Подписка, лайк и колокольчик
Сразу скажу, пост будет для кибербезопасников. Возможно кто-то из вас уже знает (а может и нет ) о таком сервисе как tl;dr sec. Это сервис рассылок всего полезного в мире кибербезопасности от одного небезызвестного парня в индустрии – Клинта Гиблера.
На самом деле, тут и рассказывать особо нечего, всё банально, просто и эффективно. Вы подписываетесь на эту рассылку на сайте и, после этого, каждый четверг получаете себе на почту полезную информацию о новых инструментах, инфоповодах, докладах или исследованиях из мира кибребеза.
И да, это всё абсолютно бесплатно. Клинту спасибо, что сделал такую штуку, мне спасибо за то, что я вам про эту штуку рассказал, ну а вам спасибо за то, что дочитали до этого места. Всем мир.
#Полезное
Твой Пакет Безопасности
Сразу скажу, пост будет для кибербезопасников. Возможно кто-то из вас уже знает (
На самом деле, тут и рассказывать особо нечего, всё банально, просто и эффективно. Вы подписываетесь на эту рассылку на сайте и, после этого, каждый четверг получаете себе на почту полезную информацию о новых инструментах, инфоповодах, докладах или исследованиях из мира кибребеза.
И да, это всё абсолютно бесплатно. Клинту спасибо, что сделал такую штуку, мне спасибо за то, что я вам про эту штуку рассказал, ну а вам спасибо за то, что дочитали до этого места. Всем мир.
#Полезное
Твой Пакет Безопасности
Социальная инженерия, которую мы заслужили
Пока опытные злоумышленники пытаются изобрести новую фишинговую схему, чтобы украсть чьи-то учетные записи, а обиженные на своих бывших работодателей сотрудники устанавливаются замудрённые бэкдоры (это такие штуки, чтобы потом можно было удаленно получить доступ к внутренним ресурсам компании), обычный парень из Твиттера просто взял и переименовал себя в корпоративном мессенджере, что позволило ему следить за рабочими переписками даже после своего увольнения из компании.
Чуть раскрою суть, так как история просто до боли комичная и поучительная (всё как мы любим). Наш главный герой Том Маккей какое-то время работал в одной компании, где все сотрудники использовали для коммуникации корпоративный мессенджер Slack (который, к сожалению, покинул нашу страну). И в этом мессенжере, как и в Телеграме, есть свои боты, которые помогают управлять чатами, группами и делают взаимодействие удобнее.
Так вот, когда Том Маккей покидал компанию, он просто взял и переименовал свою учетную запись в Слаке на того самого бота Slackbot, поменял аватарку и даже имитировал поведение бота в тех чатах, где он был. Он еще и обошел ограничения на то, что сам Слак запрещает пользователям брать себе уже используемые имена. Таким образом, он оставался незамеченным аж несколько месяцев. Вот тут можно почитать подробнее и на русском.
Не думаю, что он делал это с целью корпоративного шпионажа или нанесения вреда компании (к счастью бывшего работодателя), но факт остаётся фактом. А всё почему? Правильно – потому что кто-то в ИБ не позаботился о том, чтобы блокировать учётки сотрудников сразу же после увольнения (и не важно, какое у них название). Такие вещи нужно автоматизировать в первую очередь, завязывая всё на информации из HR. И да, касается это далеко не только мессенджеров.
Также, в таких случаях помогает заведение корпоративных ресурсов за VPN (если не забывать отзыв сертификатов), но, в данном случае, это кажется уже излишним и будет скорее мешать работать, и пользоваться средствами коммуникации. Короче, следите за учётками, правами и доступами своих сотрудников, а то придется сражаться не только с хакерами.
Твой Пакет Безопасности
Пока опытные злоумышленники пытаются изобрести новую фишинговую схему, чтобы украсть чьи-то учетные записи, а обиженные на своих бывших работодателей сотрудники устанавливаются замудрённые бэкдоры (это такие штуки, чтобы потом можно было удаленно получить доступ к внутренним ресурсам компании), обычный парень из Твиттера просто взял и переименовал себя в корпоративном мессенджере, что позволило ему следить за рабочими переписками даже после своего увольнения из компании.
Чуть раскрою суть, так как история просто до боли комичная и поучительная (всё как мы любим). Наш главный герой Том Маккей какое-то время работал в одной компании, где все сотрудники использовали для коммуникации корпоративный мессенджер Slack (который, к сожалению, покинул нашу страну). И в этом мессенжере, как и в Телеграме, есть свои боты, которые помогают управлять чатами, группами и делают взаимодействие удобнее.
Так вот, когда Том Маккей покидал компанию, он просто взял и переименовал свою учетную запись в Слаке на того самого бота Slackbot, поменял аватарку и даже имитировал поведение бота в тех чатах, где он был. Он еще и обошел ограничения на то, что сам Слак запрещает пользователям брать себе уже используемые имена. Таким образом, он оставался незамеченным аж несколько месяцев. Вот тут можно почитать подробнее и на русском.
Не думаю, что он делал это с целью корпоративного шпионажа или нанесения вреда компании (к счастью бывшего работодателя), но факт остаётся фактом. А всё почему? Правильно – потому что кто-то в ИБ не позаботился о том, чтобы блокировать учётки сотрудников сразу же после увольнения (и не важно, какое у них название). Такие вещи нужно автоматизировать в первую очередь, завязывая всё на информации из HR. И да, касается это далеко не только мессенджеров.
Также, в таких случаях помогает заведение корпоративных ресурсов за VPN (если не забывать отзыв сертификатов), но, в данном случае, это кажется уже излишним и будет скорее мешать работать, и пользоваться средствами коммуникации. Короче, следите за учётками, правами и доступами своих сотрудников, а то придется сражаться не только с хакерами.
Твой Пакет Безопасности
Ну что, друзья, вот и настало (не опять, а снова) время воскресного дайджеста. Сегодня без долгих вступлений, так что с меня дайджест и открытка, а в вас вагон крутых реакций. Погнали!
⚡️ Неоднозначный кибермем – ссылка
⚡️ Потовые рассылки, которые мы заслужили – ссылка
⚡️ Как уходить с работы красиво – ссылка
⚡️ Задизлайканный пост на 8-е марта (понимаю, что у нас тут больше мужчин, но давайте будем добрее) – ссылка
⚡️ Долгожданный подкаст на тему того отношений между IT и ИБ – ссылка
Твой Пакет Безопасности
⚡️ Неоднозначный кибермем – ссылка
⚡️ Потовые рассылки, которые мы заслужили – ссылка
⚡️ Как уходить с работы красиво – ссылка
⚡️ Задизлайканный пост на 8-е марта (понимаю, что у нас тут больше мужчин, но давайте будем добрее) – ссылка
⚡️ Долгожданный подкаст на тему того отношений между IT и ИБ – ссылка
Твой Пакет Безопасности
Когда применимы оборотные штрафы за утечки ПДн? В каких случаях предусматривается уголовная ответственность? Можно ли снизить риски применения санкций регуляторами?
Ответ на эти и другие вопросы вы узнаете 12 марта в 11:00 мск на онлайн-митапе от команды К2 Кибербезопасность.
Руководитель направления консалтинга К2 Кибербезопасность Ольга Трофимова поделится правилами подготовки бизнеса к нововведениям в области защиты ПДн, чтобы потенциальные штрафные санкции не стали воздушной ямой для компании.
В программе митапа:
Новые правила для внутренних рейсов: обзор планируемых изменений законодательства в области защиты ПДн
Ремни безопасности: подходы РКН к штрафам за утечку данных
Бортовой журнал: как снизить вероятность утечки
Разгерметизация: что делать, если утечка ПДн всё же произошла
После митапа каждый получит гид по изменениям в законодательстве и чек-лист действий в случае ПДн — это стоит того, чтобы присоединиться.
👉🏻 Зарегистрируйтесь на митап по ссылке.
Реклама. Рекламодатель АО "К2 Интеграция"
Ответ на эти и другие вопросы вы узнаете 12 марта в 11:00 мск на онлайн-митапе от команды К2 Кибербезопасность.
Руководитель направления консалтинга К2 Кибербезопасность Ольга Трофимова поделится правилами подготовки бизнеса к нововведениям в области защиты ПДн, чтобы потенциальные штрафные санкции не стали воздушной ямой для компании.
В программе митапа:
Новые правила для внутренних рейсов: обзор планируемых изменений законодательства в области защиты ПДн
Ремни безопасности: подходы РКН к штрафам за утечку данных
Бортовой журнал: как снизить вероятность утечки
Разгерметизация: что делать, если утечка ПДн всё же произошла
После митапа каждый получит гид по изменениям в законодательстве и чек-лист действий в случае ПДн — это стоит того, чтобы присоединиться.
👉🏻 Зарегистрируйтесь на митап по ссылке.
Реклама. Рекламодатель АО "К2 Интеграция"
☝️ Очень крутой пост от одного джентельмена про то, во что надо уметь, чтобы с ноги войти в DevSecOps. Лучше роадмапа, состоящего всего из одного пункта, я еще не видел 👍
Пару инструментов даже забрал к себе в гайдбук для учеников.
🎁 Dev(Sec)Ops RoadMap как найти работу
#карьера #devsecops
В чате канала вчера спрашивали про roadmap для DevSecOps. Что нужно учить?
Пункт 1. Я считаю правильным ответом на данный вопрос всегда являлся и будет являться ответ: зайди на сайт с вакансиями, найди выбранную должность и прочитай 20-30 вакансий, выпиши повторяющиеся термины и изучи что это. Это применимо к любой стране и к любой должности, если вы конечно не выбираете учить то, чего ещё нет на рынке. В таком случае откуда вы об этом узнали, оттуда начинайте поиск информации о необходимых навыках.
Но мы же люди ленивые? Лично я, да. Все всегда хочется искать что-то самостоятельно, а найти готовый roadmap или mindmap, где за вас умные люди составили график, что вам нужно учить. В таком случае нашёл для Вас несколько интересных материалов:
▶️ Если нет, то возвращаемся к пункту 1, за красной таблеткой. Если же вы выбурили синюю таблетку, то вот мой ответ на вопрос: "Что нужно знать DevOps инженеру?"
Управления версиями: Gitlab
Инструменты CI/CD: Jenkins, Gitlab, (набирает популярность Agro CD)
Оркестрация контейнеров: kubernetes, docker-compose (более редко необходим Docker Swarm, OpenShift)
Автоматизация развертывания: Ansible, Terraform
Языки программирования: Python, Bash, Go
Хранение секретов: Vault
Мониторинг: Prometheus, Grafana [ Zabbix много где используется, но с контейнеризацией работает хуже, чем его аналоги, поэтому некоторые компании полностью или частично переезжают с него ]
Логгирование: ELK
Если слова выше для вас не показались чем-то незнакомым или как говорит мой друг, "на эльфийском языке", то поздравляю, Вы DevOps инженер :)
▶️ Возвращаясь к теме поста, что нужно учить DevSecOps? Всё то, что знает DevOps и:
Поиск секретов: GitGuardian, Gitleaks, truffleHog, DeepSecrets (последнее от моего знакомого Николай из Yandex, у его инструмента не стандартный подход к поиску секретов)
SCA: Snyk, Syft, Cdxgen, Trivy, Dependency Track
SAST: Semgrep (много фолзит, использовать только вкупе с чем-то), Bearer, CodeQL, Spotbug, Terrascan
DAST: OWASP ZAP, nuclei, Dastardly
Container Security: Grype, Open Policy Agent, kube-hunter (активно не поддерживается), kube-bench , Falco, Tracee, Anchore (активно не поддерживается), Clair
⭐️ Как-то так. На самом деле список тулз у DevSecOps постоянно пополняются. И тем более приходится писать что-то под свои задачи. Надеюсь было полезно. Но DevSecOps
Отмечу, что сейчас сам занимаюсь разработкой и по сути у меня нет коммерческого опыта ни в разработке, ни в DevSecOps. Так что узнаю всё по ходу выкладывания постов. Но большое спасибо коллегам, кто готов помогать мне!
Выводы:
1. У нас очень мало DAST'ов опенсоурсных, да и коммерческих качественных рабочих решений тоже мало.
2. Простор для разработки коммерческих решений огромен, как и потенциал этой области.
3. DevOps не очень сложно обучиться, а вот DevSecOps уже даёт прикурить знатно, проверено на себе.
4. Методологии и инструменты DevSecOps мало где применяются, так что рынок ждёт новых решений и подходов.
5. Когда я слышал про заоблачные ЗП devsecops инженеров, думал что ситуация как с MLщиками и Data Science в своё время, но нет. Тут реально огромный пул знаний, который включает в себя ещё по меньшей мере appsec и даже пентест.
❤️
#карьера #devsecops
В чате канала вчера спрашивали про roadmap для DevSecOps. Что нужно учить?
Пункт 1. Я считаю правильным ответом на данный вопрос всегда являлся и будет являться ответ: зайди на сайт с вакансиями, найди выбранную должность и прочитай 20-30 вакансий, выпиши повторяющиеся термины и изучи что это. Это применимо к любой стране и к любой должности, если вы конечно не выбираете учить то, чего ещё нет на рынке. В таком случае откуда вы об этом узнали, оттуда начинайте поиск информации о необходимых навыках.
Но мы же люди ленивые? Лично я, да. Все всегда хочется искать что-то самостоятельно, а найти готовый roadmap или mindmap, где за вас умные люди составили график, что вам нужно учить. В таком случае нашёл для Вас несколько интересных материалов:
А Вы точно уверены, что перед тем как стать DevSecOps, вы изучили инструменты DevOps и научились применять эти практики?
▶️ Если нет, то возвращаемся к пункту 1, за красной таблеткой. Если же вы выбурили синюю таблетку, то вот мой ответ на вопрос: "Что нужно знать DevOps инженеру?"
Управления версиями: Gitlab
Инструменты CI/CD: Jenkins, Gitlab, (набирает популярность Agro CD)
Оркестрация контейнеров: kubernetes, docker-compose (более редко необходим Docker Swarm, OpenShift)
Автоматизация развертывания: Ansible, Terraform
Языки программирования: Python, Bash, Go
Хранение секретов: Vault
Мониторинг: Prometheus, Grafana [ Zabbix много где используется, но с контейнеризацией работает хуже, чем его аналоги, поэтому некоторые компании полностью или частично переезжают с него ]
Логгирование: ELK
Если слова выше для вас не показались чем-то незнакомым или как говорит мой друг, "на эльфийском языке", то поздравляю, Вы DevOps инженер :)
▶️ Возвращаясь к теме поста, что нужно учить DevSecOps? Всё то, что знает DevOps и:
Поиск секретов: GitGuardian, Gitleaks, truffleHog, DeepSecrets (последнее от моего знакомого Николай из Yandex, у его инструмента не стандартный подход к поиску секретов)
SCA: Snyk, Syft, Cdxgen, Trivy, Dependency Track
SAST: Semgrep (много фолзит, использовать только вкупе с чем-то), Bearer, CodeQL, Spotbug, Terrascan
DAST: OWASP ZAP, nuclei, Dastardly
Container Security: Grype, Open Policy Agent, kube-hunter (активно не поддерживается), kube-bench , Falco, Tracee, Anchore (активно не поддерживается), Clair
⭐️ Как-то так. На самом деле список тулз у DevSecOps постоянно пополняются. И тем более приходится писать что-то под свои задачи. Надеюсь было полезно. Но DevSecOps
Также отдельное спасибо
Отмечу, что сейчас сам занимаюсь разработкой и по сути у меня нет коммерческого опыта ни в разработке, ни в DevSecOps. Так что узнаю всё по ходу выкладывания постов. Но большое спасибо коллегам, кто готов помогать мне!
Выводы:
1. У нас очень мало DAST'ов опенсоурсных, да и коммерческих качественных рабочих решений тоже мало.
2. Простор для разработки коммерческих решений огромен, как и потенциал этой области.
3. DevOps не очень сложно обучиться, а вот DevSecOps уже даёт прикурить знатно, проверено на себе.
4. Методологии и инструменты DevSecOps мало где применяются, так что рынок ждёт новых решений и подходов.
5. Когда я слышал про заоблачные ЗП devsecops инженеров, думал что ситуация как с MLщиками и Data Science в своё время, но нет. Тут реально огромный пул знаний, который включает в себя ещё по меньшей мере appsec и даже пентест.
❤️
✨ Отус приглашает 21 марта в 20:00 по мск на бесплатный вебинар "Российские и зарубежные решения для защиты информации от утечки"
Вебинар является частью полноценного онлайн-курса «Защита данных от утечек. DLP-системы» от Отус.
➡️ Регистрация на вебинар: https://otus.pw/OlOk/?erid=LjN8K76po
На вебинаре мы рассмотрим:
— Что такое DLP система? Какие функции выполняет;
— Мировой рынок DLP систем;
— Российский рынок DLP-систем;
— Тенденции развития DLP-систем в России;
👉 Записывайтесь на вебинар сейчас, а мы потом напомним. Участие бесплатно.
Вебинар является частью полноценного онлайн-курса «Защита данных от утечек. DLP-системы» от Отус.
➡️ Регистрация на вебинар: https://otus.pw/OlOk/?erid=LjN8K76po
На вебинаре мы рассмотрим:
— Что такое DLP система? Какие функции выполняет;
— Мировой рынок DLP систем;
— Российский рынок DLP-систем;
— Тенденции развития DLP-систем в России;
👉 Записывайтесь на вебинар сейчас, а мы потом напомним. Участие бесплатно.
Обнимающее лицо?
Если вы всё еще подписаны на различные каналы, посвященные нейросетям, ИИ-сервисам и прочим родственникам ChatGPT, то наверняка замечали, что каждая третья ссылка под описанием нового нейродетища ведёт на сайт Hugging Face.
Это некий аналог ГитХаба, где лежат все исходные файлы бесплатных ИИшек. Там есть и удобная сортировка, и навигация по типам нейросетей и моделей – text-to-image, summarization, image-to-video и прочие. По сути, чтобы воспользоваться той или иной нейросетью, вам нужно зайти на этот сайт и скачать её оттуда.
Так вот, новость не совсем о том, какой этот сервис крутой. А о том, что недавно был подтвержден факт того, что это место уже сильно заселено вредоносным ПО, которое люди распространяют и скачивают под видом ИИ-сервисов.
Удивительно ли это? Абсолютно нет, я бы даже сказал, что это логично и закономерно. Как только где-то появляется какая-то площадка, где любой желающий может разместить своё ПО или исходники, в гости сразу же заходят злоумышленники и пытаются воспользоваться ситуацией.
Как от этого защищаться? Очень просто (сарказм ) – проверять все файлы, скачивая их сначала в песочнику, и только потом , после сканирования этого добра антивирусом, перекидывать на свое основное устройство. И то, это не гарантирует 100%-ой безопасности, так как это ПО может потом скачивать из интернетов всё, что угодно.
Обычно у каждого разработчика нейросервисов есть свой собственный сайт, откуда я и рекомендую скачивать всё, что вам нужно. Ну а Hugging Face можете использовать просто как каталог. Всем добра.
#НовостьДня
Твой Пакет Безопасности
Если вы всё еще подписаны на различные каналы, посвященные нейросетям, ИИ-сервисам и прочим родственникам ChatGPT, то наверняка замечали, что каждая третья ссылка под описанием нового нейродетища ведёт на сайт Hugging Face.
Это некий аналог ГитХаба, где лежат все исходные файлы бесплатных ИИшек. Там есть и удобная сортировка, и навигация по типам нейросетей и моделей – text-to-image, summarization, image-to-video и прочие. По сути, чтобы воспользоваться той или иной нейросетью, вам нужно зайти на этот сайт и скачать её оттуда.
Так вот, новость не совсем о том, какой этот сервис крутой. А о том, что недавно был подтвержден факт того, что это место уже сильно заселено вредоносным ПО, которое люди распространяют и скачивают под видом ИИ-сервисов.
Удивительно ли это? Абсолютно нет, я бы даже сказал, что это логично и закономерно. Как только где-то появляется какая-то площадка, где любой желающий может разместить своё ПО или исходники, в гости сразу же заходят злоумышленники и пытаются воспользоваться ситуацией.
Как от этого защищаться? Очень просто (
Обычно у каждого разработчика нейросервисов есть свой собственный сайт, откуда я и рекомендую скачивать всё, что вам нужно. Ну а Hugging Face можете использовать просто как каталог. Всем добра.
#НовостьДня
Твой Пакет Безопасности
Хорошую работу центра мониторинга кибербезопасности можно сравнить с выполнением самураями своего кодекса: достичь эффективного реагирования на инциденты ИБ можно только следуя четким рабочим процессам и сценариям.
19 марта в 11:00 мск руководитель группы инженеров SOC К2 Кибербезопасность Кирилл Рупасов вместе с экспертом по развитию MSSP партнеров Андреем Прошиным из «Лаборатории Касперского» раскроют секреты, как овладеть искусством хорошего workflow при реагировании на инциденты и осознанно подходить к его улучшению.
Узнайте в прямом эфире
◾ Бусидо: работа со стандартными практиками workflow
◾ Философия хорошего workflow для провайдера услуг
◾ Идеология workflow при обработке инцидента для клиента
◾ Дорога к цели: пути развития workflow
📍 После встречи вы получите чек-лист для организации хорошего workflow инцидента в своей компании и проверки своего провайдера услуги SOC.
Зарегистрироваться на митап>>
Реклама. АО "К2 ИНТЕГРАЦИЯ". ИНН 7701829110.
19 марта в 11:00 мск руководитель группы инженеров SOC К2 Кибербезопасность Кирилл Рупасов вместе с экспертом по развитию MSSP партнеров Андреем Прошиным из «Лаборатории Касперского» раскроют секреты, как овладеть искусством хорошего workflow при реагировании на инциденты и осознанно подходить к его улучшению.
Узнайте в прямом эфире
◾ Бусидо: работа со стандартными практиками workflow
◾ Философия хорошего workflow для провайдера услуг
◾ Идеология workflow при обработке инцидента для клиента
◾ Дорога к цели: пути развития workflow
📍 После встречи вы получите чек-лист для организации хорошего workflow инцидента в своей компании и проверки своего провайдера услуги SOC.
Зарегистрироваться на митап>>
Реклама. АО "К2 ИНТЕГРАЦИЯ". ИНН 7701829110.
2023_Sonatype_9th_Annual_State_of_the_Software_Supply_Chain_Update.pdf
5.9 MB
Красивые презентации любите?
Да, я тоже. Тут ребята из Sonatype сверстали красивый (и огромный) отчет о том, как в 2023 году чувствовал себя класс угроз Supply Chain, а они в этом знают толк.
Казалось бы, цепочка поставок настолько избитая тема, что пора уже всем научиться с ней жить и бороться со злом, но нет. Чем больше будет развиваться софт, разработка, как такова, тем больше будет угроз в этой сфере.
Но, лично я верю в то, что мы когда-нибудь перейдем на использование ПО, поставляемое через открытые смарт-контракты, но это уже совсем другаяweb3 история.
К слову, отчет правда годный. Всем тем, кто работает в IT и кибербезе, будет очень полезно узнать о том, насколько это большая проблема и источник угроз.
#Полезное
Твой Пакет Безопасности
Да, я тоже. Тут ребята из Sonatype сверстали красивый (и огромный) отчет о том, как в 2023 году чувствовал себя класс угроз Supply Chain, а они в этом знают толк.
Казалось бы, цепочка поставок настолько избитая тема, что пора уже всем научиться с ней жить и бороться со злом, но нет. Чем больше будет развиваться софт, разработка, как такова, тем больше будет угроз в этой сфере.
Но, лично я верю в то, что мы когда-нибудь перейдем на использование ПО, поставляемое через открытые смарт-контракты, но это уже совсем другая
К слову, отчет правда годный. Всем тем, кто работает в IT и кибербезе, будет очень полезно узнать о том, насколько это большая проблема и источник угроз.
#Полезное
Твой Пакет Безопасности
Всем привет!
От вас, дорогие подписчики и читатели, был запрос на освещение грядущих мероприятий в мире кибербезопасности. Так вот, настало время анонса одного из таких – Avito Security meetup #2.
В этот раз меня в роли спикера там не будет, но я точно буду там в роли гостя. Так что, вэлкам на послушать крутые доклады от ребят из индустрии и пообщаться со мной, например 🥸
Зарегистрироваться можно вот тут – ссылка (и нет, это не реклама )
#Полезное
Твой Пакет Безопасности
От вас, дорогие подписчики и читатели, был запрос на освещение грядущих мероприятий в мире кибербезопасности. Так вот, настало время анонса одного из таких – Avito Security meetup #2.
В этот раз меня в роли спикера там не будет, но я точно буду там в роли гостя. Так что, вэлкам на послушать крутые доклады от ребят из индустрии и пообщаться со мной, например 🥸
Зарегистрироваться можно вот тут – ссылка (
#Полезное
Твой Пакет Безопасности
Главное событие весны в сфере информационной безопасности.
⚡️ Staffcop: Совершенно Безопасно ⚡️
Первая конференция, которую организовала компания Staffcop - это платформа для обмена знаниями, нетворкинга и обсуждения последних достижений в области защиты информации.
Вместе с КиберДедом (Андреем Масаловичем) мы приглашаем на день, полный инсайтов и открытий.
📍21 марта в 10:00 по МСК мы ждем на прямую трансляцию всех, кто готов взять на себя контроль над своей цифровой безопасностью.
Полная программа мероприятия и регистрация на сайте
Ждем вас!
ООО «АТОМ БЕЗОПАСНОСТЬ», ИНН 5408298569 , ОГРН 1125476195459 erid:2SDnjboxZ4U
⚡️ Staffcop: Совершенно Безопасно ⚡️
Первая конференция, которую организовала компания Staffcop - это платформа для обмена знаниями, нетворкинга и обсуждения последних достижений в области защиты информации.
Вместе с КиберДедом (Андреем Масаловичем) мы приглашаем на день, полный инсайтов и открытий.
📍21 марта в 10:00 по МСК мы ждем на прямую трансляцию всех, кто готов взять на себя контроль над своей цифровой безопасностью.
Полная программа мероприятия и регистрация на сайте
Ждем вас!
ООО «АТОМ БЕЗОПАСНОСТЬ», ИНН 5408298569 , ОГРН 1125476195459 erid:2SDnjboxZ4U
Так так так, что это тут у нас? Всё верно, воскресный дайджест! Ну а пока вы снова забыли о том, что нужно ставить реакции под постами (огорчение ), я, без лишней лирики перехожу сразу к списку всего интересного за неделю. Погнали.
⚡️ Традиционное начало недели с кибермема с попугаем – ссылка
⚡️ Чеклист полезностей для тех, кто хочет вкатиться в ДевСекОпс – ссылка
⚡️ Опасности мира нейросетей и искусственных интеллектов – ссылка
⚡️ Годный отчет про уже поднадоевшие цепочки поставок – ссылка
⚡️ Анонс грядущего митапа по кибербезопасности, на который идём всем каналом – ссылка
Твой Пакет Безопасности
⚡️ Традиционное начало недели с кибермема с попугаем – ссылка
⚡️ Чеклист полезностей для тех, кто хочет вкатиться в ДевСекОпс – ссылка
⚡️ Опасности мира нейросетей и искусственных интеллектов – ссылка
⚡️ Годный отчет про уже поднадоевшие цепочки поставок – ссылка
⚡️ Анонс грядущего митапа по кибербезопасности, на который идём всем каналом – ссылка
Твой Пакет Безопасности
Режим инкогнито активирован
Каждый из вас, наверняка хоть раз в жизни, да пользовался тем самым анонимным режимом в своём браузере (не важно для каких целей ). Но знаете ли вы, как он работает на самом деле? Если нет, то погнали разбираться.
Из того, что можно понять сразу, при переключении в этот режим – там не сохраняется и не подтягивается история ваших поисковых запросов, а также посещаемые вами страницы, в этом режиме у браузера нет доступа к cookie (из-за чего вы не будете авторизованы в ваших аккаунтах в соц. сетях, почтовых сервисах и на прочих сайтах), в этом режиме не будут подтягиваться ваши пароли при попытке входа в ваши аккаунты.
Но так ли анонимен этот режим? На самом деле, не очень. Я бы даже сказал, что анонимен он только для вас и других пользователей того же устройства. Режим инкогнито не сделает вас невидимым в сети, он не скроет ваш IP-адрес, вашу геолокацию или пресловутый цифровой след, который мы уже не раз обсуждали в этом канале. Все ваши действия будут видны, как минимум, вашему интернет-провайдеру, который предоставляет вам доступ в сеть. А как только что-то становится известно хоть одному участнику сети, оно может стать известным для всех.
Если же вы используете данный режим с корпоративного ноутбука, то тут вы будете вообще как на ладони у вашего работодателя. Более того, многие политики безопасности будут "возбуждаться" при переключении в этот режим и еще пристальнее следить за вашими действиями.
От вредоносного воздействия из сети вы также не будете никак защищены – вас всё также могут заразить, считать нажатия вашей клавиатуры и так далее по списку.
Еще раз повторюсь, режим инкогнито создаёт видимую анонимность только для вас и других пользователей того же устройства. А для того, чтобы скрывать свой цифровой след и информацию о своих действиях в сети, существуют сервисы другого класса (о которых мы уже говорили и еще не раз поговорим).
Зачем тогда этот режим вообще нужен? Хороший вопрос, и ответ на него был дан в самом начале поста, когда мы разбирались, как он работает. Если вы хотите авторизоваться разом сразу в нескольких аккаунтах одного интернет-сервиса (почта, соцсеть, онлайн-банкинг), если вы хотите скрыть от кого-то из друзей или родных информацию о своих действиях в сети.
А также, это послужит вам хорошим инструментом тогда, когда вам придётся зайти в свой аккаунт с чужого устройства. Этот режим позволит вам сделать всё быстро и чисто, без оставления следов после себя (ну или почти).
#КиберГигиена
Твой Пакет Безопасности
Каждый из вас, наверняка хоть раз в жизни, да пользовался тем самым анонимным режимом в своём браузере (
Из того, что можно понять сразу, при переключении в этот режим – там не сохраняется и не подтягивается история ваших поисковых запросов, а также посещаемые вами страницы, в этом режиме у браузера нет доступа к cookie (из-за чего вы не будете авторизованы в ваших аккаунтах в соц. сетях, почтовых сервисах и на прочих сайтах), в этом режиме не будут подтягиваться ваши пароли при попытке входа в ваши аккаунты.
Но так ли анонимен этот режим? На самом деле, не очень. Я бы даже сказал, что анонимен он только для вас и других пользователей того же устройства. Режим инкогнито не сделает вас невидимым в сети, он не скроет ваш IP-адрес, вашу геолокацию или пресловутый цифровой след, который мы уже не раз обсуждали в этом канале. Все ваши действия будут видны, как минимум, вашему интернет-провайдеру, который предоставляет вам доступ в сеть. А как только что-то становится известно хоть одному участнику сети, оно может стать известным для всех.
Если же вы используете данный режим с корпоративного ноутбука, то тут вы будете вообще как на ладони у вашего работодателя. Более того, многие политики безопасности будут "возбуждаться" при переключении в этот режим и еще пристальнее следить за вашими действиями.
От вредоносного воздействия из сети вы также не будете никак защищены – вас всё также могут заразить, считать нажатия вашей клавиатуры и так далее по списку.
Еще раз повторюсь, режим инкогнито создаёт видимую анонимность только для вас и других пользователей того же устройства. А для того, чтобы скрывать свой цифровой след и информацию о своих действиях в сети, существуют сервисы другого класса (о которых мы уже говорили и еще не раз поговорим).
Зачем тогда этот режим вообще нужен? Хороший вопрос, и ответ на него был дан в самом начале поста, когда мы разбирались, как он работает. Если вы хотите авторизоваться разом сразу в нескольких аккаунтах одного интернет-сервиса (почта, соцсеть, онлайн-банкинг), если вы хотите скрыть от кого-то из друзей или родных информацию о своих действиях в сети.
А также, это послужит вам хорошим инструментом тогда, когда вам придётся зайти в свой аккаунт с чужого устройства. Этот режим позволит вам сделать всё быстро и чисто, без оставления следов после себя (ну или почти).
#КиберГигиена
Твой Пакет Безопасности
🎫 Успейте купить билет на крупнейший киберфестиваль страны Positive Hack Days 2!
В этом году он пройдет с 23 по 26 мая в московских «Лужниках».
Традиционно будет две зоны:
• Для профи — с выступлениями лучших представителей индустрии кибербезопасности. Чтобы ее посетить, необходимо приобрести билет.
• Для всех желающих (бесплатно) — с интерактивными образовательными инсталляциями, которые помогут ближе познакомиться с цифровым миром и прокачать киберграмотность (больше подробностей — в канале ).
Купить билеты можно на сайте PHDays 2
Минимальная стоимость — 1000 рублей. Все вырученные от продаж деньги будут направлены в благотворительный фонд «Подари жизнь».
Количество билетов ограничено, поторопитесь!
В этом году он пройдет с 23 по 26 мая в московских «Лужниках».
Традиционно будет две зоны:
• Для профи — с выступлениями лучших представителей индустрии кибербезопасности. Чтобы ее посетить, необходимо приобрести билет.
• Для всех желающих (бесплатно) — с интерактивными образовательными инсталляциями, которые помогут ближе познакомиться с цифровым миром и прокачать киберграмотность (больше подробностей — в канале ).
Купить билеты можно на сайте PHDays 2
Минимальная стоимость — 1000 рублей. Все вырученные от продаж деньги будут направлены в благотворительный фонд «Подари жизнь».
Количество билетов ограничено, поторопитесь!
Сразу скажу, будет душно
Так так так, NIST тут опубликовал обновленную версию своего Cybersecurity Framework (v.2), появление которого когда-то инициировал один темнокожий американский президент.
Эта штука помогает унифицировать подходы по безопасности в компаниях, на предприятиях и вообще везде, где вы захотите построить полноценный кибербез. Этот фреймворк учитывает и смежные безопасные стандарты и практики, такие как ISO 27001/02, COBIT и прочие.
Нововведений достаточно, о них можно почитать вот тут, и сразу пробовать оценить по новому материалу уровень ИБ в своём колхозе. Там и про те самые цепочки поставок написано, и про политики, и про то, как правильно внедрять безопасные рекомендации.
Ну всё, выдыхаем.
#Полезное
Твой Пакет Безопасности
Так так так, NIST тут опубликовал обновленную версию своего Cybersecurity Framework (v.2), появление которого когда-то инициировал один темнокожий американский президент.
Эта штука помогает унифицировать подходы по безопасности в компаниях, на предприятиях и вообще везде, где вы захотите построить полноценный кибербез. Этот фреймворк учитывает и смежные безопасные стандарты и практики, такие как ISO 27001/02, COBIT и прочие.
Нововведений достаточно, о них можно почитать вот тут, и сразу пробовать оценить по новому материалу уровень ИБ в своём колхозе. Там и про те самые цепочки поставок написано, и про политики, и про то, как правильно внедрять безопасные рекомендации.
Ну всё, выдыхаем.
#Полезное
Твой Пакет Безопасности
Завариваем попкорн
Наткнулся тут на пару забавных статей от ребят из Start X (не реклама) на тему кибербеза, так что делюсь с вами.
Первая посвящена разбору громких взломов, о которых наверняка слышали многие из вас – там и про того самого Дзюбу с егоiCloud , и про Ким Кардашьян с Дженнифер Лоуренс. Ну а под конец всё приправлено чеклистом с советами по тому, как не наступить на все вышеописанные грабли. Почитать можно вот тут – ссылка
Вторая статья из этой подборки посвящена тому, как различается кибербез в кинематографе и в реальной жизни. Да, в реальности всё не так романтично, просто и красиво выглядит, когда кто-то пытается взломать Пентагон. Почитать можно вот тут – ссылка
Обе статьи написаны на достаточно человечесском языке, так что не бойтесь чего-то не понять. Вторая чуть посложнее, но многое из нее легко гуглится. Всем приятного прочтения 😌
#КиберГигиена
Твой Пакет Безопасности
Наткнулся тут на пару забавных статей от ребят из Start X (не реклама) на тему кибербеза, так что делюсь с вами.
Первая посвящена разбору громких взломов, о которых наверняка слышали многие из вас – там и про того самого Дзюбу с его
Вторая статья из этой подборки посвящена тому, как различается кибербез в кинематографе и в реальной жизни. Да, в реальности всё не так романтично, просто и красиво выглядит, когда кто-то пытается взломать Пентагон. Почитать можно вот тут – ссылка
Обе статьи написаны на достаточно человечесском языке, так что не бойтесь чего-то не понять. Вторая чуть посложнее, но многое из нее легко гуглится. Всем приятного прочтения 😌
#КиберГигиена
Твой Пакет Безопасности
1711181420738.jpeg
150.9 KB
Время сертификаций
Я уже не раз делился с вами ссылками и описанием бесплатных и полезных обучений и сертификаций из мира кибербезопасности (например, тут или здесь).
Я всё еще считаю, что зачастую сертификации – это какая-то оторванная от реальности сущность, которая и не особо нужна работодателям, и не приносит кому-то ощутимой пользы Она скорее заставляет именно вас изучить что-то новое (главное, чтобы там было что-то новое и полезное).
Так вот, я тут наткнулся на схемку, где расписано большинство сертификаций и их принадлежность к конкретным доменам в ИБ и IT. Всё, по классике, начинается в CompTIA Security+ и далее уже разрастается в ту степь, которая вам наиболее интересна. Да, тут есть не всё, но зато разложено по полочкам, а такое мы любим.
#Полезное
Твой Пакет Безопасности
Я уже не раз делился с вами ссылками и описанием бесплатных и полезных обучений и сертификаций из мира кибербезопасности (например, тут или здесь).
Я всё еще считаю, что зачастую сертификации – это какая-то оторванная от реальности сущность, которая и не особо нужна работодателям, и не приносит кому-то ощутимой пользы Она скорее заставляет именно вас изучить что-то новое (главное, чтобы там было что-то новое и полезное).
Так вот, я тут наткнулся на схемку, где расписано большинство сертификаций и их принадлежность к конкретным доменам в ИБ и IT. Всё, по классике, начинается в CompTIA Security+ и далее уже разрастается в ту степь, которая вам наиболее интересна. Да, тут есть не всё, но зато разложено по полочкам, а такое мы любим.
#Полезное
Твой Пакет Безопасности
This media is not supported in your browser
VIEW IN TELEGRAM
МТС RED ведёт телеграм-канал про кибербезопасность на простом и понятном языке. Представители бизнеса и обычные пользователи найдут там много полезных рекомендаций, которые помогут разобраться в этой нелёгкой теме.
Узнайте:
+ почему важно быть киберграмотным;
+ что такое тест на проникновение;
+ что общего у ведьмака и специалиста по кибербезопасности.
Подписывайтесь и следите за кибербезопасностью.
Узнайте:
+ почему важно быть киберграмотным;
+ что такое тест на проникновение;
+ что общего у ведьмака и специалиста по кибербезопасности.
Подписывайтесь и следите за кибербезопасностью.