Полезное и бесплатное

Ловите подборку годного образовательного контента для погружения в мир кибербезопасности – как со стороны атаки, так и защиты 👇

Для синих (защищающих) ребят:
- Введение в информационную безопасность от Selectel
- С нуля до аналитика DevSecOps | Введение в кибербезопасность
- КИБЕРБЕЗОПАСНОСТЬ 2024 | ТЕОРЕТИЧЕСКИЙ КУРС - ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ
- Мастер-классы по кибербезопасности от кафедры №42 "Криптология и кибербезопасность"

Для красных (атакующих) ребят:
- Полный учебный курс по этичному хакингу 2023 от нуля до мастерства
- Взлом Android приложений | Проверка приложений на уязвимость
- Взлом серверов и сетей | Международная сертификация OSCP
- Тестирования сайтов на уязвимость
- Практическое руководство по взлому веб-приложений
- Kali Linux для начинающих: основы, администрирование, взлом

Для всех сразу:
- Хакинг и кибербезопасность. Обучение от Skillbox

#DevSecOps #Pentest #AppSec #BaseSecurity

Твой Пакет Знаний | Кибербезопасность

Подборок много не бывает

Три подборки со сканерами и анализаторами (статическими и динамическими) всего, чего только можно – от бинарей и облаков до API и кода практически на любом попсовом языке.

Есть как платные инструменты (помним про триальные версии, кряки и манибэки), так и бесплатные.

✍️ Подборка раз (статика) – ссылка
✍️ Подборка два (динамика) – ссылка
✍️ Поборка три (веб) – ссылка

#AppSec #Pentest #DevSecOps

🧠 Твой Пакет Знаний | Кибербезопасность

Ну что, готовы к крутой лекции по безопасности k8s от отца контейнеров @aleksey0xffd? OWASP k8s TOP 10, RBAC, security context для pod и контейнеров в нем, аутентификация и авторизация, безопасная конфигурация workloads, секреты, сегментация сети внутри кубера и многое другое.

В общем, вся база всего за час, а не за 10, как у практически всех площадок онлайн-образования. Смотрим, впитываем, образовываемся – ютуб и рутуб.

#BaseSecurity #DevSecOps

🧠 Твой Пакет Знаний

Харденинг

Есть такая область безопасности и ДевОпса под названием харденинг. Если коротко, то с помощью этого подхода можно обеспечить дополнительную безопасность чего-угодно (сервера, сети, БД, ОС) за счет уменьшения поверхности атаки = заколачивания окон досками.

Делается это обычно при помощи достаточно сурового затягивания болтов через конфигурации, отключения избыточных функций и доступов. Вещь в работе и на собесах нужная, так что забираем.

⚙ Целый сборник харденинг-годноты – раз и два
⚙ Чеклисты по харденингу всего и вся – ссылка

#BaseSecurity #DevSecOps #Network

🧠 Твой Пакет Знаний | 🛍 Другие каналы

Настало время уязвимостей

Что-то модно (как уязвимости Next.js и GraphQL), что-то вышло из моды (как уязвимости для Adobe Flash Player), а что-то вечно (привет, Битрикс).

Как вы уже догадались, сегодня мы поговорим про уязвимости. А точнее про то, как безопасники вообще следят за их трендами и тем, что сейчас их всего скопления CVE стоит их внимания, а что из этого уже можно забыть.

Человечество уже давно подумало об этой проблеме, ведь новые уязвимости появляются каждый день, а актуальными они остаются разные периоды времени. Часть из них охватывает большие ландшафты (как было с log4j), а некоторые, хоть и критичные, не так страшны, из-за того, что уязвимые элементы не так распространены.

Так вот, существуют специализированные платформы или сервисы, которые собирают, анализируют и предоставляют информацию о наиболее актуальных и опасных уязвимостях в сфере кибербезопасности. И да, к ним также подключаются решения класса TI, чтобы мониторить обстановку.

Ну а вот и эти платформы-агрегаторы 👇

📂 CVE Crowd – один из самых популярных сервисов

📂 CVE Shield – один из самых старых агрегаторов

📂 Vulmon Vulnerability Trends – хороший агрегатор с историей за прошлые дни

📂 CVE Trends – топ10 обсуждаемых в интернетах уязвимостей за сутки

📂 Vulners – целый портал кибербезопасных инфоповодов, включая эксплойты, безопасность AI, BugBounty и прочее

Их на самом деле намного больше, но половина из этих сервисов дублирует друг друга, да и я не уверен, что стоит пользоваться всеми. Что-то себе по вкусу вы из этого списка найти точно сможете.

#BaseSecurity #AppSec #DevSecOps #Pentest

🧠 Твой Пакет Знаний | 🛍 Другие каналы

Да кто такой, этот ваш mTLS

На собеседованиях все еще продолжают спрашивать про mTLS, его отличие от TLS, зачем оно надо, как оно работает и от чего защищает.

Собственно, ловите пару статеек на эту тему – там и про рукопожатия, и про конфиги в k8s, и про Ambient Mesh, и даже картиночки есть.

✅ Статья раз – ссылка

✅ Статья два – ссылка

#BaseSecurity #DevSecOps #Network

🧠 Твой Пакет Знаний | 🛍 Другие каналы

Давай мясо

Не помню, скидывал ли я эту визуальную мясорубку сюда или нет, но держите – ссылка

Здесь наглядно показано, почему ребята из DevSecOps зарабатывают больше среднего по больнице. В целом, можно брать эту референсную схему и накладывать ее на ваш ландшафт, процессы и технологии.

Да, потом придется все это строить, но это уже совсем другая история.

#DevSecOps

🧠 Твой Пакет Знаний | 👨‍🏫 Менторство ИБ
📂 Другие каналы

Безопасность куберов

Наткнулся на комплексный гайд от ребят из CrowdStrike (помните их, да? ну ладно, с кем не бывает) про то, как атакуют и защищают кластера Kubernetes.

В целом, ничего нового, помимо хорошо расписанных векторов атак. Ну а если вы только погружаетесь в безопасность k8s, то для начала советую почитать старую-добрую базу от ребят из QIWI – ссылка

#DevSecOps #BaseSecurity #CloudSecurity

🧠 Твой Пакет Знаний | 👨‍🏫 Менторство ИБ
📂 Другие каналы

Врум-врум, коллеги по цеху. Настало время попробовать стримы на технические темы и разборы чего-то хардкорного, за которые вы голосовали вот здесь.

В этот раз обсудим достаточно попсовую, но всё еще болезненную для многих тему харденинга k8s. Это спрашивают на собеседованиях, это пригождается в работе. Да и в целом, полезно будет узнать, как защищать то, на чем держится 80% энтерпрайза в наши дни.

Ну а расскажет вам об этом самый настоящий кибербезопасник и автор канала s3c4rch – @tembitt

🗓 Когда: 16 марта в 16:00 по мск
📍 Где: прямо в этом канале в формате стрима

Честно не знаю, что из этого получится, но если вам зайдет, то будем продолжать.

#DevSecOps #BaseSecurity #CloudSecurity

🧠 Твой Пакет Знаний | 👨‍🏫 Менторство ИБ
📂 Другие каналы

Очень забавная и легкая статейка по основам MLSecOps. Еще и с визуализацией в виде котов.

Структурированные таблицы, красивые кастомные схемы и даже мини-модель угроз входят в комплектацию.

Так что если вы собирались начать погружаться в эту область кибербеза, то рекомендую почитать – ссылка

#DevSecOps #AI #BaseSecurity

🧠 Твой Пакет Знаний | 👨‍🏫 Менторство ИБ
📂 Другие каналы

Продолжаем тему безопасности микросервисной архитектуры. Сегодня у нас на очереди годная статья от одного известного в узких кругах безопасника про Service Mesh и про то, как его приручить – ссылка

Там и про Istio, и про mTLS, и про то, как все это провернуть в реальной жизни.

#DevSecOps #BaseSecurity

🧠 Твой Пакет Знаний | 👨‍🏫 Менторство ИБ
📂 Другие каналы

На GitHub не так много звездных ИБшных репозиториев, и это как раз один из них – ссылка

Собственно, это очередной агрегатор всего, что можно от AppSec и DevSecOps до пентеста и фишинга. Там и чеклисты, и инструменты, и фреймворки, и тактики, и даже лабораторные.

#AppSec #Pentest #DevSecOps #BaseSecurity #Network #web3

🧠 Твой Пакет Знаний | 👨‍🏫 Менторство ИБ
📂 Другие каналы

DevOps полезен всем

Сегодня у нас в меню очень интересный проект - подробная дорожная карта для будущих DevOps специалистов... И не только для них!

Как все мы знаем, ИБ это только надстройка над ИТ. Поэтому хороший безопасник, помимо профильных знаний, также должен иметь крепкие знания касающиеся информационных технологий. На данном ресурсе есть много полезных материалов для изучения Python, Linux, Docker и т.д. Но самое главное - этот roadmap поможет обрести или же укрепить понимание того, как работает микросервисная архитектура изнутри.

Приятного просмотра! И помните, что для выстраивания хорошей защиты нужно также хорошо понимать сам продукт, который вы защищаете. Для атаки это работает также, так что пентестеры тоже не отвертятся.

А, ну и ловите еще один роадмап по девопсу файликом, он чуть менее подробный.

#BaseSecurity #DevSecOps

🧠 Твой Пакет Знаний | 👨‍🏫 Менторство ИБ
📂 Другие каналы