🔤🔤
Здесь ты сможешь найти только проверенные образовательные материалы для кибербезопасников и айтишников, прямые эфиры и стримы с людьми из индустрии.

Список хэштегов для навигации по постам
⚡️ #AppSec
⚡️ #Pentest
⚡️ #DevSecOps
⚡️ #SecArch
⚡️ #BaseSecurity
⚡️ #CloudSecurity
⚡️ #AI
⚡️ #SOC
⚡️ #Network
⚡️ #API
⚡️ #Practice
⚡️ #web3
⚡️ #Mobile
⚡️ #SOC
⚡️ #MalwareAnalysis
Список будет пополняться с появлением новых материалов

Предложка
Если у вас есть что-то интересное, чем вы бы хотели поделиться с этим миром через этот канал, пишите мне (@romanpnn) или соавтору канала – Валере (@Valerka321)

Ну а кто, если не они

OWASP выпустил свой Top 10 для LLM (Large Language Model) Applications. Если по-русски, то это всё тот же, всемирно признанный список самых опасных угроз безопасности, но не для веба, а для нейронок, LLM, ML и всего того, что пришло на смену web3.

В общем, такое уже надо знать много кому, поэтому читаем.

#AI

🧠 Твой Пакет Знаний | 🛍 Другие каналы

Очень забавная и легкая статейка по основам MLSecOps. Еще и с визуализацией в виде котов.

Структурированные таблицы, красивые кастомные схемы и даже мини-модель угроз входят в комплектацию.

Так что если вы собирались начать погружаться в эту область кибербеза, то рекомендую почитать – ссылка

#DevSecOps #AI #BaseSecurity

🧠 Твой Пакет Знаний | 👨‍🏫 Менторство ИБ
📂 Другие каналы

Нейросетевой пентест

Тут на днях в нашего кибербота прилетел вопрос на тему полезного чтива об ML/AI в сфере наступательной безопасности и рэдтиминга. Подумал, что вам этот ответ тоже может быть полезен, поэтому ловите годный тред с Реддита по этому вопросу – ссылка

#Pentest #AI

🧠 Твой Пакет Знаний | 👨‍🏫 Менторство ИБ
📂 Другие каналы

Готовимся к судному дню

Недавно команда разработчиков из Gen AI Security Project выпустила интерактивную песочницу для тестирования LLM на безопасность - Chat Playground.

Разработчики хвастаются своими адаптивными методами фильтрации текста, основанными (вдохните) на понимании контекста, а не на формировании статичного списка запрещённых слов (выдохните). В арсенале у песочницы две модели: простенькая SimpleBot и GPT 4o-mini, но для использования второй нужно будет предоставить свой API ключ от учётки OpenAI.

#AI #Practice

🧠 Твой Пакет Знаний | 👨‍🏫 Менторство ИБ
📂 Другие каналы

Делимся с вами ресурсом, который поможет в обеспечении безопасности систем ИИ - Google SAIF.

На этом ресурсе есть несколько ключевых разделов:
- SAIF Risk Map − карта с рисками безопасности. Она разделена на 4 компонентных группы: информация, инфраструктура, модель и приложение. Каждой группе присущи свои риски и соответственно свои подходы по снижению вероятности возникновения этих самых рисков.
- Secure AI Development Primer − гайдлайн по жизненному циклу ИИ разработки с особым вниманием к безопасности.
- Risk Self Assessment − тест на оценку безопасности вашей компании, который определяет актуальные риски, связанные с ИИ.

Ну и как вишенка на торте есть ещё страничка с полезными доп материалами по теме.

#AppSec #AI

🧠Пакет Знаний | 👨‍🏫 Менторство
📂 Другие каналы

А вот и доклады с оффзона подъехали.

Посмотреть можно как на ютубе, так и в вк. Ещё на сайте оффзона для каждого доклада можно скачать презентацию

Запасаемся чаем со сладостями и приятного вам просмотра!

#AI #AppSec #Pentest #BaseSecurity #DevSecOps #SOC #SecArch

🧠 Пакет Знаний | 👨‍🏫 Менторство
📂 Другие каналы

Сегодня у нас экспериментальный формат - небольшой дайджест с лучшими статьями на хабре за неделю.

Без лишних слов начнём с первой статьи, которая посвящена взлому АЭС. В тексте разобран сценарий кибератаки на ядерный реактор, основанный на опыте исследователя ИБ Рубена Сантамарта.

Вторая статья посвящена разбору IAST - способа анализа приложений, который совмещает в себе методы статического (SAST) и динамического (DAST) анализа приложений.

В третьей статье приводятся два примера самописных сканеров сети с небольшим разбором. Данная статья поможет углубить понимание работы сканеров.

Четвёртая статья посвящена использованию ИИ агентов для решения CTF задач. Результат оказался более чем успешный, так как ИИ смог решить задачу, которую не решил никто на конференции.

Ну и чтобы не заканчивать день упадническими мыслями о том, что всех нас заменит ИИ (на самом деле это не так), закончим этот дайджест мотивационной статьёй о том, почему ИБшники не останутся без хлеба.

Если вам зашёл такой формат, то накиньте реакций и мы сделаем этот дайджест постоянным.

#Pentest #AppSec #AI

🧠 Пакет Знаний | 👨‍🏫 Менторство
📂 Другие каналы

Встречаем понедельник нашей постоянной (почти) рубрикой - лучшие статьи недели.

Начнём со статей про ИИ.
Первая - это разбор исследования языковых моделей на предмет анализа уязвимостей в исходном коде.
Вторая статья напротив, посвящена использованию LLM злоумышленниками. Автор обозревает инциденты кибератак, в которых использовались GenAI, встроенные в контуры жертв.

Дальше у нас идут более практические статьи.
База по Command Injection. Автор разбирает методы исполнения этой атаки, а также даёт практически советы по выявлению и противодействию данному виду атак.
Следующая статья - гайд по сбору учётных данных с помощью NetExec. Понадобится AD пентестерам.

Разбавим всякие сложные тексты мнением по сертификациям для начинающих специалистов. В небольшой статье описано, на какие сертификации стоит обращать внимание новичку в ИБ.

Так как прошедшая неделя упала на конец сентября, то естественно наша подборка не обойдётся без статей с самыми интересными уязами за месяц. Их аж целых две - раз и два.

Ну и завершим данный пост бэнгером прошедшей недели - разбором сложной уязвимости ядра Linux CVE-2024-50264. Автор проделал очень большую работу, разработав эксплойт и описав этот процесс в статье в формате исследования.

#AI #Pentest #AppSec

🧠 Пакет Знаний | 👨‍🏫 Менторство
📂 Другие каналы

OpenAI решили объединить два тренда 2025-го года - безопасность и AI-агентов. В итоге получился Aardvark - агент, который анализирует исходный код на предмет уязвимостей.

Судя по всему, это такой очень умный SAST, который и код проанализирует, и юнит-тесты напишет, и даже закинет коммит, который исправляет найденные уязвимости.

На бумаге, как всегда, всё выглядит хорошо, посмотрим как будет на практике. Пока что инструмент раскатывают в закрытой бете, на которую можно записаться по ссылке.

#AI #AppSec

🧠 Твой Пакет Знаний | 👨‍🏫 Менторство ИБ
📂 Другие каналы

Давно не было рабочих понедельников, примерно столько же не было и постов про статьи прошедшей недели - исправляемся.

Начинаем нашу подборку со статьи по безопасной настройке Kubernetes. В тексте приводятся рекомендации из стандарта CIS Kubernetes Benchmark по обустройству безопасных кластеров k8s. Также автор вкратце обозревает и другие гайдлайны (NSA/CISA, STIG, Модель 4С’s).

Далее у нас практический гайд по проектированию безопасной архитектуры. Автор выделил основные элементы безопасной инфраструктуры (выделенные и облачные серверы, межсетевой экран, сервисы и т.д.) и разобрал каждый из них.

От синей команды плавно перейдём к красной. Крайне важная статья для новичков-пентестеров (да и не только для новичков, в общем-то), в которой показываются последствия использования незнакомых эксплойтов и инструментов при проведении тестирования.

Ну и под конец у нас две информативные статьи:
- Разбор OWASP TOP 10 Machine Learning Security. В статье рассматривается каждый пункт этого топа и приводятся рекомендации по предотвращению описанных уязвимостей.
- Ну и так как у нас относительно недавно закончился октябрь, то держите подборку опасных уязвимостей прошедшего месяца.

#AppSec #DevSecOps #Pentest #AI

🧠 Твой Пакет Знаний | 👨‍🏫 Менторство ИБ
📂 Другие каналы

Всем привет! Понедельник в этот раз не примечательный, зато статьи интересные!

На прошлой недели вышло аж две статьи от PT на тему взлома банкоматов. Первый текст посвящён устройству банкоматов и типам атак на них. Во второй статье авторы рассказывают про логические атаки на банкоматы.

Далее у нас статья от инженера Kubernetes про User Namespaces в (как неожиданно) Kubernetes. В тексте рассказывается про новую фичу k8s, которая защищает от большого количества критических уязвимостей.

Не отходя далеко от инфраструктуры, углубимся в защиту от атак, связанных с шифрованием и удалением данных. И поможет нам в этом ультимативный гайд от Bi.Zone.

Ну и под конец узнаем о десяти ключевых угрозах для ИИ-агентов. Подробнее в данной статье.

#Pentest #DevSecOps #AI

🧠 Твой Пакет Знаний | 👨‍🏫 Менторство ИБ
📂 Другие каналы

Всем привет! Встречаем последний месяц в году традиционным дайджестом по лучшим статьям прошедшей недели. Заваривайте горячий какао и знакомьтесь с полезными материалами.

Начнём с объёмной статьи от Alfa-Tech по основам безопасности веб-приложений. Автор на примере общедоступных ресурсов для тестирования знакомит читателей с основными техниками по пентесту веб-приложений.

Не отходя далеко от эксплуатации уязвимостей, делимся с вами подробным разбором уязвимости CVE-2024-31982, которая приводит к удалённому выполнению кода.

Сегодня у нас практически все статьи про тестирование, так что для разнообразия в середину поставим статью про предотвращение CSRF атак без использования токенов.

Далее идёт статья про безопасность AI. Автор рассказывает про атаки и базовые методы защиты от описанных атак.

И напоследок у нас текст про тестирование Nginx. В статье автор делится полезными инструментами как для проверки конфигурации на корректность, так и для тестирования непосредственно безопасности веб-сервера.

#Pentest #AppSec #AI #DevSecOps

🧠 Твой Пакет Знаний | 👨‍🏫 Менторство ИБ
📂 Другие каналы

Делимся с вами относительно свежей платформой с лабами для красной и синей команды - Infinity Learning

В ней вы найдете лабы на следующие темы:
- AI Security
- Cloud Security
- DevOps Security
- Kubernetes Security
- On-Premise Security (внутренняя инфраструктура)
- APT Labs

На платформе сейчас 139 лаб, около 50-ти из них бесплатные. В основном бесплатные лабы касаются облачной безопасности. Для любителей кубера будет небольшое разочарование, так как все задания по этой теме платные.

Платформе всего около полутра лет и новые лабы там появляются регулярно, советую ознакомиться.

#Pentest #AppSec #DevSecOps #AI #Practice

🧠 ПЗ | 👨‍🏫 Менторство ИБ
📂 Другие каналы

Сегодня делимся с вами большим сборником ежегодных отчётов по кибербезопасности от компаний разного калибра.

Отчёты разделяются на два вида - аналитические и обзорные. Первые формируются на основе собранных метрик с устройств и ПО. Вторые же составлены исходя из опросов и интервью целевой аудитории.

В данном хранилище вы найдёте отчёты от компаний, посвящённые следующим темам:
- Threat Intelligence
- Application Security
- Cloud Security
- Vulnerabilities
- Ransomware
- Data Breaches
- Physical Security
- AI and Emerging Technologies
- Industry Trends
- Identity Security
- Penetration Testing
- Privacy and Data Protection

#Pentest #AppSec #AI #MalwareAnalysis #SecArch

🧠 ПЗ | 👨‍🏫 Менторство ИБ
📂 Другие каналы

У Google Cloud Security вышел "прогноз погоды" по рынку безопасности на 2026-й год.

Собрали для вас основные тезисы из отчёта.

ИИ:
- Злоумышленники продолжат внедрять в свои процессы ИИ и агентов для автоматизации всего и вся. Включая также использование методов социальной инженерии в комбинации с искусственным интеллектом;
- В связи с масштабным внедрением ИИ в бизнес, ожидается значительное увеличение целенаправленных атак на корпоративный ИИ;
- Также ИИ улучшит опыт аналитиков SOC первой линии, дополняя инциденты контекстной информацией, чтобы специалист тратил меньше времени на ручную идентификацию инцидента;
- Обострится проблема "теневых агентов". Это когда сотрудники внедряют ИИ в свои процессы без ведома руководства, что сильно влияет на вероятность утечки данных третьим лицам;
- Ну и конечно же, Prompt Injection будет одним из самых популярных векторов атак в следующем году.

Киберпреступления:
- Программы-вымогатели остаются трендом сезона;
- Также увеличится количество таргетированных атак на людей, в том числе с помощью таких техник социальной инженерии как вишинг;
- Большое количество атак будет направлено на децентрализованные финансовые платформы и биржи;
- Промышленные системы (ICS/OT) тоже не останутся без внимания киберпреступников.

Также в этом прогнозе есть большой блок про геополитику, где описывают опасность самых злых и недемократичных хакеров: русских, китайских, иранских и северокорейских.

С полной версией занимательного чтива можете ознакомиться здесь.

#AI

🧠 ПЗ | 👨‍🏫 Менторство ИБ
📂 Другие каналы

Что хотел сказать автор.

Нашли инструмент, который генерирует документацию по github репозиториям. Работает очень просто: берёте ссылку на репозиторий или пишете название, скармливаете на сайт, получаете документацию на утилиту. Дополнительно можно задать любой вопрос по тексту прямо на сайте.

Пробуем без регистрации и смс тут.

#AI #AppSec #Pentest

🧠 ПЗ | 👨‍🏫 Менторство ИБ
📂 Другие каналы

AI погоняет.

Нашли статью с перечнем ИИ-помощников в инфобезе. Из любопытного для себя отметили:
- AutorizePro - расширение для BurpSuite - улучшает анализ уязвимостей в системах авторизации;
- SHERPA - умный фаззинг;
- BugTrace-AI - воспроизведение багов на основе трейсов.

Полный список тут.

#Pentest #AppSec #AI

🧠 ПЗ | 👨‍🏫 Менторство ИБ
📂 Другие каналы