Всем привет, меня зовут Герасимов Александр и это мой личный канал, в котором буду делиться своим опытом, техниками защиты и взлома различных систем, интересными новостями в сфере кибербезопасности.
Stay tuned)
P.S. Кроме всего, будут еще видосики и мемасики)
Stay tuned)
P.S. Кроме всего, будут еще видосики и мемасики)
Как эффективно управлять уязвимостями?
Как быть, если нужно управлять уязвимостями, а источников, которые обнаруживают их очень много:
- сканеры сетевой инфраструктуры
- сканеры веб-приложений
- сканеры кода
- SAST, DAST встроенные в CI/CD
- и т.д.
Заходить в каждый инструмент, выгружать отчеты, заводить задачи в баг-трекере, писать свои скрипты и хуки?
Не стоит) Существует класс решений, которые позволяют собирать результаты сканирований из разных источников, агрегировать уязвимости, устанавливать сроки устранения уязвимостей, при необходимости отмечать баги как false positive, выгружать отчеты с применением различных фильтров и интегрироваться с багтрекерами.
Чтобы понять насколько это удобно, можно развернуть у себя опенсорсное решение - DefectDojo. Сервис написан на Python и поддерживает более 20 форматов отчетов из различных сканеров: Nessus, Acunetix, Fotify, BurpSuit, Qualys, SonarQube и т.д.
Если вы анализируете код и тестируете приложение в процессе CI/CD, то DefectDojo для вас еще отследит идентификатор сборки, хэш коммита, ветку, тег, SCM и Build сервер, т.д.
Есть и коммерческие решения, например, Risksense, Threadfix.
#soft #vulnerability_management
Как быть, если нужно управлять уязвимостями, а источников, которые обнаруживают их очень много:
- сканеры сетевой инфраструктуры
- сканеры веб-приложений
- сканеры кода
- SAST, DAST встроенные в CI/CD
- и т.д.
Заходить в каждый инструмент, выгружать отчеты, заводить задачи в баг-трекере, писать свои скрипты и хуки?
Не стоит) Существует класс решений, которые позволяют собирать результаты сканирований из разных источников, агрегировать уязвимости, устанавливать сроки устранения уязвимостей, при необходимости отмечать баги как false positive, выгружать отчеты с применением различных фильтров и интегрироваться с багтрекерами.
Чтобы понять насколько это удобно, можно развернуть у себя опенсорсное решение - DefectDojo. Сервис написан на Python и поддерживает более 20 форматов отчетов из различных сканеров: Nessus, Acunetix, Fotify, BurpSuit, Qualys, SonarQube и т.д.
Если вы анализируете код и тестируете приложение в процессе CI/CD, то DefectDojo для вас еще отследит идентификатор сборки, хэш коммита, ветку, тег, SCM и Build сервер, т.д.
Есть и коммерческие решения, например, Risksense, Threadfix.
#soft #vulnerability_management
Meet up о внедрении безопасной разработки
22 октября в 18:00 в Москве мы устраиваем собственный ламповый митап, посвященный информационной безопасности на стадии разработки продукта.
Будем рассказывать, как минимизировать затраты на киберзащиту еще до релиза продукта и как внедрять процессы Secure SDLC.
Легкий фуршет, камерность, немного топового контента и нетворкинга.
Регистрируйтесь!
#meetup
22 октября в 18:00 в Москве мы устраиваем собственный ламповый митап, посвященный информационной безопасности на стадии разработки продукта.
Будем рассказывать, как минимизировать затраты на киберзащиту еще до релиза продукта и как внедрять процессы Secure SDLC.
Легкий фуршет, камерность, немного топового контента и нетворкинга.
Регистрируйтесь!
#meetup
awillix--eksperty-po-kibe.timepad.ru
Meet up: С чего начать внедрение безопасной разработки и как снизить стоимость ошибок в процессе / События на TimePad.ru
Первые 90 дней специалиста по информационной безопасности в новой компании
Представь ситуацию, ты приходишь в новую компанию и тебе ставят задачу «сделать все безопасно». Задача непростая — с чего начать? Компания Sqreen подготовила полезный чек-лист, который поможет директорам или спецам по ИБ расставить приоритеты по задачам в первые месяцы работы. Думаю, материал будет полезен и тем, кто предлагает консалтинговые услуги.
Чек-лист выполнен в виде небольших заметок с рекомендациями и ссылками на дополнительные материалы. Документ состоит из следующих разделов:
- PROCESS
- CULTURE
- APPLICATION SECURITY
- INFRASTRUCTURE SECURITY
- MONITORING
Чек-лист: https://assets.sqreen.com/whitepapers/early-security-engineer-checklist.pdf
#management #books
Представь ситуацию, ты приходишь в новую компанию и тебе ставят задачу «сделать все безопасно». Задача непростая — с чего начать? Компания Sqreen подготовила полезный чек-лист, который поможет директорам или спецам по ИБ расставить приоритеты по задачам в первые месяцы работы. Думаю, материал будет полезен и тем, кто предлагает консалтинговые услуги.
Чек-лист выполнен в виде небольших заметок с рекомендациями и ссылками на дополнительные материалы. Документ состоит из следующих разделов:
- PROCESS
- CULTURE
- APPLICATION SECURITY
- INFRASTRUCTURE SECURITY
- MONITORING
Чек-лист: https://assets.sqreen.com/whitepapers/early-security-engineer-checklist.pdf
#management #books
Хотели бы погрузиться в Kubernetes? (Можно выбарать несколько вариантов)
Anonymous Poll
8%
Да, уже использую
77%
Да, особенно интересна тема безопасности
0%
Нет, не собираюсь использовать
15%
Не знаю что это такое
В прошлую пятницу прошел наш митап, посвященный информационной безопасности на стадии разработки продукта.
На встрече мы рассказали, как контролировать уровень безопасности между участками цикла разработки и как внедрять процессы Secure SDLC.
Кому не удалось присоединиться к нам, можете посмотреть запись прямой трансляции по ссылке — https://www.youtube.com/watch?v=B-CE-Bwp0dA
Если у вас остались вопросы, задавайте их в комментариях :)
На встрече мы рассказали, как контролировать уровень безопасности между участками цикла разработки и как внедрять процессы Secure SDLC.
Кому не удалось присоединиться к нам, можете посмотреть запись прямой трансляции по ссылке — https://www.youtube.com/watch?v=B-CE-Bwp0dA
Если у вас остались вопросы, задавайте их в комментариях :)
YouTube
Meet up: С чего начать внедрение безопасной разработки и как снизить стоимость ошибок в процессе
22 октября прошел ламповый митап, посвященный информационной безопасности на стадии разработки продукта. На встрече ведущие специалисты по ИБ Awillix и КРОК рассказали, как контролировать уровень безопасности между участками цикла разработки и как внедрять…
👏1
Рассказали Inc по каким причинам бизнес теряет данные и чем это грозит. В конце статьи привели примеры базовых правил гигиены, которые позволят бизнесу улучшить уровень своей информационной безопасности.
Читайте по ссылке. Делитесь своим мнением в комментариях!
Читайте по ссылке. Делитесь своим мнением в комментариях!
Forwarded from Инк.
Основные задачи фаундеров — выпустить на рынок MVP, как можно быстрее привлечь клиентов, нарастить прибыль и выйти на самоокупаемость. Обычно на этих этапах почти никто не уделяет должного внимания кибербезопасности, но даже одна утечка способна помешать развитию проекта или даже полностью его уничтожить. Inc. разобрался, какие уязвимости чаще всего используют злоумышленники и как обезопасить себя от взломов.
https://inc.click/cybersecurity-startup/
https://inc.click/cybersecurity-startup/
inc.click
Как стартапу избежать утечек и защититься от кибератак
Еще лет пять назад стартапы могли сосредоточиться на маркетинге, юзабилити и финансах, совершенно не отвлекаясь на риски кибератак. Сегодня все об опасности взлома необходимо помнить всегда, а также постоянно заботиться о сохранности своих данных и данных…
Forwarded from Рабы галерные
This media is not supported in your browser
VIEW IN TELEGRAM
Когда используешь Kubernetes, чтобы запустить Hello world
5-ти минутная интеграция SAST в Gitlab CI/CD
Если ты используешь Gitlab как инструмент для хранения и управления репозиториями, но все еще не внедрил SAST в свой CI/CD, то этот пост для тебя.
Gitlab дает возможность одной строчкой внедрить статический анализатор кода в проект. Для этого необходимо в файл
Конечно, инструменты нужно настраивать под себя. К сожалению, в community версии можно определить только некоторые переменные, например,
Поддерживаемые языки программирования для быстрой интеграции: https://docs.gitlab.com/ee/user/application_security/sast/
В случае если необходимо использовать SAST со своими правилами и кастомными настройками, всегда можно обратиться к нам за помощью 😉
#soft #ssdlc
Если ты используешь Gitlab как инструмент для хранения и управления репозиториями, но все еще не внедрил SAST в свой CI/CD, то этот пост для тебя.
Gitlab дает возможность одной строчкой внедрить статический анализатор кода в проект. Для этого необходимо в файл
.gitlab-ci.yml добавить необходимый шаблон: Security/SAST.gitlab-ci.yml. Сервис сам определит на каком стеке написан проект и запустит нужный анализатор кода, а результаты можно будет посмотреть в отдельном стейдже или в security dashboard.Конечно, инструменты нужно настраивать под себя. К сожалению, в community версии можно определить только некоторые переменные, например,
SAST_GOSEC_LEVEL (игнорировать уязвимости, найденные Gosec при заданном уровне,. 0 = Не определено, 1 = Низкие, 2 = Средние, 3 = Высокие). В enterprise же можно добавлять и изменять rulesets.Поддерживаемые языки программирования для быстрой интеграции: https://docs.gitlab.com/ee/user/application_security/sast/
В случае если необходимо использовать SAST со своими правилами и кастомными настройками, всегда можно обратиться к нам за помощью 😉
#soft #ssdlc
Forwarded from Alexander Gerasimov via @gif
This media is not supported in your browser
VIEW IN TELEGRAM