Сегодня3️⃣ года 🥳 со дня начала моей работы в Positive Technologies 🤟

На днях вышел новый выпуск журнала Positive Research, где Максим Филиппов рассказал про историю компании. Приведу цитату из интервью Максима, которая отражает ценности Positive Technologies:

Во-первых, готовность искренне принимать и разделять загоризонтные цели. Без этого ты не будешь никому интересен: если выберешь цель на троечку, за тобой никто не пойдет. Мы всегда стремимся к новому, поэтому здесь нельзя лечь в сторонке и комфортно работать работу.

Во-вторых, важна результативность. Авторитет в Позитиве зарабатывается только через результат, причем общепризнанный. Прежде чем стать большим начальником и учить других, ты должен доказать, что чего-то стоишь. Позитив — это агрессивная экспертная среда. На тебя пристально смотрят и постоянно оценивают. Зато если справишься, весь живой организм компании, построенный на горизонтальных связях, начнет тебе помогать. Коллеги будут решать для тебя самые сложные задачи и постоянно работать на усиление: поверьте, это настоящий кайф!

Вообще, умение творить такой кросс-функциональный мэджик — одно из главных отличий условного менеджера Позитива. Причем без тонны согласований и громких писем о том, что сейчас кто-то великий займется чем-то великим и всех спасет. Так в Позитиве не работает.

У нас даже есть мем: если приходит письмо, что к нам вышел большой директор, который всем поможет, значит, через два месяца он уволится. Проверено!

Кроме того, Позитив не был бы Позитивом без нашей трушной хакерской правды. В ядре нашей компании заложены незыблемые смыслы, с которыми, как говорится, хер поспоришь. Ты реально считаешь, что защищен? Ну давай проверим: я готов тачилу свою поставить, кидаем ключи на стол! Эта трушность и формирует стержень Позитива: именно она лежит в основе компании, а не деньги и разные рюшечки. Это важно понимать и принимать.

Вообще, Позитив, как и любая другая компания, подойдет не всем. У меня на притирку ушло года полтора-два. Зато если вы все же друг друга примете, начнется тот самый мэджик. Ты обогатишь Позитив, а он — тебя, и в этом симбиозе родится результат.

История про «работаю с 9 до 18», наверное, приемлема для определенных ролей, но до больших дел с таким подходом не доберешься. Вера в то, что ты делаешь, в саму компанию и заложенные в ней смыслы значительно умножит все твои усилия.

Также см. интервью Дмитрия Максимова, сооснователя Positive Technologies, Авантюра. Старт Позитива 🚀🚀🚀

#PositiveEducation #личное

С высшим, но без среднего 😤

Так обучают ИБ-специалистов в наших вузах.

Накипело 😡

Мы стремимся подготовить выпускников, умеющих расследовать инциденты, реверсить малварь, проектировать системы ИБ... , но наблюдаем провал в знании компьютерных сетей. Да-да, те самые TCP и UDP. Посмотрите, как обучают на матмехе СПбГУ, давайте внедрим такую практику в ИБ-вузах? ✍️

У студентов существенные пробелы в понимании архитектуры ОС, позже на предприятия приходят работать инженеры по ИБ без умения пользоваться консолью! 👷 Да, инженер без знания консоли — наше настоящее 👨‍💻 Давайте начнем с малого, отключим в компьютерных классах графический интерфейс ОС. Студенты способны запомнить несколько Linux команд 🤓

Мне это напоминает харденинг в ИТ, когда набор несложных рекомендаций по настройке ИТ позволяет значительно усилить ИБ в организации 🤔

По аналогии с ИБ-образованием, обновление подходов в преподавании ИТ позволит улучшить подготовку студентов 💪

#заметки_для_преподавателя

Вакансия в Positive Education 🟥

Ищу в свою команду менеджера проекта «Школа преподавателей кибербезопасности 2026» (о Школе подробнее тут, тут и тут) — человека, который возьмет на себя процессную часть и поможет развивать проект

Здесь важны
1️⃣ Интерес к кибербезопасности 🥷
2️⃣ Опыт преподавания или работы в вузе 👨‍🏫
3️⃣ Желание развиваться в EdTech и создавать лучшее обучение кибербезу в стране 🚀🚀🚀

📍Локация: Москва и Московская область (нужно будет организовывать работу в Москве, удаленный формат не сработает)

Что предварительно будет делать новый менеджер:
💡сопровождение всех процессов Школы: подготовка, запись контента и еще много интересного
💡консультации и поддержка учащихся (чатов и коммуникаций)
💡организация рабочих процессов и мероприятий
💡инициативы по улучшениям, новые подходы, идеи 🚀

Итоговые задачи, варианты оформления и возможности роста обсудим лично

👉 Если заинтересовались — пишите мне ✍️

#PositiveEducation #вакансия

Почему преподаватель по ИТ в вузе не развивается или кто определяет содержание дисциплины? 🤔

Построим, как настоящие ученые, модель создания новой дисциплины в вузе 👨‍🎓

Представим, что молодому преподавателю (аспиранту) доверили подготовить и провести курс по операционным системам. Материалов по курсу огромное количество, глаза разбегаются! 👀

Подумаем, от чего будет зависеть содержание будущего курса? 🤔

1️⃣ От интересов преподавателя: является ли он фанатом FreeBSD или Debian.
2️⃣ От опыта: работы с разными ОС, знания низкоуровневого программирования или администрирования. Программист расскажет, как видит системные вызовы, администратор — о настройке AD.
3️⃣ От того, как начинающего преподавателя учили: какие подходы в преподавании запомнились или оказались неудачными.
4️⃣ От содержания любимого учебника: я учился по книгам Робачевского/Кернигана, кто-то предпочитает Таненбаума 🤷

Затем преподаватель на основе собранных материалов формирует оценочные средства (тесты) 🫡

В итоге курс получается субъективным или авторским, как принято говорить. Внешнего заказчика на подобные фундаментальные курсы обычно нет (вендоров ОС я сейчас не рассматриваю).

Как происходит обновление дисциплины? Обычно так:

1️⃣ Преподаватель прочел интересную статью (книгу) и решил добавить материалы в дисциплину.
2️⃣ Преподаватель изучил интересный курс и материалы из него интегрировал в дисциплину.

В принципе, курс преподаватель может совсем не обновлять, если у него отсутствует внутренняя потребность. В классическом вузе нет методов стимулирования для совершенствования фундаментальных курсов 🤷

И кто оценит, это плохой или хороший фундаментальный курс по операционным системам? 🤔

#заметки_для_преподавателя

Преподавание в вузе как хобби 👨‍🏫

В моем понимании преподавание в вузе — это хобби 😇 Большую часть времени вы занимаетесь проектами/пишете код/ищете уязвимости, т.е. набираетесь опыта на реальных задачах в компании, а потом идете к студентам и делитесь с ними лучшими практиками, тогда з.п. в вузе не является вашим основным доходом, вы можете выбирать вуз, в котором хотите преподавать! 😉

Звучит в идеальном мире красиво, но есть особенности 🤷 Как это реализовано в реальной жизни? Покажу на своем примере 😎

Я руковожу направлением по работе с вузами в Positive Technologies 🟥, раз в неделю у меня очные занятия в вузе на первом курсе, пары начинаются в 8/10 утра. Для меня принципиально проведение занятий в аудитории и живое общение со студентами 👨‍🎓

Материалы курса расположены в открытом доступе, поэтому все желающие могут их использовать в учебном процессе 🧑‍🎓 Раз в месяц я вношу на сайт дополнения. Фокус, конечно, на использовании ИИ 🧑‍💻

Мой день обычно начинается в 5 утра. Привет, магия утра! ☀️ До начала основной работы я успеваю написать посты в блог и переработать обзоры статей по курсу, чтобы затем их системно изложить студентам ✍️

Я уже писал тут и тут, что желание преподавать — это всегда вопрос внутренней мотивации, а не указаний со стороны Минцифры или других регуляторов 🤷

#заметки_для_преподавателя

Безопасность ядра Linux (лекция для студентов и преподавателей) 👨‍🏫

Александр Попов — разработчик ядра Linux и исследователь информационной безопасности.

Во время обучения в университете по специальности "Компьютерная безопасность" открыл для себя операционную систему GNU/Linux и решил связать с ней свой профессиональный путь 🚀

Разработчик ядра Linux с 2012 года. С 2015 года работает в компании Positive Technologies, где занимается вопросами поиска уязвимостей в ядре Linux, методами их эксплуатации и разработкой средств защиты.

Создатель карты средств защиты ядра Linux, которая показывает взаимосвязи между классами уязвимостей, техниками их эксплуатации для проведения атак, механизмами выявления ошибок и технологиями защиты 👨‍💻

Создатель и мэйнтейнер открытого проекта kernel-hardening-checker, который помогает настроить опции безопасности ядра Linux. Инструмент активно используется многими дистрибутивами GNU/Linux в процессе выпуска пакета ядра.

Ведет личный блог ✍️

PS. видео можно также посмотреть по ссылке 👷

#linux #PositiveEducation

Нужно ли заставлять студентов учиться? 🤔

Каждый раз перед началом учебного семестра я задумываюсь об этом 🤷

Далее приведу большую цитату из блога Евгения Ильина 👇

В вузах начинается очередная сессия, и по этому поводу хочу поделиться с вами мыслями и сомнениями относительно процесса обучения. Давайте сразу условимся, что мы будем говорить о студентах — процесс обучения школьников отличается кардинально, а студенты — уже достаточно взрослые люди, по крайней так должно быть.

Вопрос, который меня мучает уже давно звучит так: нужно ли заставлять студентов учиться? Под словом «заставлять» я понимаю такие действия, которые будут вынуждать студентов заниматься предметом, хотя им этого совершенно не хочется. Например, можно отмечать посещаемость и обещать страшные кары тем, кто на лекции ходить не будет. Не пускать на лекции тех, кто опаздывает. Возмущаться, если кто-то не слушает лекцию, а играет в телефоне (но при этом не мешает другим), может быть даже выгонять таких студентов с занятий.

Надо сказать, что мне нравится обстановка, которая складывается на разных программерских конференциях, на которых докладчики и слушатели ходят добровольно и, если и получают за это какие-то бонусы, то чисто символические — наклейки на ноутбук или кусок пиццы в конце конференции. На таких конференциях всегда чувствуется атмосфера живого интереса — обсуждают доклады или какие-то свои проблемы, связанные с темой конференции. К сожалению, в институте среди студентов я такой обстановки не наблюдаю. Хорошо, если в коридоре обсуждают что-нибудь про работу транзистора, но часто это связано с тем, что нужно сдавать лабораторку, а не из-за того, что им это интересно. На самом деле есть студенты, которые интересны какие-то предметы, но концентрация их на квадратный метр очень не велика.

Я считаю, что репрессивными мерами на занятиях нельзя заинтересовать студента, а если нет интереса, то занятия становятся скучными не только студентам, но и преподавателю, а от этого он начинает более монотонно читать свой предмет, что еще больше усиливает скуку студентов. Всегда нужна обратная связь. Учеба без интереса — это насилие над собой, и скорее всего знаний от такого предмета не прибавится. Именно поэтому я закрываю глаза на посещаемость (ее отмечаю, но она ни на что не влияет) и спокойно отношусь к опозданиям, разумеется, я поворчу, если кто-то опоздает на полчаса или больше, но еще никого за это за дверь не выгонял.

Но может быть я не прав, и надо более строго следить за дисциплиной? Ведь если кто-то будет ходить на лекции через одну или опаздывать на каждую лекцию по полчаса, то вряд ли он нормально усвоит тему, а непонятные вещи еще больше будут вгонять в тоску, и он больше будет забивать на лекции. Может быть все-таки надо как-то принуждать к учебе? При этом давать какие-то домашние задания нужно обязательно, тупое начитывание лекций, когда студенты не делают ничего самостоятельно, бесполезно. Лабораторки тоже в большинстве случаев не дают необходимого для понимания опыта — на них студенты тупо выполняют инструкцию, что-то измеряют, что-то считают, но часто не понимают, что они делают. А вот домашние и курсовые работы — это другое дело, там студентам приходится что-то делать самостоятельно.

В этом семестре меня удивил один студент (достаточно толковый), который сказал, что ему понравился один предмет, который он был вынужден выучить во время сессии (не во время основных занятий) из-за жесткого преподавателя. Именно после того, как он разобрался с предметом, он ему понравился. Может быть я не прав со своими достаточно достаточно либеральными взглядами на обучение?

Как вы считаете, нужно ли заставлять студентов учиться? 👨‍🎓👩‍🎓

#заметки_для_преподавателя #качество_образования

Виды кибератак (лекция для студентов и преподавателей) 👨‍🏫

Дмитрий Федосов, к.т.н., руководитель отдела наступательной безопасности PT ESC, Positive Technologies.

Презентация к лекции доступна по ссылке 📕

#PositiveEducation

Вакансия в Positive Education 🟥

🚀 Ищем в команду PT EdTechLab стажеров, которым предстоит участвовать в разработке обучения по кибербезу 👨‍💻

🧑‍💻 Формат работы: гибрид или полная удаленка, от 20 часов в неделю

Важные качества для нашего кандидата:
1️⃣ знает операционные системы на уровне админа;
2️⃣ понимает принципы работы современных сетей, в том числе корпоративной инфры;
3️⃣ понимает принципы работы современных веб-приложений и веб-фреймворков, а также механизмы безопасности веба;
4️⃣ имеет опыт работы с Bash/PowerShell и автоматизации задач;
5️⃣ мыслит стратегически, проактивен.

Если похоже на тебя, перейди по ссылке для начала отбора

Мы свяжемся с тобой при успешном прохождении тестирования 😎

#вакансия #PositiveEducation

Как написать книгу по реверс-инжинирингу встраиваемых систем ✍️

Рассказывает Алексей Усанов, глава исследовательской лаборатории Positive Labs 🟥

- Книга по ссылке
- От микроконтроллеров до спутников: что исследуют в Positive Labs
- Просто о сложном: как я написал книгу по реверс-инжинирингу встраиваемых систем (на Хабре)

#PositiveEducation

😎 Мы официально запускаем наш новый продукт - тренажёр PT EdTechLab

Positive Technologies представил тренажер для автономного обучения специалистов по кибербезопасности PT Education Technology Laboratory (PT EdTechLab). Он поможет на практике понять, как действуют киберпреступники, и освоить технологии защиты от атак, в том числе реализуемых APT-группировками. Тренажер включен в реестр российского ПО.

🟥 В основе тренажёра PT EdTechLab двадцатилетняя экспертиза Positive Technologies, что обеспечивает комплексное развитие актуальных навыков в сфере ИБ. Обучение на тренажере — это решение реальных задач, с применением результативных инструментов с экспертной оценкой действий. При этом все действия пользователя автоматически сопровождаются экспертной оценкой. Тренажер базируется на концепции автономного обучения: развивать компетенции можно в любое удобное время без участия преподавателя

Тактики и техники злоумышленников эволюционируют, становятся сложнее и изощреннее. Чтобы команды ИБ могли результативно противостоять атакам киберпреступников, необходимо не только использовать современные технологии и инструменты, но и развивать навыки специалистов, чтобы они могли остановить злоумышленника до того, как он нанесет непоправимый ущерб компании — говорит Макар Ляхнов, руководитель продукта PT EdTechLab, Positive Education. — Зачастую компании, особенно крупные, нуждаются в постоянном повышении компетенций всей команды ИБ без длительных простоев в работе. В ответ на этот запрос мы разработали образовательный продукт, заточенный на непрерывное повышение навыков и автономную подготовку специалистов в сфере кибербезопасности».

Тренажер PT EdTechLab предназначен для подготовки:
🔴начинающих и действующих аналитиков SOC
🔴экспертов по наступательной безопасности
🔴специалистов по управлению уязвимостями
🔴AppSec-инженеров
🔴и других специалистов в области ИТ и ИБ

💻Мы создаём продукт, который позволяет освоить навыки специалистов по кибербезопасности с опорой на экспертизу по наступательной безопасности, которая подразумевает изучение актуальных тактик, техник и инструментов злоумышленников.

▶️Пользователям PT EdTechLab доступны практические кейсы пяти различных уровней сложности. Новички с базовыми знаниями в области ИТ смогут обучаться на заданиях минимальной сложности. Подготовка более продвинутых специалистов включает работу со сложными атаками, моделирующими действия APT-группировок.