🎁 Праздник и подарки 🎁

Недавно Нас стало более 1000 человек. И вот, нам захотелось чем-то порадовать себя и Вас. Устроим конкурс!!!

Есть 3 темы, в каждой из которых будет свой победитель. Предвещаю вопросы и прочее — да, конкурс максимально субъективный, будем судить Я, мемолог и наша команда. Всё отправлять в комментарии под данный пост!

⭐️ Темы

1. Фраза, с которой ассоциируется канал — оценивает ЖБ'

Она попадет в описание канала и будет его украшением

2. Самое мемное, что с вами было за вашу практику — оценивает 4rchi

3. Самый милый питомец подписчика — оценивает Вся команда

Допускаются не только Ваши питомцы, но и уличные. Главное правило, что Вы их фоткали и умилялись. Конечно, мы попросим доказательств этой милоты, но надеемся на Вашу честность 🤗

Также, я предусмотрел вариант, если победитель окажется заграницей. В таком случае, у Вас будет выбор за 💎 TON и Годовой подпиской на ⭐️ Телеграм премиум для Вас и Вашего друга. Все остальные подарки пока секрет, но они не разочаруют.

Вы оба должны быть подписаны на канал

Бустик на котиков и хорошие реакции на посты — 👀 ТЫК

Конкурс проводится до 7-ого марта. Всем удачи и спасибо, что Вы с нами ❤️❤️

#конкурс

✏️ Для тех, кто только начинает свой путь

Много ребят, которые только решили для себя пойти по стопам инф беза, задаются одним вопросом - "С чего начать?". Вопрос правильный и почти всегда приводит к законному ответу - "Иди на площадки обучайся". Вот про них сегодня и поговорим.

🤨С чего всё началось

Начну со своей истории. Мне 17 лет и я очень хочу покорить мир пентеста или, как тогда модно было — этичного хакера. Но что у нас на тот момент было? Hack the box.... и всё. И тот со своими приколами - взломай, чтобы поиграть. И вот так начался мой путь.

😜Что есть сейчас

Всё есть. На этом можно было и закончить этот тезис, но нет. Платформ сейчас действительно много и каждая со своими отличительными качествами. Как же выбрать? С этим нам поможет исследование одного из моих знакомых (да-да, Ваш покорный кот🤗 тоже в нем поучаствовал).

🌐 Обзор платформ для практического обучения: направления Offensive и Defensive

Я благодарен автору, что он смог собрать информацию и про каждую из платформ рассказать. Так что если Вы только начинаете свой путь - рекомендую к ознакомлению.

Даже среди моих знакомых нашлись ребята, которым очень пригодилось

#бредниавтора

❤️ Пришла весна, а с ней и перемены ❤️

Как вы уже увидели, произошла смена логотипа канала. Именно от него я буду отталкиваться в своих презентациях и выступлениях. Кот, который был до этого, был продуктом генерации ИИ. Это делало канал не полностью человеческим. А сейчас пора сказать: "Это не просто проект, а уже часть меня". Именно поэтому пришло время перейти на новый стиль, ведь скоро PHD2 и куча других мероприятий, где мне хотелось бы выступить. Из основного больше ничего не изменяется, кроме описания. Подача, юмор и технический материал будут оставаться на той высоте, которую мы задали полгода назад.

🎁 Конкурс продолжается: Не бойтесь участвовать, у вас есть все шансы на победу!

Спасибо, что остаётесь с нами. ❤️

#бредниавтора

🎁 Dev(Sec)Ops RoadMap как найти работу
#карьера #devsecops

В чате канала вчера спрашивали про roadmap для DevSecOps. Что нужно учить?

Пункт 1. Я считаю правильным ответом на данный вопрос всегда являлся и будет являться ответ: зайди на сайт с вакансиями, найди выбранную должность и прочитай 20-30 вакансий, выпиши повторяющиеся термины и изучи что это. Это применимо к любой стране и к любой должности, если вы конечно не выбираете учить то, чего ещё нет на рынке. В таком случае откуда вы об этом узнали, оттуда начинайте поиск информации о необходимых навыках.

Но мы же люди ленивые? Лично я, да. Все всегда хочется искать что-то самостоятельно, а найти готовый roadmap или mindmap, где за вас умные люди составили график, что вам нужно учить. В таком случае нашёл для Вас несколько интересных материалов:

А Вы точно уверены, что перед тем как стать DevSecOps, вы изучили инструменты DevOps и научились применять эти практики?

▶️ Если нет, то возвращаемся к пункту 1, за красной таблеткой. Если же вы выбурили синюю таблетку, то вот мой ответ на вопрос: "Что нужно знать DevOps инженеру?"
Управления версиями: Gitlab
Инструменты CI/CD: Jenkins, Gitlab, (набирает популярность Agro CD)
Оркестрация контейнеров: kubernetes, docker-compose (более редко необходим Docker Sward, OpenShift)
Автоматизация развертывания: Ansible, Terraform
Языки программирования: Python, Bash
Хранение секретов: Vault
Мониторинг: Prometheus, Grafana [ Zabbix пора отправить на покой ]
Логгирование: ELK

Если слова выше для вас не показались чем-то незнакомым или как говорит мой друг, "на эльфийском языке", то поздравляю, Вы DevOps инженер :)

▶️ Возвращаясь к теме поста, что нужно учить DevSecOps? Всё то, что знает DevOps и:
Поиск секретов: GitGuardian, Gitleaks, truffleHog, DeepSecrets (последнее от моего знакомого Михаила из Avito Tech, у его инструмента не стандартный подход к поиску секретов)
SCA: Snyk, Syft, Cdxgen, Trivy, Dependency Track
SAST: Semgrep (много фолзит, использовать только вкупе с чем-то), Bearer, CodeQL, Spotbug, Terrascan
DAST: OWASP ZAP, nuclei, Dastardly
Container Security: Grype, Open Policy Agent, kube-hunter (активно не поддерживается), kube-bench , Falco, Tracee, Anchore (активно не поддерживается), Clair

⭐️ Как-то так. На самом деле список тулз у DevSecOps постоянно пополняются. И тем более приходится писать что-то под свои задачи. Надеюсь было полезно. Но DevSecOps

Также отдельное спасибо @belka_e

Отмечу, что сейчас сам занимаюсь разработкой и по сути у меня нет коммерческого опыта ни в разработке, ни в DevSecOps. Так что узнаю всё по ходу выкладывания постов. Но большое спасибо коллегам, кто готов помогать мне!

Выводы:
1. У нас очень мало DAST'ов опенсоурсных, да и коммерческих качественных рабочих решений тоже мало.
2. Простор для разработки коммерческих решений огромен, как и потенциал этой области.
3. DevOps не очень сложно обучиться, а вот DevSecOps уже даёт прикурить знатно, проверено на себе.
4. Методологии и инструменты DevSecOps мало где применяются, так что рынок ждёт новых решений и подходов.
5. Когда я слышал про заоблачные ЗП devsecops инженеров, думал что ситуация как с MLщиками и Data Science в своё время, но нет. Тут реально огромный пул знаний, который включает в себя ещё по меньшей мере appsec и даже пентест.

❤️ @poxek

❤️ Подведение итогов конкурса ❤️

Друзья, вот и подошел к завершению наш увлекательный конкурс, в котором мы отмечали рост нашего сообщества до более чем 1000 человек! Благодарим каждого из вас за участие и за то, что разделили с нами свои мемы и, конечно, фотографии ваших очаровательных питомцев.

Но, как и обещали, Мы подходим к самому интересному моменту — объявлению победителей!

🌟 В категории "Фраза, с которой ассоциируется канал", победителем становится Никто ! Нет участников — нет проблем с определением )

🌟 В категории "Самое мемное, что с вами было", победил Draiko ! Ваше приключение вызвало настоящий взрыв смеха и доказало, что у наших подписчиков отличное чувство юмора.

🌟 И, наконец, в категории "Самый милый питомец подписчика", победителем становится @shdwpwn! Фотография вашего питомца не только растрогала нас, но и мгновенно стала фаворитом среди близких людей.

🎉 Поздравляем победителей! 🎉

Со всеми победителями спишусь в ближайшее время 👀

Со всеми, кто прислал своих питомцев тоже спишусь. Зачем? Я никогда ничего не выигрывал по случаю или из-за особых заслуг. Вот я и решил, что все достойны получить приз, хоть и не большой. Магнитик с котиком будет ждать Вас СДЭКом или могу лично приехать и передать, а также денюжку на лакомство для ваших питомцев (лично с каждым обсудим)

Спасибо, что Вы с нами, за то, что делаете наше сообщество таким живым и вдохновляющим. До новых встреч в наших будущих постах! ❤️❤️

#конкурс

👨‍💻 Взломаю ваш мейнфрейм и обойду файрвол командой ping

Да, примерно так звучит стандартная фраза из фильма про хакеров. Но у меня возникает к Вам вопрос — "Вы смотрели фильмы про хакеров?" Там они такие крутые: взламывают системы за секунды, стучат по клавиатуре как сумасшедшие, а иногда даже используют... котиков!

😊 Вот и назрел вопрос — "Но так ли это на самом деле?"

Но так ли всё на самом деле в жизни? Разобраться в этом нам поможет статья от наших друзей.

🗣 ТЫК


🗂 Немного моей подборки:

🔵 Castle, 8 сезон, 8 серия

Стандартный сериал с ТВ-3

Помните битву хакеров, где кубики Рубика заменяли файерволы, а котики – атаки? Да, зрелищно, но к реальности отношения не имеет.

🔵 NCIS

Ещё один сериал с ТВ-3

А как Вам сцена, где два агента одновременно печатают на одной клавиатуре, отражая хакерскую атаку👀? Смешно, но в жизни так не бывает.

🔵 Парк Юрского Периода

Маленькая Лекс взламывает парк через графический интерфейс, говоря: "Это Unix, я знаю!". Ну, во-первых, Unix не так прост, а во-вторых, в реальности такие системы управляются не через интерфейс, а через командную строку.

❕

- В фильмах про хакеров иногда можно увидеть правдивые моменты (mr.robot, Stalk, whoami).
- Хакеры – не всегда плохие люди (пентесты и ББ никто не отменял)
- Кибербезопасность – это важно!

🖥 Подводные камни некоторых решений, или как система, работающая на тебя, может обернуться против

😜<Тут не будет рекламы DLP системы>

В данной статье речь пойдет о самом спорном решении в ИБ — DLP (Data Loss Prevention). Вокруг этой системы очень давно идут споры об этичности применения системы и нарушении Конституции РФ (статья 23 и 138).

В ходе расследования инцидента DLP может являться хорошим источником информации, данные из которой в дальнейшем можно использовать как доказательную базу в суде. Как пример — Дело №33-90/11, правда в данном кейсе бизнесу не хватило прямых доказательств причастности сотрудника. А вот уже Дело №81-1197/2021 имеет четкую доказательную базу (подробнее об этом - ТЫК).

Всё это только на усмотрение суда

В компании должны быть легализованы ДЛП решения. Необходимо знать о том, что процесс регламентирован, иначе суд не примет улики не только во внимание, но могут и возникнут последствия ответных исков на компанию.

⏳ Современные тенденции

В последнее время многие российские DLP системы активно рекламируют использование решения класса UAM в своих системах. UAM (User Activity Monitoring) записывают ВСЮ активность пользователя на компьютере (keylogger ⚠️, анализ поведения сотрудников, анализ сообщений в переписке, время "рабочей" активности). Это хоть и позволяет собрать дополнительные доказательства по выявленному инциденту ИБ, но также хранит в себе много аналитики личной информации. Такие решения основаны на том, чтобы специалист ИБ видел, возможно, излишнюю информацию о сотрудниках компании.

Один из примеров использования личной информации сотрудника в попытке зарекомендовать себя (а может быть и по просьбе самого начальника) рассмотрен в статье — ТЫК. В данном случае можно спокойно налететь на нарушение Конституции. Это уже не DLP в ее стандартном понимании, а какое-то хранилище личных данных, доступ к которому есть у "избранных" 👍.

В настоящее время зарубежный рынок с решениями класса DLP настроен на автоматизированную работу с информацией. Они запрещают прохождение чувствительной информации за периметр компании на основании заранее проработанных политик. Это минимизирует работу аналитиков данных систем, которые не имеют доступ к личной информации, но могут оперативно реагировать на инциденты. Такие классы решений более эффективны, чем аргументы некоторых вендоров об использовании "скелетов в шкафу" сотрудников компании.

🤨Что делать, если такая система будет необходима

Если перед вами стоит выбор системы, то необходимо максимально стараться отыскать автоматизированную систему, в которой ручной анализ будет сводиться к минимуму. При этом следует обращать внимание на:
🔵гибкость создания политик;
🔵возможность анализа КИ самой системой, без необходимости получения аналитиком доступа к информации;
🔵возможность блокировки доступа на запрещаемые в компании сайты и ресурсы,
🔵гибкость настройки агента на конечных устройствах.

#blueteam

💻 Bubunta Ubunta Hardening

Порой базовых настроек безопасности не хватает, приходится заниматься "закалкой" своих хостов, а делать это вручную - довольно тягомотное занятие. Честно говоря, когда-то у меня была идея самостоятельно написать bash скрипт для закалки того же дебиана, но я подзабил на это :))). Так вот закалка, о которой мы говорим, как раз упрощается с помощью готового 🌐 фрейморка.

🔥 Фреймворк написан на Bash и устанавливает несколько наборов инструментов безопасности.
Если быть точнее, то основной набор инструментов включает в себя:

- SSH Intrusion Detection (отдельный демон⭐️)
- Auditd ("закаленная" конфигурация)
- Автоматизированное развертывание Fail2Ban
- Автоматизированная установка обновлений через Cron
- Автоматизированное развертывание RKHunter
- Автоматизированное развертывание Lynis
- Развертывание огненной стены firewall 🛡
- Автоматизированная "закалка" сети (TCP/IP Stack Hardening)
- Автоматизированное развертывание AppArmor
- Автоматизированная установка парольной политики (по заявлением разработчика фреймворка - довольно консервативной, еще и с логгированием)
- Автоматизированная "закалка" SSH (MFA, Key-Based аутентификация)

Я бы ещё от себя добавил, но сегодня не об этом 🤗

📕 Установка:

apt update && apt upgrade -y
apt install -y git #Если гита у вас не стоит

git clone https://github.com/error-try-again/UbuntuHardeningFramework.git
cd UbuntuHardeningFramework/hardening/
chmod +x automated_hardening.sh
./automated_hardening.sh

Или в виде серии отдельных автономных скриптов:

cd hardening/standalones
find . -type f -name '*.sh' -exec sudo bash {} \;

❕ Если вы еще не ставили этот фреймворк, то также необходимо будет создать отдельную учетку пользователя, который будет использоваться для входа, а также для административного доступа

./security/create_administrative_user.sh <your_new_user>

Это основные шаги по установке, более подробное описание можно получить на 💻 GitHub

✉️

Также фреймворк поддерживает уведомления и алерты в почту по практически всем перечисленным пунктам из основного набора инструментов.

📌 Помимо прочего разработчик предложил дорожную карту по дальнейшему развитию, где указано:

- Добавление точных примеров конфига
- Добавление документации
- Доп. средства для управления оповещениями и журналами
- Оптимизация конфигурации

Не болейте💙
#blueteam