Врум-врум, коллеги по цеху. Настало время попробовать стримы на технические темы и разборы чего-то хардкорного, за которые вы голосовали вот здесь.

В этот раз обсудим достаточно попсовую, но всё еще болезненную для многих тему харденинга k8s. Это спрашивают на собеседованиях, это пригождается в работе. Да и в целом, полезно будет узнать, как защищать то, на чем держится 80% энтерпрайза в наши дни.

Ну а расскажет вам об этом самый настоящий кибербезопасник и автор канала s3c4rch – @tembitt

🗓 Когда: 16 марта в 16:00 по мск
📍 Где: прямо в этом канале в формате стрима

Честно не знаю, что из этого получится, но если вам зайдет, то будем продолжать.

#DevSecOps #BaseSecurity #CloudSecurity

🧠 Твой Пакет Знаний | 👨‍🏫 Менторство ИБ
📂 Другие каналы

Очень забавная и легкая статейка по основам MLSecOps. Еще и с визуализацией в виде котов.

Структурированные таблицы, красивые кастомные схемы и даже мини-модель угроз входят в комплектацию.

Так что если вы собирались начать погружаться в эту область кибербеза, то рекомендую почитать – ссылка

#DevSecOps #AI #BaseSecurity

🧠 Твой Пакет Знаний | 👨‍🏫 Менторство ИБ
📂 Другие каналы

Продолжаем тему безопасности микросервисной архитектуры. Сегодня у нас на очереди годная статья от одного известного в узких кругах безопасника про Service Mesh и про то, как его приручить – ссылка

Там и про Istio, и про mTLS, и про то, как все это провернуть в реальной жизни.

#DevSecOps #BaseSecurity

🧠 Твой Пакет Знаний | 👨‍🏫 Менторство ИБ
📂 Другие каналы

На GitHub не так много звездных ИБшных репозиториев, и это как раз один из них – ссылка

Собственно, это очередной агрегатор всего, что можно от AppSec и DevSecOps до пентеста и фишинга. Там и чеклисты, и инструменты, и фреймворки, и тактики, и даже лабораторные.

#AppSec #Pentest #DevSecOps #BaseSecurity #Network #web3

🧠 Твой Пакет Знаний | 👨‍🏫 Менторство ИБ
📂 Другие каналы

DevOps полезен всем

Сегодня у нас в меню очень интересный проект - подробная дорожная карта для будущих DevOps специалистов... И не только для них!

Как все мы знаем, ИБ это только надстройка над ИТ. Поэтому хороший безопасник, помимо профильных знаний, также должен иметь крепкие знания касающиеся информационных технологий. На данном ресурсе есть много полезных материалов для изучения Python, Linux, Docker и т.д. Но самое главное - этот roadmap поможет обрести или же укрепить понимание того, как работает микросервисная архитектура изнутри.

Приятного просмотра! И помните, что для выстраивания хорошей защиты нужно также хорошо понимать сам продукт, который вы защищаете. Для атаки это работает также, так что пентестеры тоже не отвертятся.

А, ну и ловите еще один роадмап по девопсу файликом, он чуть менее подробный.

#BaseSecurity #DevSecOps

🧠 Твой Пакет Знаний | 👨‍🏫 Менторство ИБ
📂 Другие каналы

Пару месяцев назад прошел БЕКОН 2025.

Сама конфа посвящена безопасности контейнеров и всего, что с ними связано. Конфа была дорогая. Проходки были не у всех, поэтому новость вдвойне радостная.

Недавно подоспели видео с докладами с данного мероприятия. Также на сайте вы можете найти и скачать архив с докладами.

#DevSecOps #AppSec

🧠 Твой Пакет Знаний | 👨‍🏫 Менторство ИБ
📂 Другие каналы

Прозрачное программное обеспечение

Сегодня расскажем немного о книге, которую нам любезно предоставило издательство Питер – "Прозрачное программное обеспечение. Безопасность цепочек поставок ПО".

Сама книга, как можно понять из названия, посвящена защите цепочек поставок ПО. Очень большой фокус делается на спецификации SBOM (Software Bill of Materials), которая представляет из себя список всех компонентов, библиотек и зависимостей, входящих программный продукт. В книге описано довольно много информации о том, для чего нужен SBOM и где его применять.

Также затрагивается значимость и других, немаловажных, инструментов для обеспечения прозрачности цепочек поставок, таких как VEX (Vulnerability Exploitability eXchange) и SLSA (Security Levels for Software Artifacts).

Книга не очень большая (около 350-ти страниц), но в ней сконцентрировано очень много полезного материала – от теоретических понятий до практического применения инструментов.

Рекомендовать мы бы её стали действующим специалистам DevOps/DevSecOps и специалистам, которые занимают управляющие должности в кибербезе. Для новичков такая литература не очень подойдёт, так как книга не даёт базовых знаний, а имеет более углубленную направленность в сторону выстраивания процессов в ИБ.

#DevSecOps #AppSec

🧠 Твой Пакет Знаний | 👨‍🏫 Менторство ИБ
📂 Другие каналы

Сегодня у нас чтиво о защите периметра сети - Архитектура защищённости сетей.

В данной книге разбираются такие типы СЗИ как NGFW, Email Security, WAF и Sandbox. Список самих обозреваемых решений довольно большой, начиная от циски и майкрософта, заканчивая нашими решениями от PT, Usergate и т.д.

Прочитав эту книгу вы сможете понять, цель каждого из описанных СЗИ и в какую часть сети их нужно внедрять.

#AppSec #DevSecOps #SecArch

🧠 Пакет Знаний | 👨‍🏫 Менторство
📂 Другие каналы

Делимся большой картой с сертификатами в ИБ.

Карта разделена на три уровня сложности (Начинающий, Средний, Эксперт) и на большое количество ролей, начиная от ред/блю тим, заканчивая безопасностью сетей и архитектуры.

Сами сертификаты можно фильтровать по стоимости, вендорам и специальностям. И ещё тут есть фича сравнения сертификатов по ключевым параметрам.

Цель на жизнь поставлена, можно начинать собирать.

#AppSec #Pentest #DevSecOps #SecArch #SOC

🧠 Пакет Знаний | 👨‍🏫 Менторство
📂 Другие каналы

Сегодня делимся с вами ресурсом по изучению безопасности API - Apisec University.

Здесь вы найдёте курсы с полезной инфой об уязвимостях API, начиная с OWASP API Top 10 и заканчивая уязвимостями в LLM и NLP.

Помимо материала для атакующих, есть также курсы, которые обучают обустраивать безопасность в API.

Всего на ресурсе 15 бесплатных курсов. Если вам интересна безопасность API, то обязательно ознакомьтесь с материалом.

#Pentest #DevSecOps #AppSec

🧠 Пакет Знаний | 👨‍🏫 Менторство
📂 Другие каналы

А вот и доклады с оффзона подъехали.

Посмотреть можно как на ютубе, так и в вк. Ещё на сайте оффзона для каждого доклада можно скачать презентацию

Запасаемся чаем со сладостями и приятного вам просмотра!

#AI #AppSec #Pentest #BaseSecurity #DevSecOps #SOC #SecArch

🧠 Пакет Знаний | 👨‍🏫 Менторство
📂 Другие каналы

Сегодня понедельник, а значит что? Правильно - лучшие статьи прошедшей недели.

Начнём с улучшения защиты вашей системы. Первая статья рассказывает о том, как защитить ваш веб-сайт от ботов, которые создают большую нагрузку и нагружают вашу систему.

После улучшения веба идём работать с инфрой - защитим Kubernetes на уровне ядра Linux. Далее у нас остаются ещё домены AD, которые тоже не помешало бы обезопасить. В этом нам помогут две статьи - Повышение защищённости Active Directory часть 1 и часть 2 (Да, первая часть вышла в апреле, но кто начинает смотреть сиквел без просмотра оригинала?).

Что ж, над защитой поработали, теперь время порадовать и ребят из красной команды. Держите разборы кейсов с багбаунти:
1) баг с использованием NULL в имени пользователя;
2) статья о том, как придумать интересный вектор атаки для обычного IDOR и повысить его в глазах триажеров.

Ещё хотелось бы поделиться обделённой вниманием статьёй с разбором атаки gadget chain, приводящей к RCE.

Далее у нас довольно подробный разбор техник разведки в MITRE ATT&CK.

Ну и под конец немного практики - создаём личный OSINT-комбайн на основе Google Sheets.

#Pentest #AppSec #DevSecOps #SecArch #BaseSecurity

🧠 Пакет Знаний | 👨‍🏫 Менторство
📂 Другие каналы

Понедельник - день тяжелый, так что не помешает немного расслабиться за чашечкой чая и почитать интересные статьи прошедшей недели.

Начнём с чего-то простого. Статья о взломе подарочного сертификата вдохновит вас на мысли о том, что уязвимости могут быть даже в самых простых системах.

Следующая статья расскажет о случаях безопасности протокола HTTP, которые нужно учитывать при разработке API. Полезно будет почитать как разработчикам, так и пентестерам.

Далее у нас идёт статья для синей команды - шпаргалка по Linux для DFIR.

Затем забираем себе подборку руководств и книг по DevSecOps.

Ну и закончим на сегодня объёмным и интересным разбором (буквально) POS-терминала.

Хорошего вам дня и продуктивной недели!

#AppSec #Pentest #DevSecOps

🧠 Пакет Знаний | 👨‍🏫 Менторство
📂 Другие каналы

Давно не было рабочих понедельников, примерно столько же не было и постов про статьи прошедшей недели - исправляемся.

Начинаем нашу подборку со статьи по безопасной настройке Kubernetes. В тексте приводятся рекомендации из стандарта CIS Kubernetes Benchmark по обустройству безопасных кластеров k8s. Также автор вкратце обозревает и другие гайдлайны (NSA/CISA, STIG, Модель 4С’s).

Далее у нас практический гайд по проектированию безопасной архитектуры. Автор выделил основные элементы безопасной инфраструктуры (выделенные и облачные серверы, межсетевой экран, сервисы и т.д.) и разобрал каждый из них.

От синей команды плавно перейдём к красной. Крайне важная статья для новичков-пентестеров (да и не только для новичков, в общем-то), в которой показываются последствия использования незнакомых эксплойтов и инструментов при проведении тестирования.

Ну и под конец у нас две информативные статьи:
- Разбор OWASP TOP 10 Machine Learning Security. В статье рассматривается каждый пункт этого топа и приводятся рекомендации по предотвращению описанных уязвимостей.
- Ну и так как у нас относительно недавно закончился октябрь, то держите подборку опасных уязвимостей прошедшего месяца.

#AppSec #DevSecOps #Pentest #AI

🧠 Твой Пакет Знаний | 👨‍🏫 Менторство ИБ
📂 Другие каналы

Всем привет! Понедельник в этот раз не примечательный, зато статьи интересные!

На прошлой недели вышло аж две статьи от PT на тему взлома банкоматов. Первый текст посвящён устройству банкоматов и типам атак на них. Во второй статье авторы рассказывают про логические атаки на банкоматы.

Далее у нас статья от инженера Kubernetes про User Namespaces в (как неожиданно) Kubernetes. В тексте рассказывается про новую фичу k8s, которая защищает от большого количества критических уязвимостей.

Не отходя далеко от инфраструктуры, углубимся в защиту от атак, связанных с шифрованием и удалением данных. И поможет нам в этом ультимативный гайд от Bi.Zone.

Ну и под конец узнаем о десяти ключевых угрозах для ИИ-агентов. Подробнее в данной статье.

#Pentest #DevSecOps #AI

🧠 Твой Пакет Знаний | 👨‍🏫 Менторство ИБ
📂 Другие каналы

Начинаем рабочую неделю с традиционного чтения лучших статей прошедшей недели.

• Первая статья посвящена настройке Nginx для защиты от DDoS атак. В тексте описаны простые в реализации способы для защиты вашего веб-сервера.

• Далее у нас идёт статья с типовыми атаками на Kerberos. Будет полезно ознакомиться новичкам, которым интересен инфраструктурный пентест.

• Не отходя далеко от красной команды, рекомендуем ознакомиться со статьёй о том, как перестать быть зависимым от Burp Suite и стать счастливым вместе с Caido. Автор текста имеет опыт более пяти лет использования бурпа. В статье он описывает о проблемах Burp Suite и про опыт использования Caido.

• Ну и напоследок у нас две огромные технические статьи. Первая посвящена разбору браузерных песочниц и изоляции в JavaScript. В тексте рассказывается о разных архитектурных подходах к изоляции кода. Очень полезно почитать если вам интересно, как происходит произвольное выполнение кода в браузере и какие инструменты защиты используются для противодействия этой уязвимости.

• Последняя статья посвящена разбору API Gateway. В ней рассматриваются различные подходы к построению безопасной API архитектуры. Также в статье затрагивается тема ограничения области действия access token и опасности использования единого токена для доступа к любым API ресурсам.

#DevSecOps #Pentest #AppSec #API

🧠 Твой Пакет Знаний | 👨‍🏫 Менторство ИБ
📂 Другие каналы

Всем привет! Встречаем последний месяц в году традиционным дайджестом по лучшим статьям прошедшей недели. Заваривайте горячий какао и знакомьтесь с полезными материалами.

Начнём с объёмной статьи от Alfa-Tech по основам безопасности веб-приложений. Автор на примере общедоступных ресурсов для тестирования знакомит читателей с основными техниками по пентесту веб-приложений.

Не отходя далеко от эксплуатации уязвимостей, делимся с вами подробным разбором уязвимости CVE-2024-31982, которая приводит к удалённому выполнению кода.

Сегодня у нас практически все статьи про тестирование, так что для разнообразия в середину поставим статью про предотвращение CSRF атак без использования токенов.

Далее идёт статья про безопасность AI. Автор рассказывает про атаки и базовые методы защиты от описанных атак.

И напоследок у нас текст про тестирование Nginx. В статье автор делится полезными инструментами как для проверки конфигурации на корректность, так и для тестирования непосредственно безопасности веб-сервера.

#Pentest #AppSec #AI #DevSecOps

🧠 Твой Пакет Знаний | 👨‍🏫 Менторство ИБ
📂 Другие каналы

Делимся с вами относительно свежей платформой с лабами для красной и синей команды - Infinity Learning

В ней вы найдете лабы на следующие темы:
- AI Security
- Cloud Security
- DevOps Security
- Kubernetes Security
- On-Premise Security (внутренняя инфраструктура)
- APT Labs

На платформе сейчас 139 лаб, около 50-ти из них бесплатные. В основном бесплатные лабы касаются облачной безопасности. Для любителей кубера будет небольшое разочарование, так как все задания по этой теме платные.

Платформе всего около полутра лет и новые лабы там появляются регулярно, советую ознакомиться.

#Pentest #AppSec #DevSecOps #AI #Practice

🧠 ПЗ | 👨‍🏫 Менторство ИБ
📂 Другие каналы