Да кто такой, этот ваш mTLS
На собеседованиях все еще продолжают спрашивать про mTLS, его отличие от TLS, зачем оно надо, как оно работает и от чего защищает.
Собственно, ловите пару статеек на эту тему – там и про рукопожатия, и про конфиги в k8s, и про Ambient Mesh, и даже картиночки есть.
✅ Статья раз – ссылка
✅ Статья два – ссылка
#BaseSecurity #DevSecOps #Network
🧠 Твой Пакет Знаний | 🛍 Другие каналы
На собеседованиях все еще продолжают спрашивать про mTLS, его отличие от TLS, зачем оно надо, как оно работает и от чего защищает.
Собственно, ловите пару статеек на эту тему – там и про рукопожатия, и про конфиги в k8s, и про Ambient Mesh, и даже картиночки есть.
#BaseSecurity #DevSecOps #Network
Please open Telegram to view this post
VIEW IN TELEGRAM
👍4❤3🤔2🔥1🙏1🤝1
DevSecOps Reference Architecture.pdf
4.2 MB
Давай мясо
Не помню, скидывал ли я эту визуальную мясорубку сюда или нет, но держите – ссылка
Здесь наглядно показано, почему ребята из DevSecOps зарабатывают больше среднего по больнице. В целом, можно брать эту референсную схему и накладывать ее на ваш ландшафт, процессы и технологии.
Да, потом придется все это строить, но это уже совсем другая история.
#DevSecOps
🧠 Твой Пакет Знаний | 👨🏫 Менторство ИБ
📂 Другие каналы
Не помню, скидывал ли я эту визуальную мясорубку сюда или нет, но держите – ссылка
Здесь наглядно показано, почему ребята из DevSecOps зарабатывают больше среднего по больнице. В целом, можно брать эту референсную схему и накладывать ее на ваш ландшафт, процессы и технологии.
Да, потом придется все это строить, но это уже совсем другая история.
#DevSecOps
Please open Telegram to view this post
VIEW IN TELEGRAM
👍7❤2🔥1
KubeSecCrowd.pdf
1.2 MB
Безопасность куберов
Наткнулся на комплексный гайд от ребят из CrowdStrike (помните их, да? ну ладно, с кем не бывает) про то, как атакуют и защищают кластера Kubernetes.
В целом, ничего нового, помимо хорошо расписанных векторов атак. Ну а если вы только погружаетесь в безопасность k8s, то для начала советую почитать старую-добрую базу от ребят из QIWI – ссылка
#DevSecOps #BaseSecurity #CloudSecurity
🧠 Твой Пакет Знаний | 👨🏫 Менторство ИБ
📂 Другие каналы
Наткнулся на комплексный гайд от ребят из CrowdStrike (помните их, да? ну ладно, с кем не бывает) про то, как атакуют и защищают кластера Kubernetes.
В целом, ничего нового, помимо хорошо расписанных векторов атак. Ну а если вы только погружаетесь в безопасность k8s, то для начала советую почитать старую-добрую базу от ребят из QIWI – ссылка
#DevSecOps #BaseSecurity #CloudSecurity
Please open Telegram to view this post
VIEW IN TELEGRAM
❤8🔥2🤝2🦄1
Врум-врум, коллеги по цеху. Настало время попробовать стримы на технические темы и разборы чего-то хардкорного, за которые вы голосовали вот здесь.
В этот раз обсудим достаточно попсовую, но всё еще болезненную для многих тему харденинга k8s. Это спрашивают на собеседованиях, это пригождается в работе. Да и в целом, полезно будет узнать, как защищать то, на чем держится 80% энтерпрайза в наши дни.
Ну а расскажет вам об этом самый настоящий кибербезопасник и автор канала s3c4rch – @tembitt
🗓 Когда: 16 марта в 16:00 по мск
📍 Где: прямо в этом канале в формате стрима
Честно не знаю, что из этого получится, но если вам зайдет, то будем продолжать.
#DevSecOps #BaseSecurity #CloudSecurity
🧠 Твой Пакет Знаний | 👨🏫 Менторство ИБ
📂 Другие каналы
В этот раз обсудим достаточно попсовую, но всё еще болезненную для многих тему харденинга k8s. Это спрашивают на собеседованиях, это пригождается в работе. Да и в целом, полезно будет узнать, как защищать то, на чем держится 80% энтерпрайза в наши дни.
Ну а расскажет вам об этом самый настоящий кибербезопасник и автор канала s3c4rch – @tembitt
Честно не знаю, что из этого получится, но если вам зайдет, то будем продолжать.
#DevSecOps #BaseSecurity #CloudSecurity
Please open Telegram to view this post
VIEW IN TELEGRAM
👍9🔥6❤2
Очень забавная и легкая статейка по основам MLSecOps. Еще и с визуализацией в виде котов.
Структурированные таблицы, красивые кастомные схемы и даже мини-модель угроз входят в комплектацию.
Так что если вы собирались начать погружаться в эту область кибербеза, то рекомендую почитать – ссылка
#DevSecOps #AI #BaseSecurity
🧠 Твой Пакет Знаний | 👨🏫 Менторство ИБ
📂 Другие каналы
Структурированные таблицы, красивые кастомные схемы и даже мини-модель угроз входят в комплектацию.
Так что если вы собирались начать погружаться в эту область кибербеза, то рекомендую почитать – ссылка
#DevSecOps #AI #BaseSecurity
Please open Telegram to view this post
VIEW IN TELEGRAM
Хабр
MLSecOps: почему, зачем и кому это нужно?
Всем привет! Меня зовут Никита , я работаю в центре машинного обучения «Инфосистемы Джет». Сейчас я учусь в своей второй магистратуре в ВШЭ ФКН на программе «Современные компьютерные науки» и в Школе...
👍6❤2🔥2
Продолжаем тему безопасности микросервисной архитектуры. Сегодня у нас на очереди годная статья от одного известного в узких кругах безопасника про Service Mesh и про то, как его приручить – ссылка
Там и про Istio, и про mTLS, и про то, как все это провернуть в реальной жизни.
#DevSecOps #BaseSecurity
🧠 Твой Пакет Знаний | 👨🏫 Менторство ИБ
📂 Другие каналы
Там и про Istio, и про mTLS, и про то, как все это провернуть в реальной жизни.
#DevSecOps #BaseSecurity
Please open Telegram to view this post
VIEW IN TELEGRAM
Хабр
Service Mesh в дикой природе или как не стать жертвой атак
Введение Угрозы безопасности в Service Mesh 1. Ошибки конфигурации и человеческий фактор 2. Атаки на контрольную плоскость (control plane) 3. Обход sidecar-прокси (атаки на data plane) 4....
👍6🔥2🕊1
Пакет Знаний | Кибербезопасность
Чуть поменял закрепленный пост и добавил туда напоминание о предложке. Поэтому, если у вас есть что-то интересное, чем вы бы хотели поделиться с миром через этот канал – смело пишите @romanpnn
🫡3🤝2⚡1
На GitHub не так много звездных ИБшных репозиториев, и это как раз один из них – ссылка
Собственно, это очередной агрегатор всего, что можно от AppSec и DevSecOps до пентеста и фишинга. Там и чеклисты, и инструменты, и фреймворки, и тактики, и даже лабораторные.
#AppSec #Pentest #DevSecOps #BaseSecurity #Network #web3
🧠 Твой Пакет Знаний | 👨🏫 Менторство ИБ
📂 Другие каналы
Собственно, это очередной агрегатор всего, что можно от AppSec и DevSecOps до пентеста и фишинга. Там и чеклисты, и инструменты, и фреймворки, и тактики, и даже лабораторные.
#AppSec #Pentest #DevSecOps #BaseSecurity #Network #web3
Please open Telegram to view this post
VIEW IN TELEGRAM
❤🔥7👍5🔥4😍1🤝1
Forwarded from Роман Панин
DevOps Roadmap.png
1.2 MB
DevOps полезен всем
Сегодня у нас в меню очень интересный проект - подробная дорожная карта для будущих DevOps специалистов... И не только для них!
Как все мы знаем, ИБ это только надстройка над ИТ. Поэтому хороший безопасник, помимо профильных знаний, также должен иметь крепкие знания касающиеся информационных технологий. На данном ресурсе есть много полезных материалов для изучения Python, Linux, Docker и т.д. Но самое главное - этот roadmap поможет обрести или же укрепить понимание того, как работает микросервисная архитектура изнутри.
Приятного просмотра! И помните, что для выстраивания хорошей защиты нужно также хорошо понимать сам продукт, который вы защищаете. Для атаки это работает также, так что пентестеры тоже не отвертятся.
А, ну и ловите еще один роадмап по девопсу файликом, он чуть менее подробный.
#BaseSecurity #DevSecOps
🧠 Твой Пакет Знаний | 👨🏫 Менторство ИБ
📂 Другие каналы
Сегодня у нас в меню очень интересный проект - подробная дорожная карта для будущих DevOps специалистов... И не только для них!
Как все мы знаем, ИБ это только надстройка над ИТ. Поэтому хороший безопасник, помимо профильных знаний, также должен иметь крепкие знания касающиеся информационных технологий. На данном ресурсе есть много полезных материалов для изучения Python, Linux, Docker и т.д. Но самое главное - этот roadmap поможет обрести или же укрепить понимание того, как работает микросервисная архитектура изнутри.
Приятного просмотра! И помните, что для выстраивания хорошей защиты нужно также хорошо понимать сам продукт, который вы защищаете. Для атаки это работает также, так что пентестеры тоже не отвертятся.
А, ну и ловите еще один роадмап по девопсу файликом, он чуть менее подробный.
#BaseSecurity #DevSecOps
Please open Telegram to view this post
VIEW IN TELEGRAM
⚡5🔥3❤2
Пару месяцев назад прошел БЕКОН 2025.
Сама конфа посвящена безопасности контейнеров и всего, что с ними связано. Конфа была дорогая. Проходки были не у всех, поэтому новость вдвойне радостная.
Недавно подоспели видео с докладами с данного мероприятия. Также на сайте вы можете найти и скачать архив с докладами.
#DevSecOps #AppSec
🧠 Твой Пакет Знаний | 👨🏫 Менторство ИБ
📂 Другие каналы
Сама конфа посвящена безопасности контейнеров и всего, что с ними связано. Конфа была дорогая. Проходки были не у всех, поэтому новость вдвойне радостная.
Недавно подоспели видео с докладами с данного мероприятия. Также на сайте вы можете найти и скачать архив с докладами.
#DevSecOps #AppSec
Please open Telegram to view this post
VIEW IN TELEGRAM
2🔥6👍5❤2⚡1
Прозрачное программное обеспечение
Сегодня расскажем немного о книге, которую нам любезно предоставило издательство Питер – "Прозрачное программное обеспечение. Безопасность цепочек поставок ПО".
Сама книга, как можно понять из названия, посвящена защите цепочек поставок ПО. Очень большой фокус делается на спецификации SBOM (Software Bill of Materials), которая представляет из себя список всех компонентов, библиотек и зависимостей, входящих программный продукт. В книге описано довольно много информации о том, для чего нужен SBOM и где его применять.
Также затрагивается значимость и других, немаловажных, инструментов для обеспечения прозрачности цепочек поставок, таких как VEX (Vulnerability Exploitability eXchange) и SLSA (Security Levels for Software Artifacts).
Книга не очень большая (около 350-ти страниц), но в ней сконцентрировано очень много полезного материала – от теоретических понятий до практического применения инструментов.
Рекомендовать мы бы её стали действующим специалистам DevOps/DevSecOps и специалистам, которые занимают управляющие должности в кибербезе. Для новичков такая литература не очень подойдёт, так как книга не даёт базовых знаний, а имеет более углубленную направленность в сторону выстраивания процессов в ИБ.
#DevSecOps #AppSec
🧠 Твой Пакет Знаний | 👨🏫 Менторство ИБ
📂 Другие каналы
Сегодня расскажем немного о книге, которую нам любезно предоставило издательство Питер – "Прозрачное программное обеспечение. Безопасность цепочек поставок ПО".
Сама книга, как можно понять из названия, посвящена защите цепочек поставок ПО. Очень большой фокус делается на спецификации SBOM (Software Bill of Materials), которая представляет из себя список всех компонентов, библиотек и зависимостей, входящих программный продукт. В книге описано довольно много информации о том, для чего нужен SBOM и где его применять.
Также затрагивается значимость и других, немаловажных, инструментов для обеспечения прозрачности цепочек поставок, таких как VEX (Vulnerability Exploitability eXchange) и SLSA (Security Levels for Software Artifacts).
Книга не очень большая (около 350-ти страниц), но в ней сконцентрировано очень много полезного материала – от теоретических понятий до практического применения инструментов.
Рекомендовать мы бы её стали действующим специалистам DevOps/DevSecOps и специалистам, которые занимают управляющие должности в кибербезе. Для новичков такая литература не очень подойдёт, так как книга не даёт базовых знаний, а имеет более углубленную направленность в сторону выстраивания процессов в ИБ.
#DevSecOps #AppSec
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥8❤5🤝3
arhitektura_zasczisczennyh_setei_blok_28_11_cleaned (2).pdf
9 MB
Сегодня у нас чтиво о защите периметра сети - Архитектура защищённости сетей.
В данной книге разбираются такие типы СЗИ как NGFW, Email Security, WAF и Sandbox. Список самих обозреваемых решений довольно большой, начиная от циски и майкрософта, заканчивая нашими решениями от PT, Usergate и т.д.
Прочитав эту книгу вы сможете понять, цель каждого из описанных СЗИ и в какую часть сети их нужно внедрять.
#AppSec #DevSecOps #SecArch
🧠 Пакет Знаний | 👨🏫 Менторство
📂 Другие каналы
В данной книге разбираются такие типы СЗИ как NGFW, Email Security, WAF и Sandbox. Список самих обозреваемых решений довольно большой, начиная от циски и майкрософта, заканчивая нашими решениями от PT, Usergate и т.д.
Прочитав эту книгу вы сможете понять, цель каждого из описанных СЗИ и в какую часть сети их нужно внедрять.
#AppSec #DevSecOps #SecArch
Please open Telegram to view this post
VIEW IN TELEGRAM
1❤8🔥8🥰2⚡1👍1
Делимся большой картой с сертификатами в ИБ.
Карта разделена на три уровня сложности (Начинающий, Средний, Эксперт) и на большое количество ролей, начиная от ред/блю тим, заканчивая безопасностью сетей и архитектуры.
Сами сертификаты можно фильтровать по стоимости, вендорам и специальностям. И ещё тут есть фича сравнения сертификатов по ключевым параметрам.
Цель на жизнь поставлена, можно начинать собирать.
#AppSec #Pentest #DevSecOps #SecArch #SOC
🧠 Пакет Знаний | 👨🏫 Менторство
📂 Другие каналы
Карта разделена на три уровня сложности (Начинающий, Средний, Эксперт) и на большое количество ролей, начиная от ред/блю тим, заканчивая безопасностью сетей и архитектуры.
Сами сертификаты можно фильтровать по стоимости, вендорам и специальностям. И ещё тут есть фича сравнения сертификатов по ключевым параметрам.
Цель на жизнь поставлена, можно начинать собирать.
#AppSec #Pentest #DevSecOps #SecArch #SOC
Please open Telegram to view this post
VIEW IN TELEGRAM
👍13❤🔥6⚡4🔥1🤓1
Сегодня делимся с вами ресурсом по изучению безопасности API - Apisec University.
Здесь вы найдёте курсы с полезной инфой об уязвимостях API, начиная с OWASP API Top 10 и заканчивая уязвимостями в LLM и NLP.
Помимо материала для атакующих, есть также курсы, которые обучают обустраивать безопасность в API.
Всего на ресурсе 15 бесплатных курсов. Если вам интересна безопасность API, то обязательно ознакомьтесь с материалом.
#Pentest #DevSecOps #AppSec
🧠 Пакет Знаний | 👨🏫 Менторство
📂 Другие каналы
Здесь вы найдёте курсы с полезной инфой об уязвимостях API, начиная с OWASP API Top 10 и заканчивая уязвимостями в LLM и NLP.
Помимо материала для атакующих, есть также курсы, которые обучают обустраивать безопасность в API.
Всего на ресурсе 15 бесплатных курсов. Если вам интересна безопасность API, то обязательно ознакомьтесь с материалом.
#Pentest #DevSecOps #AppSec
Please open Telegram to view this post
VIEW IN TELEGRAM
❤9🔥5⚡2
А вот и доклады с оффзона подъехали.
Посмотреть можно как на ютубе, так и в вк. Ещё на сайте оффзона для каждого доклада можно скачать презентацию
Запасаемся чаем со сладостями и приятного вам просмотра!
#AI #AppSec #Pentest #BaseSecurity #DevSecOps #SOC #SecArch
🧠 Пакет Знаний | 👨🏫 Менторство
📂 Другие каналы
Посмотреть можно как на ютубе, так и в вк. Ещё на сайте оффзона для каждого доклада можно скачать презентацию
Запасаемся чаем со сладостями и приятного вам просмотра!
#AI #AppSec #Pentest #BaseSecurity #DevSecOps #SOC #SecArch
Please open Telegram to view this post
VIEW IN TELEGRAM
❤6🔥4⚡2
Сегодня понедельник, а значит что? Правильно - лучшие статьи прошедшей недели.
Начнём с улучшения защиты вашей системы. Первая статья рассказывает о том, как защитить ваш веб-сайт от ботов, которые создают большую нагрузку и нагружают вашу систему.
После улучшения веба идём работать с инфрой - защитим Kubernetes на уровне ядра Linux. Далее у нас остаются ещё домены AD, которые тоже не помешало бы обезопасить. В этом нам помогут две статьи - Повышение защищённости Active Directory часть 1 и часть 2 (Да, первая часть вышла в апреле, но кто начинает смотреть сиквел без просмотра оригинала?).
Что ж, над защитой поработали, теперь время порадовать и ребят из красной команды. Держите разборы кейсов с багбаунти:
1) баг с использованием NULL в имени пользователя;
2) статья о том, как придумать интересный вектор атаки для обычного IDOR и повысить его в глазах триажеров.
Ещё хотелось бы поделиться обделённой вниманием статьёй с разбором атаки gadget chain, приводящей к RCE.
Далее у нас довольно подробный разбор техник разведки в MITRE ATT&CK.
Ну и под конец немного практики - создаём личный OSINT-комбайн на основе Google Sheets.
#Pentest #AppSec #DevSecOps #SecArch #BaseSecurity
🧠 Пакет Знаний | 👨🏫 Менторство
📂 Другие каналы
Начнём с улучшения защиты вашей системы. Первая статья рассказывает о том, как защитить ваш веб-сайт от ботов, которые создают большую нагрузку и нагружают вашу систему.
После улучшения веба идём работать с инфрой - защитим Kubernetes на уровне ядра Linux. Далее у нас остаются ещё домены AD, которые тоже не помешало бы обезопасить. В этом нам помогут две статьи - Повышение защищённости Active Directory часть 1 и часть 2 (Да, первая часть вышла в апреле, но кто начинает смотреть сиквел без просмотра оригинала?).
Что ж, над защитой поработали, теперь время порадовать и ребят из красной команды. Держите разборы кейсов с багбаунти:
1) баг с использованием NULL в имени пользователя;
2) статья о том, как придумать интересный вектор атаки для обычного IDOR и повысить его в глазах триажеров.
Ещё хотелось бы поделиться обделённой вниманием статьёй с разбором атаки gadget chain, приводящей к RCE.
Далее у нас довольно подробный разбор техник разведки в MITRE ATT&CK.
Ну и под конец немного практики - создаём личный OSINT-комбайн на основе Google Sheets.
#Pentest #AppSec #DevSecOps #SecArch #BaseSecurity
Please open Telegram to view this post
VIEW IN TELEGRAM
❤4🔥3👍1🍌1
Понедельник - день тяжелый, так что не помешает немного расслабиться за чашечкой чая и почитать интересные статьи прошедшей недели.
Начнём с чего-то простого. Статья о взломе подарочного сертификата вдохновит вас на мысли о том, что уязвимости могут быть даже в самых простых системах.
Следующая статья расскажет о случаях безопасности протокола HTTP, которые нужно учитывать при разработке API. Полезно будет почитать как разработчикам, так и пентестерам.
Далее у нас идёт статья для синей команды - шпаргалка по Linux для DFIR.
Затем забираем себе подборку руководств и книг по DevSecOps.
Ну и закончим на сегодня объёмным и интересным разбором (буквально) POS-терминала.
Хорошего вам дня и продуктивной недели!
#AppSec #Pentest #DevSecOps
🧠 Пакет Знаний | 👨🏫 Менторство
📂 Другие каналы
Начнём с чего-то простого. Статья о взломе подарочного сертификата вдохновит вас на мысли о том, что уязвимости могут быть даже в самых простых системах.
Следующая статья расскажет о случаях безопасности протокола HTTP, которые нужно учитывать при разработке API. Полезно будет почитать как разработчикам, так и пентестерам.
Далее у нас идёт статья для синей команды - шпаргалка по Linux для DFIR.
Затем забираем себе подборку руководств и книг по DevSecOps.
Ну и закончим на сегодня объёмным и интересным разбором (буквально) POS-терминала.
Хорошего вам дня и продуктивной недели!
#AppSec #Pentest #DevSecOps
Please open Telegram to view this post
VIEW IN TELEGRAM
❤11👍4⚡1
Давно не было рабочих понедельников, примерно столько же не было и постов про статьи прошедшей недели - исправляемся.
Начинаем нашу подборку со статьи по безопасной настройке Kubernetes. В тексте приводятся рекомендации из стандарта CIS Kubernetes Benchmark по обустройству безопасных кластеров k8s. Также автор вкратце обозревает и другие гайдлайны (NSA/CISA, STIG, Модель 4С’s).
Далее у нас практический гайд по проектированию безопасной архитектуры. Автор выделил основные элементы безопасной инфраструктуры (выделенные и облачные серверы, межсетевой экран, сервисы и т.д.) и разобрал каждый из них.
От синей команды плавно перейдём к красной. Крайне важная статья для новичков-пентестеров (да и не только для новичков, в общем-то), в которой показываются последствия использования незнакомых эксплойтов и инструментов при проведении тестирования.
Ну и под конец у нас две информативные статьи:
- Разбор OWASP TOP 10 Machine Learning Security. В статье рассматривается каждый пункт этого топа и приводятся рекомендации по предотвращению описанных уязвимостей.
- Ну и так как у нас относительно недавно закончился октябрь, то держите подборку опасных уязвимостей прошедшего месяца.
#AppSec #DevSecOps #Pentest #AI
🧠 Твой Пакет Знаний | 👨🏫 Менторство ИБ
📂 Другие каналы
Начинаем нашу подборку со статьи по безопасной настройке Kubernetes. В тексте приводятся рекомендации из стандарта CIS Kubernetes Benchmark по обустройству безопасных кластеров k8s. Также автор вкратце обозревает и другие гайдлайны (NSA/CISA, STIG, Модель 4С’s).
Далее у нас практический гайд по проектированию безопасной архитектуры. Автор выделил основные элементы безопасной инфраструктуры (выделенные и облачные серверы, межсетевой экран, сервисы и т.д.) и разобрал каждый из них.
От синей команды плавно перейдём к красной. Крайне важная статья для новичков-пентестеров (да и не только для новичков, в общем-то), в которой показываются последствия использования незнакомых эксплойтов и инструментов при проведении тестирования.
Ну и под конец у нас две информативные статьи:
- Разбор OWASP TOP 10 Machine Learning Security. В статье рассматривается каждый пункт этого топа и приводятся рекомендации по предотвращению описанных уязвимостей.
- Ну и так как у нас относительно недавно закончился октябрь, то держите подборку опасных уязвимостей прошедшего месяца.
#AppSec #DevSecOps #Pentest #AI
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥6❤4🏆2🫡1