erid: LjN8JwwC7
Существует множество фреймворков оценки процессов безопасной разработки, такие как SAMM, BSIMM, DSOMM, MSDL. Есть лучшие практики и бенчмарки защиты контейнеров и сред контейнерной оркестрации, например, Kubernetes Hardening Guide. А еще есть масса инструментов, повышающих защищенность при формировании и совершенствовании процессов DevSecOps: SAST, DAST, SCA, Container Security, Secret Management и др.
Но нет чего-то одного, описывающего, что конкретно и в какой последовательности нужно делать, чтобы выстроить процесс безопасной разработки, объективно оценить уровень ее зрелости и понять, куда двигаться дальше.
Эту проблему призван решить фреймворк оценки зрелости процессов безопасной разработки — DevSecOps Assessment Framework (DAF).
Он включает в себя не просто набор рекомендаций и лучших подходов, но и экспертный опыт комьюнити, структурированный и адаптированный под реалии РФ и СНГ.
Ребята из канала DevSecOps Talks любезно поделились обновленным фреймворком DAF, ссылку на детальное...
Существует множество фреймворков оценки процессов безопасной разработки, такие как SAMM, BSIMM, DSOMM, MSDL. Есть лучшие практики и бенчмарки защиты контейнеров и сред контейнерной оркестрации, например, Kubernetes Hardening Guide. А еще есть масса инструментов, повышающих защищенность при формировании и совершенствовании процессов DevSecOps: SAST, DAST, SCA, Container Security, Secret Management и др.
Но нет чего-то одного, описывающего, что конкретно и в какой последовательности нужно делать, чтобы выстроить процесс безопасной разработки, объективно оценить уровень ее зрелости и понять, куда двигаться дальше.
Эту проблему призван решить фреймворк оценки зрелости процессов безопасной разработки — DevSecOps Assessment Framework (DAF).
Он включает в себя не просто набор рекомендаций и лучших подходов, но и экспертный опыт комьюнити, структурированный и адаптированный под реалии РФ и СНГ.
Ребята из канала DevSecOps Talks любезно поделились обновленным фреймворком DAF, ссылку на детальное...
Книги с картинками
Как ни крути, а через инфографику и схемы информация усваивается куда проще и приятнее. Я тут заметил, что давно не выкладывал каких-то крутых и полезных картинок, так что в этот раз прикладываю схемку с инструментами для обеспечения безопасности для ОС Linux (и не только).
Так что изучаем, сохраняем и применяем.
#Полезное
Твой Пакет Безопасности
Как ни крути, а через инфографику и схемы информация усваивается куда проще и приятнее. Я тут заметил, что давно не выкладывал каких-то крутых и полезных картинок, так что в этот раз прикладываю схемку с инструментами для обеспечения безопасности для ОС Linux (и не только).
Так что изучаем, сохраняем и применяем.
#Полезное
Твой Пакет Безопасности
☝️ Я тут решился сняться в видео-подборке, посвященной тому самому Pentest Awards со своей великолепной статуэткой (или как это называется).
Кто сможет отгадать, где моё видео, тот будет награждён шикарным ничем 🎩
К слову, скоро будет уже вторая премия пентестеров, так что затачивайте свои штопоры.
Кто сможет отгадать, где моё видео, тот будет награждён шикарным ничем 🎩
К слову, скоро будет уже вторая премия пентестеров, так что затачивайте свои штопоры.
Media is too big
VIEW IN TELEGRAM
Судя по всему, статуэтка победителя #pentestaward не только радует глаз, но и пригождается в хозяйстве у наших призеров. Если хотите также, не пропустите анонс нового сезона премии для этичных хакеров!
Уже скоро опубликуем подробности 😉
* обязательно со звуком
Уже скоро опубликуем подробности 😉
* обязательно со звуком
Всем привет! 👋
Воскресного дайджеста сегодня не будет, так как у нас с вами есть дела поважнее.
Оказывается, наш с вами канал стал настолько крутым, что его уже начали внаглую копировать – раз и два. Лично мне это не очень нравится, поэтому предлагаю следующее.
Давайте навалимся на этих наглецов и попробуем их заблокировать – переходим по ссылкам (раз и два) –> нажимаем на название канала –> нажимаем на 3 точки справа наверху –> выбираем "пожаловаться" –> нажимаем на "поддельный аккаунт", "fake account" или что-то подобное.
Это не займет у вас больше пары минут. Ну а я буду безмерно вам признателен и благодарен, друзья 🖤
Всем мир.
Воскресного дайджеста сегодня не будет, так как у нас с вами есть дела поважнее.
Оказывается, наш с вами канал стал настолько крутым, что его уже начали внаглую копировать – раз и два. Лично мне это не очень нравится, поэтому предлагаю следующее.
Давайте навалимся на этих наглецов и попробуем их заблокировать – переходим по ссылкам (раз и два) –> нажимаем на название канала –> нажимаем на 3 точки справа наверху –> выбираем "пожаловаться" –> нажимаем на "поддельный аккаунт", "fake account" или что-то подобное.
Это не займет у вас больше пары минут. Ну а я буду безмерно вам признателен и благодарен, друзья 🖤
Всем мир.
🎧 ИБ в облаке: обсуждаем специфику угроз и средства защиты
Позвали в гости мастодонтов рынка кибербезопасности Positive Technologies и BI.ZОNЕ. Поговорили об актуальной картине угроз для облачных сред, а ещё обсудили сходства и различия инцидентов в локальной и облачной инфраструктуре.
Сформировался ли такой рынок в России и каковы его объёмы? Разобрали этот вопрос и поговорили о проблемах доверия, экономике и задачах вендоров и заказчиков — в чём мы сходимся, а где ещё необходимо налаживать диалог.
➡️ Смотрите выпуск на YouTube и слушайте в Яндекс Музыке
Реклама. ООО «Яндекс.Облако» ИНН 7704458262
Позвали в гости мастодонтов рынка кибербезопасности Positive Technologies и BI.ZОNЕ. Поговорили об актуальной картине угроз для облачных сред, а ещё обсудили сходства и различия инцидентов в локальной и облачной инфраструктуре.
Сформировался ли такой рынок в России и каковы его объёмы? Разобрали этот вопрос и поговорили о проблемах доверия, экономике и задачах вендоров и заказчиков — в чём мы сходимся, а где ещё необходимо налаживать диалог.
➡️ Смотрите выпуск на YouTube и слушайте в Яндекс Музыке
Реклама. ООО «Яндекс.Облако» ИНН 7704458262
YouTube
ИБ в облаке: обсуждаем специфику угроз и средства защиты
Позвали в гости мастодонтов рынка и поговорили об актуальной картине угроз для облачных сред. Обсудили сходства и различия инцидентов в локальной и облачной инфраструктуре. Не обошли вниманием специфические средства защиты для облаков – сформировался ли такой…
Только без паники
Вчера вечером как-то очень резко поднялась шумиха вокруг критической уязвимости Телеграма – кто-то то выложил в сеть видео того, как компьютер жертвы заражается всего лишь при загрузке вредоносного файла через мессенджер.
Все сразу начали бегать и кричать "Zero day", "Zero click", "новый RCE", "удаляйте Телеграм" и вот это вот всё.
По факту, даже если эта уязвимость будет подтверждена, и окажется, что то самое видео настоящее – ничего супер-нового не произошло. Если у вас включена автозагрузка файла, то это нормально, что он скачается у вас на устройство. А если это медиа-файл, то мессенджер попробует его "предзапустить", чтобы отобразить его в интерфейсе. Так что всё логично.
По сути, это тот же вредонос, только доставляемый не через почту или флешку, а через Телеграм.
Если у вас Windows и вы пользуетесь на нём Телеграмом, то просто отключите автозагрузку в настройках, и не скачивайте ничего подозрительного и чатов. В остальном, я бы пока не сильно переживал на эту тему.
Ах да, еще и DumpForums вчера решили разродиться новостями по поводу взлома ДИТ (Департамент информационных технологий) Москвы. Пока утверждают, что они просидели внутри инфраструктуры достаточно долго, чтобы выкачать 40 ТБ полезных чувствительных данных, включая ПДн всех москвичей. В общем, вечерок вчера был нескучный.
Так и живём.
Твой Пакет Безопасности
Вчера вечером как-то очень резко поднялась шумиха вокруг критической уязвимости Телеграма – кто-то то выложил в сеть видео того, как компьютер жертвы заражается всего лишь при загрузке вредоносного файла через мессенджер.
Все сразу начали бегать и кричать "Zero day", "Zero click", "новый RCE", "удаляйте Телеграм" и вот это вот всё.
По факту, даже если эта уязвимость будет подтверждена, и окажется, что то самое видео настоящее – ничего супер-нового не произошло. Если у вас включена автозагрузка файла, то это нормально, что он скачается у вас на устройство. А если это медиа-файл, то мессенджер попробует его "предзапустить", чтобы отобразить его в интерфейсе. Так что всё логично.
По сути, это тот же вредонос, только доставляемый не через почту или флешку, а через Телеграм.
Если у вас Windows и вы пользуетесь на нём Телеграмом, то просто отключите автозагрузку в настройках, и не скачивайте ничего подозрительного и чатов. В остальном, я бы пока не сильно переживал на эту тему.
Ах да, еще и DumpForums вчера решили разродиться новостями по поводу взлома ДИТ (Департамент информационных технологий) Москвы. Пока утверждают, что они просидели внутри инфраструктуры достаточно долго, чтобы выкачать 40 ТБ полезных чувствительных данных, включая ПДн всех москвичей. В общем, вечерок вчера был нескучный.
Так и живём.
Твой Пакет Безопасности
Курс «Анализ защищенности приложений Андроид»
Запись до 18 апреля. Получите промодоступ к обучению - 7 дней бесплатно!
Рассматривается устройство приложений под ОС Android, этапы создания мобильного приложения, приемы реверса и изменения кода. Подробно рассмотрен поиск и эксплуатация уязвимостей.
🏆 Выдаём УПК/сертификат
84994441750
Запись до 18 апреля. Получите промодоступ к обучению - 7 дней бесплатно!
Рассматривается устройство приложений под ОС Android, этапы создания мобильного приложения, приемы реверса и изменения кода. Подробно рассмотрен поиск и эксплуатация уязвимостей.
🏆 Выдаём УПК/сертификат
84994441750
Я тут что-то понял, что за 2024 год еще нигде не выступал, поэтому, кажется, настало время открыть сезон. Я когда-то сделал для себя вывод о том, что выступать со сцены на душные ИБшные темы мне вообще не заходит, и я готов в таком формате обсуждать только карьеру, деньги, выгорание, саморазвитие, менторство или прочие "мягкие" темы.
Но тут выступление будет не в оффлайне, поэтому немного подушню на тему того, как мы в МТС построили самую крутую культуру Архитектуры ИБ в стране. Ну а ребятам из itsec большое спасибо за приглашение 💪
Будет желание – заходите на огонёк.
Твой Пакет Безопасности
Но тут выступление будет не в оффлайне, поэтому немного подушню на тему того, как мы в МТС построили самую крутую культуру Архитектуры ИБ в стране. Ну а ребятам из itsec большое спасибо за приглашение 💪
Будет желание – заходите на огонёк.
Твой Пакет Безопасности
Межсетевой экран, который нужен абсолютно всем. Миф или реальность?
ИКС – это современное решение класса Next Generation Firewall для решения таких задач как:
Муниципальные администрации:
- Блокировка по геолокации
- Контроль запуска приложений на ПК сотрудников
- VoIP с записью звонков и гибкой настройкой голосового меню
Производственные предприятия:
- IDP/IPS защита периметра сети, добавление собственных правил для детектора атак
- Отказоустойчивость системы, наличие кластера active / standby (дублирующего узла)
Многофункциональные центры (МФЦ):
- Контроль HTTP/HTTS трафика пользователей
- Гибкое создание отчётов по пользователям, посещенным страницам
Медицинские учреждения:
- Маршрутизация и балансировка трафика
- Удаленный доступ сотрудников к рабочим местам
Протестировать межсетевой экран ИКС.
Реклама, ООО «А-Реал Консалтинг», ИНН 7606047112.
ИКС – это современное решение класса Next Generation Firewall для решения таких задач как:
Муниципальные администрации:
- Блокировка по геолокации
- Контроль запуска приложений на ПК сотрудников
- VoIP с записью звонков и гибкой настройкой голосового меню
Производственные предприятия:
- IDP/IPS защита периметра сети, добавление собственных правил для детектора атак
- Отказоустойчивость системы, наличие кластера active / standby (дублирующего узла)
Многофункциональные центры (МФЦ):
- Контроль HTTP/HTTS трафика пользователей
- Гибкое создание отчётов по пользователям, посещенным страницам
Медицинские учреждения:
- Маршрутизация и балансировка трафика
- Удаленный доступ сотрудников к рабочим местам
Протестировать межсетевой экран ИКС.
Реклама, ООО «А-Реал Консалтинг», ИНН 7606047112.
Никогда такого не было
На прошлой неделе произошла база в одном из московских аэропортов. Предприимчивые ребята подняли в Шереметьево свою Wi-Fi-сеть под названием SVO_Free. Сеть не была защищена паролем и выглядела как обычная аэропортовская. К ней можно было свободно подключиться и пройти процедуру авторизации, чтобы получить доступ к интернету. Сделать это надо было через Телеграм, в который вам пришел бы код подтверждения.
Итог думаю очевиден – жертва теряет доступ к своему Телеграм-аккаунту после того, как передает заветный код подтвеждения.
Интересно то, что, судя по массовости инцидента, это был не обычный роутер в рюкзаке злоумышленника, а настроенная сеть с большим покрытием из репитеров и нескольких точек доступа.
Мы с вами уже не раз обсуждали то, как опасно использовать бесплатные или общественные Wi-Fi-сети. Будьте, пожалуйста, осторожнее и предупредите ваших родных и близких, так как ваш Телеграм-аккаунт – это не самое ценное, что вы можете потерять, совершая подобную ошибку.
#КиберГигиена
Твой Пакет Безопасности
На прошлой неделе произошла база в одном из московских аэропортов. Предприимчивые ребята подняли в Шереметьево свою Wi-Fi-сеть под названием SVO_Free. Сеть не была защищена паролем и выглядела как обычная аэропортовская. К ней можно было свободно подключиться и пройти процедуру авторизации, чтобы получить доступ к интернету. Сделать это надо было через Телеграм, в который вам пришел бы код подтверждения.
Итог думаю очевиден – жертва теряет доступ к своему Телеграм-аккаунту после того, как передает заветный код подтвеждения.
Интересно то, что, судя по массовости инцидента, это был не обычный роутер в рюкзаке злоумышленника, а настроенная сеть с большим покрытием из репитеров и нескольких точек доступа.
Мы с вами уже не раз обсуждали то, как опасно использовать бесплатные или общественные Wi-Fi-сети. Будьте, пожалуйста, осторожнее и предупредите ваших родных и близких, так как ваш Телеграм-аккаунт – это не самое ценное, что вы можете потерять, совершая подобную ошибку.
#КиберГигиена
Твой Пакет Безопасности
This media is not supported in your browser
VIEW IN TELEGRAM
😈 OSINT: подборка дэшбордов по мониторингу киберугроз
Наблюдение за тем, какие изменения происходят на планете в масштабах стран и континентов — настоящий источник вдохновения для OSINT-аналитиков, так что если тебе не чужды контурные карты глобальных стратегий или может, ты восхищался(ась) глобусом в центре управления X-COM, то эта подборка тебе понравится.
1. ShadowServer — собирает информацию о разнообразных угрозах, таких как DDoS-атаки, ботнеты, сканирование портов и выявление CVE-уязвимостей. На картах и диаграммах представлена ежедневно обновляемая статистика.
2. Live Threat Map — здесь можно посмотреть сводную статистику по кибератакам за последний час, сутки или месяц, а также выделить наиболее атакуемые страны, топ векторов атак и самые сканируемые порты.
3. exposure.shodan — АСУ ТП, открытые порты, торчащие наружу базы с разбивкой по регионам. Все, как мы любим🎧
4. ddos-attack-map — Live-карта DDoS-атак с временной шкалой, фильтрами по странам и отраслям, а также указанием силы атак.
5. Cyber...
Наблюдение за тем, какие изменения происходят на планете в масштабах стран и континентов — настоящий источник вдохновения для OSINT-аналитиков, так что если тебе не чужды контурные карты глобальных стратегий или может, ты восхищался(ась) глобусом в центре управления X-COM, то эта подборка тебе понравится.
1. ShadowServer — собирает информацию о разнообразных угрозах, таких как DDoS-атаки, ботнеты, сканирование портов и выявление CVE-уязвимостей. На картах и диаграммах представлена ежедневно обновляемая статистика.
2. Live Threat Map — здесь можно посмотреть сводную статистику по кибератакам за последний час, сутки или месяц, а также выделить наиболее атакуемые страны, топ векторов атак и самые сканируемые порты.
3. exposure.shodan — АСУ ТП, открытые порты, торчащие наружу базы с разбивкой по регионам. Все, как мы любим
4. ddos-attack-map — Live-карта DDoS-атак с временной шкалой, фильтрами по странам и отраслям, а также указанием силы атак.
5. Cyber...
Всем привет!
Сегодня без дайджеста, но с полезным репостом ☝
Я тут подумал и решил вам предложить – а может быть организуем с вами прямой эфир? Подключимся, я поотвечаю на ваши вопросы, поболтаем по душам, обсудим насущные проблемы и планы (в том числе и на канал).
Если вам эта идея нравится, то накидывайте реакции на этот пост и предлагайте в комментариях темы/вопросы, которые хотели бы обсудить. Если накопится какой-то необходимый минимум (пока не знаю, сколько это), запланируем стрим (прямо в этом канале) и наведём шуму. Ну и, по традиции, всем мир и хорошего настроения!
Всех люблю 🖤
Твой Пакет безопасности
Сегодня без дайджеста, но с полезным репостом ☝
Я тут подумал и решил вам предложить – а может быть организуем с вами прямой эфир? Подключимся, я поотвечаю на ваши вопросы, поболтаем по душам, обсудим насущные проблемы и планы (в том числе и на канал).
Если вам эта идея нравится, то накидывайте реакции на этот пост и предлагайте в комментариях темы/вопросы, которые хотели бы обсудить. Если накопится какой-то необходимый минимум (пока не знаю, сколько это), запланируем стрим (прямо в этом канале) и наведём шуму. Ну и, по традиции, всем мир и хорошего настроения!
Всех люблю 🖤
Твой Пакет безопасности
Мысленные карты
Как я уже говорил, есть у меня слабость перед всем структурированным и визуализированным. Само собой, это потому что у меня ленивый мозг, который не любит напрягаться лишний раз (сложно его в этом винить).
Собственно, к чему это я – ловите обновленную версию CISO MindMap 2024 – ссылка. Штука конечно большая и мясистая, но я к ней приспособиться смог. Если вы не знаете, что еще поизучать в кибербезе – вэлкам. Если вы самостоятельно изучаете какую-то тему и хотите понять, не упустили ли вы ничего важного – вэлкам. Хотите быстро глянуть, какие актуальные фреймворки или страндарты есть в ИБ – вэлкам.
В общем, достаточно универсальная и полезная штуковина, так что сохраняйте себе, отправляйте коллегам в чаты и развивайтесь. Всем мир.
#Полезное
Твой Пакет Безопасности
Как я уже говорил, есть у меня слабость перед всем структурированным и визуализированным. Само собой, это потому что у меня ленивый мозг, который не любит напрягаться лишний раз (сложно его в этом винить).
Собственно, к чему это я – ловите обновленную версию CISO MindMap 2024 – ссылка. Штука конечно большая и мясистая, но я к ней приспособиться смог. Если вы не знаете, что еще поизучать в кибербезе – вэлкам. Если вы самостоятельно изучаете какую-то тему и хотите понять, не упустили ли вы ничего важного – вэлкам. Хотите быстро глянуть, какие актуальные фреймворки или страндарты есть в ИБ – вэлкам.
В общем, достаточно универсальная и полезная штуковина, так что сохраняйте себе, отправляйте коллегам в чаты и развивайтесь. Всем мир.
#Полезное
Твой Пакет Безопасности
Сегодня нагло оставляю вас без воскресного дайджеста. Но, несмотря на праздники и сбор чемоданов в Казахстан (ну конечно же на тот самый AppSecFest), постам на следующей неделе быть 🤝
А так, всем хорошего праздничного отдыха, любви и мира 🖤
Твой Пакет Безопасности
А так, всем хорошего праздничного отдыха, любви и мира 🖤
Твой Пакет Безопасности
Продолжаем нашу рубрику по освоению английского через мемы. Но теперь наоборот.
#КиберМем
Твой Пакет Безопасности
#КиберМем
Твой Пакет Безопасности
This media is not supported in your browser
VIEW IN TELEGRAM
Ну что за красота
Да, я всё еще слаб на всё красивое. А тут еще и полезное. Если вы вдруг собираетесь строить DevSecOps, пытаетесь в нём разобраться или не уверены, что у вас он полноценный, то беглым взглядом сможете сразу понять, чего не хватает из самого основного.
Тут и про управление секретами и уязвимостями, и про контейнерную безопасность, и про моделирование угроз. В общем, всё самое необходимое, чтобы защитить свои активы и спать спокойно, пока продуктовые команды доносят ценность до пользователей.
Сохраняем, распространяем и радуемся.
#Полезное
Твой Пакет Безопасности
Да, я всё еще слаб на всё красивое. А тут еще и полезное. Если вы вдруг собираетесь строить DevSecOps, пытаетесь в нём разобраться или не уверены, что у вас он полноценный, то беглым взглядом сможете сразу понять, чего не хватает из самого основного.
Тут и про управление секретами и уязвимостями, и про контейнерную безопасность, и про моделирование угроз. В общем, всё самое необходимое, чтобы защитить свои активы и спать спокойно, пока продуктовые команды доносят ценность до пользователей.
Сохраняем, распространяем и радуемся.
#Полезное
Твой Пакет Безопасности