Vulncov - A tool that correlates Semgrep scans with Python test code coverage
Небольшой тул-эксперимент недельной давности — VulnCov. Его цель — приоритизировать файндинги Semgrep, исключая уязвимости, найденные в "мертвом коде". Для этого тул берет файндинги из Semgrep и объединяет их с результатами работы юнит-тестов Pytest.
Чтобы лучше разобраться, проще всего рассмотреть демонстрационный пример, где есть несколько уязвимостей внутри недостижимого участка кода:
- Закомментированный роутер
- Невыполнимое условие
По результатам сканирования Semgrep, по очевидным причинам, выдаст все уязвимости, включая те, что находятся в недостижимом коде. В проекте также есть тесты, которые по итогам выполнения формируют файл coverage.json. Файл coverage из отчета юнит-тестов содержит информацию о том, какие строки кода были выполнены в процессе тестирования, а также предоставляет сводную статистику о покрытии кода тестами. Этот файл помогает разработчикам понять, какие части кода проверены тестами, а какие — нет, что создает идеальную базу для приоритизации результатов Semgrep. В результате VulnCov сравнивает два файла и выдает JSON с наиболее релевантными файндингами.
А еще проект имеет поддержку приватной LLM ollama (хотя где-то без подключения OpenAI) для генерации баг-фиксов.
В репозитории всего 21 ⭐️, но в домене корреляции результатов, даже в эпоху искусственного интеллекта, вряд ли стоит ожидать величайших прорывов. Сразу вспоминаются решения класса IAST и сопутствующие рассуждения о корреляции SAST и DAST из далекого 2020 года. Как мы можем видеть, гораздо быстрее и эффективнее развиваются практики reachability analysis и автоматического триажа с помощью AI.
#sast #ai
Небольшой тул-эксперимент недельной давности — VulnCov. Его цель — приоритизировать файндинги Semgrep, исключая уязвимости, найденные в "мертвом коде". Для этого тул берет файндинги из Semgrep и объединяет их с результатами работы юнит-тестов Pytest.
Чтобы лучше разобраться, проще всего рассмотреть демонстрационный пример, где есть несколько уязвимостей внутри недостижимого участка кода:
- Закомментированный роутер
#@app.route- Невыполнимое условие
if 1 == 2По результатам сканирования Semgrep, по очевидным причинам, выдаст все уязвимости, включая те, что находятся в недостижимом коде. В проекте также есть тесты, которые по итогам выполнения формируют файл coverage.json. Файл coverage из отчета юнит-тестов содержит информацию о том, какие строки кода были выполнены в процессе тестирования, а также предоставляет сводную статистику о покрытии кода тестами. Этот файл помогает разработчикам понять, какие части кода проверены тестами, а какие — нет, что создает идеальную базу для приоритизации результатов Semgrep. В результате VulnCov сравнивает два файла и выдает JSON с наиболее релевантными файндингами.
А еще проект имеет поддержку приватной LLM ollama (хотя где-то без подключения OpenAI) для генерации баг-фиксов.
В репозитории всего 21 ⭐️, но в домене корреляции результатов, даже в эпоху искусственного интеллекта, вряд ли стоит ожидать величайших прорывов. Сразу вспоминаются решения класса IAST и сопутствующие рассуждения о корреляции SAST и DAST из далекого 2020 года. Как мы можем видеть, гораздо быстрее и эффективнее развиваются практики reachability analysis и автоматического триажа с помощью AI.
#sast #ai
👍8✍5🔥2❤1
Secrets and Shadows: Leveraging Big Data for Vulnerability Discovery at Scale
Помните, когда Big Data была такой же популярной, как сейчас искусственный интеллект?
Очень объемная и интересная статья "Secrets and Shadows: Leveraging Big Data for Vulnerability Discovery at Scale". Автор с высокой степенью детализации описывает исследование, которое началось еще в 2021 году. Оно посвящено двум аспектам: поиску "висящих" DNS-записей (записей, указывающих на освобожденные IP-адреса, что может привести к захвату домена) и поиску hardcoded credentials в больших объемах данных, полученных из открытых источников.
В рамках данного поста мы сосредоточимся на аспекте поиска hardcoded credentials, хотя рекомендуем ознакомиться и с кейсом, связанным с DNS-записями.
Многие инженеры знакомы с сервисом VirusTotal, созданным для быстрого анализа файлов на предмет вредоносного кода. При загрузке файла VirusTotal выводит сообщение:
Вопрос извлечения и анализа загруженных файлов в VirusTotal достаточно прост: используя инструмент Retrohunt и написав YARA-правило, можно извлекать образцы из ранее загруженных файлов на основе регулярных выражений. Учитывая, что захардкоженные секреты часто имеют определенные regexp паттерны, это идеальный способ их идентификации в загруженных файлах. Однако автор пошел дальше, стремясь извлечь и те секреты, которые не поддаются стандартным паттернам. Для этого он искал косвенные признаки, такие как строки вида
Избегая подробностей, в результате было просканировано 5 миллионов файлов, в которых было обнаружено более 15 тысяч секретов, включая ключи OpenAI, AWS и GitHub.
Хотя статья и результаты исследования впечатляют, особенно заслуживают внимания дальнейшие действия автора. В попытке устранить выявленные секреты он решил воспользоваться функционалом GitHub. Платформа, предоставляющая открытые репозитории, может стать источником утечек конфиденциальной информации, которая быстро попадает в руки злоумышленников. В связи с этим GitHub сотрудничает с различными вендорами для оперативного отзыва таких секретов через интеграцию. Однако, поскольку GitHub не предоставляет API для массового отзыва секретов, автор был вынужден использовать кратковременные Gist'ы для публикации всех найденных данных. Идея заключалась в том, чтобы создать настолько коротко живущий Gist, который GitHub успел бы обработать для отзыва секретов, прежде чем их могли бы скомпрометировать. Тем не менее, из-за большого количества созданных Gist'ов, аккаунт автора попал под теневой бан, что лишило его возможности видеть создаваемые публикации. К счастью, несмотря на это ограничение, процесс отзыва секретов продолжал успешно работать, что позволило автору безопасно удалять ключи без дополнительных рисков.
Цитата исследователя:
А завершим мы пост цитатой статьи о том, что такое "The Security at Scale Mindset":
- Начните с уязвимости, а не с цели.
- Работайте в обратном направлении, используя креативные источники данных.
- Должны присутствовать взаимосвязи, указывающие на целевой класс уязвимостей.
- Должна быть возможность поиска по этим данным в масштабах.
#secrets
Помните, когда Big Data была такой же популярной, как сейчас искусственный интеллект?
Очень объемная и интересная статья "Secrets and Shadows: Leveraging Big Data for Vulnerability Discovery at Scale". Автор с высокой степенью детализации описывает исследование, которое началось еще в 2021 году. Оно посвящено двум аспектам: поиску "висящих" DNS-записей (записей, указывающих на освобожденные IP-адреса, что может привести к захвату домена) и поиску hardcoded credentials в больших объемах данных, полученных из открытых источников.
В рамках данного поста мы сосредоточимся на аспекте поиска hardcoded credentials, хотя рекомендуем ознакомиться и с кейсом, связанным с DNS-записями.
Многие инженеры знакомы с сервисом VirusTotal, созданным для быстрого анализа файлов на предмет вредоносного кода. При загрузке файла VirusTotal выводит сообщение:
By submitting data ... you are agreeing ... to the sharing of your sample submission with the security community
Вопрос извлечения и анализа загруженных файлов в VirusTotal достаточно прост: используя инструмент Retrohunt и написав YARA-правило, можно извлекать образцы из ранее загруженных файлов на основе регулярных выражений. Учитывая, что захардкоженные секреты часто имеют определенные regexp паттерны, это идеальный способ их идентификации в загруженных файлах. Однако автор пошел дальше, стремясь извлечь и те секреты, которые не поддаются стандартным паттернам. Для этого он искал косвенные признаки, такие как строки вида
[a-zA-Z0-9]{32} для поиска потенциальных API-ключей. Он также создал конвейер на базе AWS Lambda для автоматизированного извлечения и проверки валидности секретов из Retrohunt. Избегая подробностей, в результате было просканировано 5 миллионов файлов, в которых было обнаружено более 15 тысяч секретов, включая ключи OpenAI, AWS и GitHub.
Хотя статья и результаты исследования впечатляют, особенно заслуживают внимания дальнейшие действия автора. В попытке устранить выявленные секреты он решил воспользоваться функционалом GitHub. Платформа, предоставляющая открытые репозитории, может стать источником утечек конфиденциальной информации, которая быстро попадает в руки злоумышленников. В связи с этим GitHub сотрудничает с различными вендорами для оперативного отзыва таких секретов через интеграцию. Однако, поскольку GitHub не предоставляет API для массового отзыва секретов, автор был вынужден использовать кратковременные Gist'ы для публикации всех найденных данных. Идея заключалась в том, чтобы создать настолько коротко живущий Gist, который GitHub успел бы обработать для отзыва секретов, прежде чем их могли бы скомпрометировать. Тем не менее, из-за большого количества созданных Gist'ов, аккаунт автора попал под теневой бан, что лишило его возможности видеть создаваемые публикации. К счастью, несмотря на это ограничение, процесс отзыва секретов продолжал успешно работать, что позволило автору безопасно удалять ключи без дополнительных рисков.
Цитата исследователя:
Облачные провайдеры недостаточно защищают клиентов от неправильных настроек, которые они сами провоцируют. Хотя клиент создает эти уязвимости, то, как спроектированы платформы, напрямую определяет, могут ли такие проблемы возникать вообще.
Вместо того чтобы брать на себя ответственность и внедрять безопасные настройки по умолчанию, большинство провайдеров полагаются на несколько предупреждений в документации, которые большинство пользователей никогда не прочитает. Это исследование показывает, что этого далеко недостаточно, а также подчеркивает возрастающий риск злоупотреблений в случае использования жестко закодированных секретов.
А завершим мы пост цитатой статьи о том, что такое "The Security at Scale Mindset":
- Начните с уязвимости, а не с цели.
- Работайте в обратном направлении, используя креативные источники данных.
- Должны присутствовать взаимосвязи, указывающие на целевой класс уязвимостей.
- Должна быть возможность поиска по этим данным в масштабах.
#secrets
Bill Demirkapi's Blog
Secrets and Shadows: Leveraging Big Data for Vulnerability Discovery at Scale
Modern technologies like the cloud have made rapidly developing scalable software more accessible than ever. What risks has cloud computing introduced for the sake of convenience?
👍15🤯3❤2🔥1
- Неужели ты ничего не помнишь?
- Почему? Помню! Поскользнулся, потерял сознание, очнулся, гипс...
С 30 октября прошло больше 3х месяцев. Год закрыт. Месячный отпуск отгулян. Пора возвращаться в эфир на новом витке восходящей спирали. Продолжим развитие Wine в ключе комплексной ИБ и расширения горизонтов.
Цель: минимум 2 поста в неделю, а там видно будет.
P.S. Этот пост не считается. 😁
#Рефлексия #Оргвопрос
Please open Telegram to view this post
VIEW IN TELEGRAM
👍22👏4😁2🔥1
А вы импортозаместили виртуализацию? Тогда мы идем к вам!
С момента мая 2022 и 250 Указа прошло почти 3 года. И хотя в рамках некоторых базовых технологий типа отечественного NGFW активно продолжается так называемое развитие и конкуренция, в других областях, больше привязанных не к "железу", а к "софту", российские решения уже достигли определенного уровня зрелости. Речь не только об известных кейсах типа антивируса Касперского, который еще в досанкционные времена успешно конкурировал с западными вендорами на рынках Америки, но и о множестве других продуктов. 2022 подстегнул этот тренд и дал отечественным разработчикам дополнительные шансы "быть замеченными в своем отечестве" на фоне проверенных решений зарубежных поставщиков. И те разработчики, кто начал развитие собственных продуктов заранее, а не под влиянием "дедлайна 1 января 2025 года" получили возможность "разыграться на полную".
Из критичных для импортозамещения технологий интересно посмотреть на аналитику в области VDI, где согласно аналитикам iKS-Consulting по итогам 2023 года выделился явный фаворит отечественных виртуализаторов - компания "Базис", которая согласно исследованию:
Образованный в 2021 году через слияние активов "Ростелекома", YADRO и Rubytech "Базис" позиционирует свои решения как импортонезависимую экосистему продуктов "от инструментов управления виртуальной инфраструктурой и средств ее защиты до конвейера для организации полного цикла разработки". Решения, само собой, сертифицируются по "высшему разряду": 4 уровень доверия согласно требованиям ФСТЭК России и возможность использования в ОКИИ 1 категория значимости, ИСПДн и АСУ ТП 1 уровня защищенности, ГИС 1 класса защиты. В сегодняшних реалиях, когда основным заказчиком подобных продуктов является крупный бизнес и государственные структуры, наличие сертификатов давно стало must have для разработчиков подобного уровня. А малосредние покупатели всегда могут найти оупен сурсные и бесплатные аналоги.
На этом фоне возникает глобальный вопрос: в сообществе много представителей как крупных, так и малых и средних компаний, оставшихся работать в России. Каков ваш опыт работы с отечественными решениями? И что вы можете сказать о своем опыте перехода/использования импортозамещенной виртуализации (особенно интересно послушать опыт товарищей, которые несмотря на большие размеры инфраструктуры остаются на оупен сурс и не собираются никуда уходить)? Можно не только о VDI, но шире... Чувствую особую остроту вопроса после начала форума Банка России.
Источник картинки: исследование iKS-Consulting
#Тренды #Импортозамещение #VDI #Виртуализация
С момента мая 2022 и 250 Указа прошло почти 3 года. И хотя в рамках некоторых базовых технологий типа отечественного NGFW активно продолжается так называемое развитие и конкуренция, в других областях, больше привязанных не к "железу", а к "софту", российские решения уже достигли определенного уровня зрелости. Речь не только об известных кейсах типа антивируса Касперского, который еще в досанкционные времена успешно конкурировал с западными вендорами на рынках Америки, но и о множестве других продуктов. 2022 подстегнул этот тренд и дал отечественным разработчикам дополнительные шансы "быть замеченными в своем отечестве" на фоне проверенных решений зарубежных поставщиков. И те разработчики, кто начал развитие собственных продуктов заранее, а не под влиянием "дедлайна 1 января 2025 года" получили возможность "разыграться на полную".
Из критичных для импортозамещения технологий интересно посмотреть на аналитику в области VDI, где согласно аналитикам iKS-Consulting по итогам 2023 года выделился явный фаворит отечественных виртуализаторов - компания "Базис", которая согласно исследованию:
Заняла 52% рынка виртуальных рабочих мест, а следующие игроки - ГК «Астра» и «Даком М», заняли соответственно, 9 и 8 процентов.
Образованный в 2021 году через слияние активов "Ростелекома", YADRO и Rubytech "Базис" позиционирует свои решения как импортонезависимую экосистему продуктов "от инструментов управления виртуальной инфраструктурой и средств ее защиты до конвейера для организации полного цикла разработки". Решения, само собой, сертифицируются по "высшему разряду": 4 уровень доверия согласно требованиям ФСТЭК России и возможность использования в ОКИИ 1 категория значимости, ИСПДн и АСУ ТП 1 уровня защищенности, ГИС 1 класса защиты. В сегодняшних реалиях, когда основным заказчиком подобных продуктов является крупный бизнес и государственные структуры, наличие сертификатов давно стало must have для разработчиков подобного уровня. А малосредние покупатели всегда могут найти оупен сурсные и бесплатные аналоги.
На этом фоне возникает глобальный вопрос: в сообществе много представителей как крупных, так и малых и средних компаний, оставшихся работать в России. Каков ваш опыт работы с отечественными решениями? И что вы можете сказать о своем опыте перехода/использования импортозамещенной виртуализации (особенно интересно послушать опыт товарищей, которые несмотря на большие размеры инфраструктуры остаются на оупен сурс и не собираются никуда уходить)? Можно не только о VDI, но шире... Чувствую особую остроту вопроса после начала форума Банка России.
Источник картинки: исследование iKS-Consulting
#Тренды #Импортозамещение #VDI #Виртуализация
👍7😁7❤1
This media is not supported in the widget
VIEW IN TELEGRAM
🔥37👍5🤯5
Security Wine (бывший - DevSecOps Wine)
This media is not supported in the widget
VIEW IN TELEGRAM
👍48❤11👏7😨2🫡2🔥1💯1
Вариант 1.
Смотреть как это устроено у других (сюда же отнесем стандарты и бенчмарки), похожих на тебя, и выделять такой же бюджет, людей, средства защиты, и делать по аналогии
Вариант 2.
Использовать риск-ориентированный подход, рисовать карты рисков, создавать перечни недопустимых событий, мониторить индикаторы и математизироваьь принятие решений
Вариант 3.
Осваивать техники публичных выступлений и эффективно убеждать собственников и топ-руководство в своей полезности для получения карт-бланша
И как обычно опытные, сильные, крутые профессионалы с кучей хороших идей уходят в частности и полумеры.
В ответ на реплику Лукацкого про то, что по статистике CISO нужно 3 года для наведения порядка в своей организации, а в нашей реальности они меняют работу каждые 2 года, кто-то по-стахановски заявляет: значит надо ускориться и успевать все делать за 2 года! Вспоминаю историю про 9 женщин и перевыполнение плана рождения ребёнка в 9 раз.
И помнить, что люди-процессы-технологии - это не красивые слова, а суровая реальность. И в этой реальности из-за того, что в формуле есть ЛЮДИ, определённая доля хаоса и неопределенности - неизбежны. И система, или процессы, чтобы они работали должны быть ВНЕДРЕНЫ, т.е. прежде всего приняты ответственными ЛЮДЬМИ. А это уже вопросы психологии, социологии и мотивации труда всего коллектива организации, равно далёкие как от технических штуковин, так и от решений принятых в высоких кабинетах топами и собственниками.
Ближе всех в отечественной практике подошли стандарты семейства 57580 от Центрального Банка, которые включают и акценты на человеческий фактор, и на внедрение, и поддержку, и баланс техники и организации. За сложностью формулировок 57580 скрывается здравая установка на синтез целей организации (бизнеса/дела), её безопасности (пресловутый КЦД) и удовлетворённости клиентов (через непрерывность и качество услуги). А это и есть признак результативности и полезности ИБ.
Приходится ли вам доказывать свою полезность коллегам, топам и собственникам? Каким образом это делаете вы?
#Мудрота #Мероприятие #ТерриторияБезопасности2025 #PDCA #Процессы #Люди #Технологии #Риски
Please open Telegram to view this post
VIEW IN TELEGRAM
YouTube
Ситуационные модели управления ИБ | Рустам Гусейнов
4 апреля в Москве прошла конференция "Финтех-2024. Направления развития", которая была организована Kommersant events. В рамках мероприятия с докладом выступил председатель кооператива RAD COP Рустам Гусейнов. В своём выступлении он рассказал об инновационном…
👍13❤4👏2😁1
Не о PHD, а об уровне развития DevOps/DevSecOps в этой стране🕵♂️
Пока значительная часть ИБв и всех им сочувствующих находится на PHD, мы предлагаем вашему вниманию опрос: https://anketolog.ru/service/survey/fill/extraLink/98347249/Qq2EcVbF‼️
🤝 Партнер кооператива РАД КОП — компания Экспресс 42 — проводит ежегодное исследование DevOps в России. Когда-то этот канал начинался как производная от DevSecOps и личной потребности автора разобраться в теме. Сегодня, когда мы называемся Security Wine и исследуем вопросы ИБ в широком смысле, мы сохраняем интерес к альма-матер.
На наш взгляд, состояние DevOps — хороший индикатор развития отрасли и её зрелости. Через эволюцию этих практик и инструментов можно смотреть на актуальные тренды в ИТ: от состояния внедрения ИИ до возникновения принципиально новых технологий и практик ИБ, влияющих на каждого из нас.
🤝 В прилагаемом опросе примут участие более 4000 представителей индустрии. Результаты опроса будут опубликованы в открытом доступе и помогут нам всем лучше понять Точку А: где мы находимся сейчас как отрасль, кто какие технологии использует, кто куда смотрит и т.д. и т.п. Это позволит каждому выработать свою личную или командную Точку Б: куда нам и нашим командам стоит смотреть и идти, чтобы соответствовать «духу времени» (или не соответствовать — возможно кто-то из нас занял отличную эволюционную нишу, которой «на их век хватит»! ❤️ ).
⏳ Опрос займет около 20 минут. Еще раз дублируем ссылку для прохождения: https://anketolog.ru/service/survey/fill/extraLink/98347249/Qq2EcVbF .
P.S. Среди участников опроса состоится розыгрыш мерча и билетов на Highload++ и DevOpsConf.
P.P.S. Если есть мысли или комментарии к опросу — делитесь мудротой в комментариях, этот канал — место для дискуссий💻
Пока значительная часть ИБв и всех им сочувствующих находится на PHD, мы предлагаем вашему вниманию опрос: https://anketolog.ru/service/survey/fill/extraLink/98347249/Qq2EcVbF
На наш взгляд, состояние DevOps — хороший индикатор развития отрасли и её зрелости. Через эволюцию этих практик и инструментов можно смотреть на актуальные тренды в ИТ: от состояния внедрения ИИ до возникновения принципиально новых технологий и практик ИБ, влияющих на каждого из нас.
P.S. Среди участников опроса состоится розыгрыш мерча и билетов на Highload++ и DevOpsConf.
P.P.S. Если есть мысли или комментарии к опросу — делитесь мудротой в комментариях, этот канал — место для дискуссий
Please open Telegram to view this post
VIEW IN TELEGRAM
👍4❤1
Кадры решают все 🤝
Находясь на одной ESG конференции (так называется популярная в мире и России повестка: экология-общество-руководство, призванная воплотить тренды чистоты и человеколюбия на Земле) и слушая про пресловутый "дефицит кадров" вспоминаю наш путь мытарств и ошибок.🪨
‼️ С кадрами, как и с devsecops, отлично работает парадигма shift left. Чем раньше мы выявляем подходящего или неподходящего человека, тем лучше и дешевле нам даются последующие коммуникация, интеграция, адаптация и сотрудничество. А в самоуправляемой организации, где рядовые сотрудники включены даже в контур стратегирования и как в "красных отрядах" 1917 могут буквально выбирать своих руководителей - адекватность подбора людей "на входе" становится ещё более критичной.
⚙️ Поэкспериментировав с разными подходами: от "как здорово, что все мы здесь сегодня собрались" до "берем крутых профессионалов с репутацией" и пообжигавшись на всех возможных практиках, мы выработали следующую схему подбора:
А. Подбор в кооп всегда конкурсный (исключения возможны, но в суперредких случаях, когда человек либо приводит гарантированную клиентскую базу, либо передает внутрь какую-то супер технологию и практику, либо имеет длительный анамнез работы с кооперативом как фрилансер и проявился в разных ситуациях с лучшей стороны❤️ );
Б. Подбор построен на онлайн-игре в Zoom, где соискатели решают максимально релевантный их роли кейс в составе команд из 2-3 человек (дополнительно проверяется кооперативность игроков). В одной команде - другие конкурсанты, соревнующиеся за роль (например, пентестеры пытаются взломать тестовый сайт; менеджеры проектов решают задачу реорганизации сквозного бизнес-процесса; аналитики вычитывают документы⏳ );
В. Оценки лучших и наиболее адекватных для конкретной роли людей ставятся не только кооператорами, но и самими участниками игры, с использованием релевантных для роли аргументов и обоснований (мы спрашиваем участников: кого на ваш взгляд надо взять на роль и почему, т.е. люди не отчуждаются от процесса и не превращаются в "коней, которым смотрят зубы"❔ ).
🖋 Под капотом подхода лежит синтез трех инструментов: фреймворка вертикального развития У. Торберта, теории мотивации В. Герчикова и интерпретации процессного бизнеса в изложении М. Рыбакова. И пока полет, идущий по нарастающей с марта 2025 года, показывает отличные результаты (полностью мы поймем как это работает года через три!). Люди, отобранные по конкурсу априори гораздо более открыты к сотрудничеству, лучше переносят стресс характерный для консалтинговых компаний, а главное четко понимают "во что они вписались" и какой конкурс был на их место.
Сами соискатели, прошедшие игру, отзываются о ней позитивно, и что наиболее интересно: в 60% случаях советуют взять другого человека. А иногда просят создать общий чат с другими игроками - так им нравится формат обмена опытом и синхронизации.🌄
А как вы относитесь к "групповушке" в хорошем смысле этого слова? Был ли у вас подобный опыт? На какие роли? В каких организациях? М.б. были кейсы неудач? Давайте обменяемся мудротой🤝
P.S. Во вложении - пример второго этапа подбора. Психометрическое тестирование ПИФ Экопси. Результаты которого, вместе с рекомендациями по персональному развитию, выдаются всем участникам, которым мы готовы сделать оффер (это позволяет нам причесать субъективный взгляд "приемной комиссии" об некий "объективный" внешний измеритель).
#Люди #HR #КадрыРешаютВсе
Находясь на одной ESG конференции (так называется популярная в мире и России повестка: экология-общество-руководство, призванная воплотить тренды чистоты и человеколюбия на Земле) и слушая про пресловутый "дефицит кадров" вспоминаю наш путь мытарств и ошибок.
А. Подбор в кооп всегда конкурсный (исключения возможны, но в суперредких случаях, когда человек либо приводит гарантированную клиентскую базу, либо передает внутрь какую-то супер технологию и практику, либо имеет длительный анамнез работы с кооперативом как фрилансер и проявился в разных ситуациях с лучшей стороны
Б. Подбор построен на онлайн-игре в Zoom, где соискатели решают максимально релевантный их роли кейс в составе команд из 2-3 человек (дополнительно проверяется кооперативность игроков). В одной команде - другие конкурсанты, соревнующиеся за роль (например, пентестеры пытаются взломать тестовый сайт; менеджеры проектов решают задачу реорганизации сквозного бизнес-процесса; аналитики вычитывают документы
В. Оценки лучших и наиболее адекватных для конкретной роли людей ставятся не только кооператорами, но и самими участниками игры, с использованием релевантных для роли аргументов и обоснований (мы спрашиваем участников: кого на ваш взгляд надо взять на роль и почему, т.е. люди не отчуждаются от процесса и не превращаются в "коней, которым смотрят зубы"
Сами соискатели, прошедшие игру, отзываются о ней позитивно, и что наиболее интересно: в 60% случаях советуют взять другого человека. А иногда просят создать общий чат с другими игроками - так им нравится формат обмена опытом и синхронизации.
А как вы относитесь к "групповушке" в хорошем смысле этого слова? Был ли у вас подобный опыт? На какие роли? В каких организациях? М.б. были кейсы неудач? Давайте обменяемся мудротой
P.S. Во вложении - пример второго этапа подбора. Психометрическое тестирование ПИФ Экопси. Результаты которого, вместе с рекомендациями по персональному развитию, выдаются всем участникам, которым мы готовы сделать оффер (это позволяет нам причесать субъективный взгляд "приемной комиссии" об некий "объективный" внешний измеритель).
#Люди #HR #КадрыРешаютВсе
Please open Telegram to view this post
VIEW IN TELEGRAM
🥴18❤8👍7👏1
Искусство ради искусства, или чем полезна безопасность? 🪨
🖋 О проблеме результативной ИБ и ценности ИБ для организаций, сегодня в России не говорит только ленивый. Отрасль становится более зрелой. Вендоры, интеграторы и консультанты стараются развивать рынок на фоне общеэкономического кризиса и создавать спрос, несмотря на высокую ставку и другие проблемы. Профессиональное сообщество окончательно сформировалось и превращается в "гильдию безопасников" с собственной спецификой и культурными практиками. Но говорить и знать, и активно делать и применять - разные вещи. Таким образом, фактическая результативность ИБ, способы диалога с руководством или собственниками организаций, взаимодействия с ИТ и бизнесом, подходы к приоритезации задач - продолжают оставаться камнем преткновения для многих.
⚪ Эта ситуация может быть неочевидна узкотехническим специалистам, с установкой "мы просто делаем свою работу за зарплату". Но как только человек из оппортунистической позиции "без ТЗ - результат ХЗ" начинает эволюционировать в зрелую позицию "мы делаем общее дело, и мне бы не хотелось потратить 80 тысяч часов своей жизни впустую", то начинается магия. Человек начинает задумываться над тем, а чем он "зарабатывает себе на жизнь". То есть уже недостаточно "получать зарплату", важно создать ценность для организации, её клиентов и общества, и таким образом "заслужить долю" от её благосостояния. Разница здесь примерно такая же, как между пассивным удовольствием от потребления "алкоголя и веществ" и радостью от активного решения "сложной творческой задачи" или "спортивной тренировки". Субъективно и то и другое - радость, но объективно качество опыта и его последствия для самого человека и окружающих его лиц кардинально отличаются.
‼️ К чему это длинное вступление о "половцах и печенегах"? К тому, что вопросы ценности ИБ, ценности нашего вклада в те организации, где мы работаем - рано или поздно встают перед каждым развивающимся в профессии безопасником. Не важно - проработка ли это синдрома самозванца с психологом, или прохождение аттестации для получения грейда на повышение, или размышления над тем, как доказать коллегам из ИТ и бизнеса, что надо внести корректировки в работу, или обоснование внедрения (или не внедрения) нового средства защиты... В конечном итоге вопросы нашего субъективного счастья, и нашего объективного положения внутри организаций оказываются завязаны на ценностях, а те в свою очередь примыкают к понятию "риска". Понимание этого, умение рассказать об ИБ не в отрыве от реальности, а в привязке к целям всей организации и её сквозным бизнес-процессам - базовый hard skill любого безопасника. Ключ к результативной и эффективной ИБ.
📄 Поэтому я очень рад поделиться с вами полезным материалом от Миши Толчельникова, который был подготовлен им в рамках нашего проекта отраслевых клубов в Кибердоме. Как говорится - это точно не повредит, а скорее всего даже сильно усилит любого ИБ специалиста, который в силу неизбежного ограничения времени и сил упустил тематику рисков и ценности из фокуса своего внимания. 🤝
А как вы отвечаете на вопрос о собственной ценности для своей компании и общества, ребята?🕵♂️
*Презентация выложена в комментариях
#Риски #Фундамент #Ценность #Философия
А как вы отвечаете на вопрос о собственной ценности для своей компании и общества, ребята?
*Презентация выложена в комментариях
#Риски #Фундамент #Ценность #Философия
Please open Telegram to view this post
VIEW IN TELEGRAM
👍8🔥7❤4👎2
Forwarded from PRO:PENTEST
В этом видео я показываю свой майндмэп по внешней разведке для физического пентеста. Мы разберём основные направления:
А также вспомогательные техники, которые помогают на подготовительном этапе Red Team и физического теста на проникновение.
OSINT — поиск информации в открытых источниках;
GEOINT — анализ геолокационных данных и карт;
SIGINT — перехват и анализ радиосигналов;
А также вспомогательные техники, которые помогают на подготовительном этапе Red Team и физического теста на проникновение.
YouTube
OSINT, GEOINT, SIGINT: майндмэп для пентеста
В этом видео я показываю свой майндмэп по внешней разведке для физического пентеста. Мы разберём основные направления:
OSINT — поиск информации в открытых источниках;
GEOINT — анализ геолокационных данных и карт;
SIGINT — перехват и анализ радиосигналов;…
OSINT — поиск информации в открытых источниках;
GEOINT — анализ геолокационных данных и карт;
SIGINT — перехват и анализ радиосигналов;…
❤6🔥3🤡3👍1
P.S. Участие для заказчиков и клиентов - бесплатное, насколько я понимаю с обедом и фуршетом по принципу "все включено"
Please open Telegram to view this post
VIEW IN TELEGRAM
🤡7👍3🍾1
Forwarded from RAD COP
Если вы давно не виделись с командой РАД КОП и хотели бы пообщаться с нами лично, то этот пост для вас 🕵♂️
Встречаемся на конференции АБИСС!
8 октября наша команда будет участвовать в ежегодной конференции ассоциации АБИСС.
Эксперты Александр Осипов и Владимир Алферов выступят в роли спикера и модератора на двух сессиях.
⚪ Сессия 5: «Информационная безопасность финансовых организаций»
Спикер: Александр Осипов, руководитель направления комплаенса и методологии, ведущий эксперт ПК «РАД КОП»
Тема: «Системный подход и трансформация ИБ из статьи расходов в фактор ценности»
Александр расскажет, как выстроить ИБ-функцию, которая не тратит ресурсы компании впустую и не создает убытки, а реально увеличивает ценность бизнеса, обеспечивая устойчивость и доверие.
⚪ Сессия 6: «Разработка безопасного ПО»
Модератор: Владимир Алферов, руководитель направления безопасности приложений ПК «РАД КОП».
Эта сессия обещает быть насыщенной, вместе с экспертами обсудим:
А в конце сессии вместе с докладчиками и приглашенным гостем председателем ПК «РАД КОП» Рустамом Гусейновым обсудим эффект синергии людей, процессов и технологий в области безопасной разработки ПО🤝
Ждем встречи с вами, чтобы поделиться лучшими практиками и пообщаться вживую❤️
#АБИСС #DevSecOps
Встречаемся на конференции АБИСС!
8 октября наша команда будет участвовать в ежегодной конференции ассоциации АБИСС.
Эксперты Александр Осипов и Владимир Алферов выступят в роли спикера и модератора на двух сессиях.
Спикер: Александр Осипов, руководитель направления комплаенса и методологии, ведущий эксперт ПК «РАД КОП»
Тема: «Системный подход и трансформация ИБ из статьи расходов в фактор ценности»
Александр расскажет, как выстроить ИБ-функцию, которая не тратит ресурсы компании впустую и не создает убытки, а реально увеличивает ценность бизнеса, обеспечивая устойчивость и доверие.
Модератор: Владимир Алферов, руководитель направления безопасности приложений ПК «РАД КОП».
Эта сессия обещает быть насыщенной, вместе с экспертами обсудим:
🔗 Требования приказа ФСТЭК № 117 — практические шаги внедрения процессов РБПО
Башарина Екатерина, руководитель группы аудита и стратегии, Swordfish Security🔗 Практико-ориентированный подход в обучении специалистов безопасной разработки
Насонов Виталий, начальник отдела безопасной разработки, ООО «СИГМА»🔗 Возможен ли Sec между Dev и Ops?
Васин Александр, начальник управления комплексной защиты информации, ПАО «МКБ»🔗 Бизнес-прозрачность безопасности приложений через метрики и автоматизацию
Султанов Денис, руководитель направления безопасности приложений, Компания БКС
А в конце сессии вместе с докладчиками и приглашенным гостем председателем ПК «РАД КОП» Рустамом Гусейновым обсудим эффект синергии людей, процессов и технологий в области безопасной разработки ПО
Ждем встречи с вами, чтобы поделиться лучшими практиками и пообщаться вживую
#АБИСС #DevSecOps
Please open Telegram to view this post
VIEW IN TELEGRAM
👍6🔥4👏1🙏1🤡1