави Раджу, Джайдип Прабху
76. Просто об Agile. Марк Лейтон, Стивен Остермиллер
77. Введение в критическое мышление и теорию креативности. Джо Лау
33. Гении и аутсайдеры. Почему одним все, а другим ничего? Малкольм Гладуэлл
34. Управление бизнес-процессами. Практическое руководство по успешной реализации проектов. Джон Джестон, Йохан Нелис
35. Как гибнут великие. И почему некоторые компании никогда не сдаются. Джим Коллинз
36. Командный подход. Создание высокоэффективной организации. Джон Катценбах, Дуглас Смит
37. Поток. Психология оптимального переживания. Михай Чиксентмихайи
38. Богатство семьи. Как сохранить в семье человеческий, интеллектуальный и финансовый капиталы. Джеймс Хьюз-мл.
39. Лидер без титула. Современная притча об истинном успехе в жизни и бизнесе. Робин Шарма
40. Победить с помощью инноваций. Практическое руководство по изменению и обновлению организации. Майкл Ташмен, Чарльз О’Райли III
41. Мегапроекты. История недостроев, перерасходов и прочих рисков строительства. Бент Фливбьорг, Нильс Брузелиус, Вернер Ротенгаттер
42. Больше, чем эффективность. Как самые успешные компании сохраняют лидерство на рынке. Скотт Келлер, Колин Прайс
43. Умение слушать. Ключевой навык менеджера. Бернард Феррари
44. Жизнь на полной мощности. Управление энергией – ключ к высокой эффективности, здоровью и счастью. Джим Лоэр, Тони Шварц
45. Сила воли. Как развить и укрепить. Келли Макгонигал
46. Великие по собственному выбору. Джим Коллинз, Мортен Хансен
47. На этот раз все будет иначе. Восемь столетий финансового безрассудства. Кармен М. Рейнхарт, Кеннет С. Рогофф
48. Искусство системного мышления. Необходимые знания о системах и творческом подходе к решению проблем. Джозеф О’Коннор, Иан Макдермотт
49. Банк 3.0. Почему сегодня банк – это не то, куда вы ходите, а то, что вы делаете. Бретт Кинг
50. Ускорение перемен. Джон П. Коттер
51. Почему одни страны богатые, а другие бедные. Происхождение власти, процветания и нищеты. Дарон Аджемоглу, Джеймс А. Робинсон
52. Будущее разума. Митио Каку
53. Как работает Google. Эрик Шмидт, Джонатан Розенберг
54. Принцип пирамиды Минто. Золотые правила мышления, делового письма и устных выступлений. Барбара Минто
55. Практическая мудрость. Правильный путь к правильным поступкам. Барри Шварц, Кеннет Шарп
56. Креативная компания. Как управлять командой творческих людей. Эд Кэтмелл, Эми Уоллес
57. Прыгни выше головы! 20 привычек, от которых нужно отказаться, чтобы покорить вершину успеха. Маршалл Голдсмит
58. Просто о больших данных. Джудит Гурвиц, Алан Ньюджент, Ферн Халпер, Марсия Кауфман
59. Кратко. Ясно. Просто. Алан Сигел, Айрин Этцкорн
60. Scrum. Революционный метод управления проектами. Джефф Сазерленд
61. Взаимодействие в команде. Как организации учатся, создают инновации и конкурируют в экономике знаний. Эми Эдмондсон
62. Эффективное правительство для нового века. Реформирование государственного управления в современном мире. Раби Абучакра, Мишель Хури
63. Четвертая промышленная революция. Клаус Шваб
64. Умные граждане – умное государство. Экспертные технологии и будущее государственного управления. Бет Симон Новек
65. Открывая организации будущего. Фредерик Лалу
66. Позитивная организация. Освобождение от стереотипов, принуждения, консерватизма. Роберт Куинн
67. Выбирать сильнейших. Как лидеру принимать решения о людях. Клаудио Фернандес-Араос
68. Сердце компании. Почему организационное здоровье определяет успех в бизнесе. Патрик Ленсиони
69. Блокчейн. Схема новой экономики. Мелани Свон
70. Университет третьего поколения. Управление университетом в переходный период. Йохан Г. Виссема
71. Huawei. Лидерство, корпоративная культура, открытость. Тянь Тао, Давид де Кремер, У Чуньбо
72. Ищи в себе. Неожиданный путь к достижению успеха, счастья и мира во всем мире. Тан Чад-Мень
73. Отношение определяет результат. Дов Сайдман
74. Синдром «шахты». Как преодолеть разобщенность в жизни и обществе. Джиллиан Тетт
75. Бережливые инновации. Как делать лучше меньшим. Нави Раджу, Джайдип Прабху
76. Просто об Agile. Марк Лейтон, Стивен Остермиллер
77. Введение в критическое мышление и теорию креативности. Джо Лау