Awillix ИБ-подписка.pdf
16.2 MB
Услуга, которую мы давно предоставляем, но ни разу не продавали.
За 5 лет работы с крупнейшими интернет-сервисами, финансовыми корпорациями и федеральными ритейл-сетями мы накопили огромный опыт и заслужили репутацию экспертов.
У нас есть клиенты, которые по разным причинам не имеют у себя в штате достаточное количество ИБ-специалистов. Они используют Awillix на постоянной основе, чтобы добирать нужные компетенции и ресурсы для обеспечения процессов информационной безопасности своих компаний.
С этими клиентами разовое сотрудничество переросло в полноценное управление ИБ-процессами. Мы несем полную ответственность за свою работу и решения, которые предлагаем принять компаниям в целях поддержания оптимального для них уровня защищенности. Такой «Security Team» на аутсорсе с разной сборкой и под разные нужды.
Сегодня мы решили, что ресурсы позволяют взять еще несколько клиентов на поддержку, поэтому вашему вниманию предлагается — «ИБ-подписка от Awillix».
🛡 ИБ-подписка — это аутсорс практической кибербезопасности и вопросов с документами. В рамках одного договора мы доводим до совершенства уровень защищенности внешнего и внутреннего ИТ-контура компании и берем на себя ответственность за развитие кибербезопасности в компании в целом.
Наши заказчики получают в свое распоряжение готовый отдел высококвалифицированных ИБ-специалистов по направлениям: анализ защищенности, AppSec, DevOps и DevSecOps. Те быстро и глубоко погружаются в архитектуру инфраструктуры и стек используемых технологий, а наши наработки в области ИБ, помогают существенно автоматизировать большинство процессов.
Мы создали оптимальные тарифные планы, позволяющие получить в свое распоряжение отдел сверхквалифицированных специалистов, по стоимости, сопоставимой с наймом в штат всего одного из них.
📎Подробнее об услугах, пакетах подписки и дополнительных опциях можно узнать в презентации, прилагаемой к посту. Количество мест ограничено.
За 5 лет работы с крупнейшими интернет-сервисами, финансовыми корпорациями и федеральными ритейл-сетями мы накопили огромный опыт и заслужили репутацию экспертов.
У нас есть клиенты, которые по разным причинам не имеют у себя в штате достаточное количество ИБ-специалистов. Они используют Awillix на постоянной основе, чтобы добирать нужные компетенции и ресурсы для обеспечения процессов информационной безопасности своих компаний.
С этими клиентами разовое сотрудничество переросло в полноценное управление ИБ-процессами. Мы несем полную ответственность за свою работу и решения, которые предлагаем принять компаниям в целях поддержания оптимального для них уровня защищенности. Такой «Security Team» на аутсорсе с разной сборкой и под разные нужды.
Сегодня мы решили, что ресурсы позволяют взять еще несколько клиентов на поддержку, поэтому вашему вниманию предлагается — «ИБ-подписка от Awillix».
Наши заказчики получают в свое распоряжение готовый отдел высококвалифицированных ИБ-специалистов по направлениям: анализ защищенности, AppSec, DevOps и DevSecOps. Те быстро и глубоко погружаются в архитектуру инфраструктуры и стек используемых технологий, а наши наработки в области ИБ, помогают существенно автоматизировать большинство процессов.
Мы создали оптимальные тарифные планы, позволяющие получить в свое распоряжение отдел сверхквалифицированных специалистов, по стоимости, сопоставимой с наймом в штат всего одного из них.
📎Подробнее об услугах, пакетах подписки и дополнительных опциях можно узнать в презентации, прилагаемой к посту. Количество мест ограничено.
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥8👍4❤🔥2⚡1❤1
Nuclei обновляет свои шаблоны
Всем привет! Наверное, уже многие слышали, что команда ProjectDiscovery заметно обновила свой сканер Nuclei. В последний месяц команда и сообщество выпустили много крутых шаблонов, в том числе для проверки актуальных октябрьскийх уязвимостей.
Основные моменты последних релизов:
- Добавлено 316 новых шаблонов.
- Добавлено 158 новых CVE.
В октябрьском выпуске Nuclei Templates Monthly Release особое внимание уделяется ряду критических уязвимостей, включая:
- Уязвимость F5 BIG-IP, позволяющая реализовать RCE без аутентификации через AJP Smuggling.
- Удаленное выполнение кода в NextGen Mirth Connect, Viessmann Vitogate 300 и других продуктах.
- Утечка сессионных токенов в Citrix Bleed.
- Уязвимости в JetBrains TeamCity, Sitecore, Microsoft SharePoint и Atlassian Confluence.
Эти уязвимости привлекли внимание из-за их новизны и сильного воздействия на безопасность систем.
Забираем, обновляем, сканируем свои системы. Источник: https://blog.projectdiscovery.io/nuclei-templates-monthly-october-2023-edition/
Всем привет! Наверное, уже многие слышали, что команда ProjectDiscovery заметно обновила свой сканер Nuclei. В последний месяц команда и сообщество выпустили много крутых шаблонов, в том числе для проверки актуальных октябрьскийх уязвимостей.
Основные моменты последних релизов:
- Добавлено 316 новых шаблонов.
- Добавлено 158 новых CVE.
В октябрьском выпуске Nuclei Templates Monthly Release особое внимание уделяется ряду критических уязвимостей, включая:
- Уязвимость F5 BIG-IP, позволяющая реализовать RCE без аутентификации через AJP Smuggling.
- Удаленное выполнение кода в NextGen Mirth Connect, Viessmann Vitogate 300 и других продуктах.
- Утечка сессионных токенов в Citrix Bleed.
- Уязвимости в JetBrains TeamCity, Sitecore, Microsoft SharePoint и Atlassian Confluence.
Эти уязвимости привлекли внимание из-за их новизны и сильного воздействия на безопасность систем.
Забираем, обновляем, сканируем свои системы. Источник: https://blog.projectdiscovery.io/nuclei-templates-monthly-october-2023-edition/
🔥7👍6❤4
Приняли участие в проекте «Не для галочки» — подкаст о приватности. При поддержке Российской ассоциации профессионалов в области приватности (RPPA). Спешите слушать👂
Telegram
Privacy GDPR Russia
#podcast #НеДляГалочки
Утечки или ночной кошмар DPO. Откуда берутся, в чем причины. Разбираем кейсы с этичным хакером😄
ОСТОРОЖНО! В этом выпуске много практических кейсов, конкретных рекомендаций и историй из жизни хакера.
💡Apple, Яндекс
🎤Ведущие выпуска:…
Утечки или ночной кошмар DPO. Откуда берутся, в чем причины. Разбираем кейсы с этичным хакером😄
ОСТОРОЖНО! В этом выпуске много практических кейсов, конкретных рекомендаций и историй из жизни хакера.
💡Apple, Яндекс
🎤Ведущие выпуска:…
Нашу команду и тут и там передают: Алексей Висторобский, пентестер Awillix, выступил и дал интервью на SOC Forum, а Алексей Чижов, наш руководитель проектов, на ежегодном профессиональном форуме «Безопасность бизнеса» в Екатеринбурге.
Доклад первого Алексея был посвящен актуальным уязвимостям для инфраструктур российских компаний и автоматизации рутинных проверок. Доклад второго — уровню зрелости информационной безопасности в компаниях и портретам злоумышленников при заказе пентеста.
Ставьте лайки, если хотите увидеть этот контент в записи👍
Доклад первого Алексея был посвящен актуальным уязвимостям для инфраструктур российских компаний и автоматизации рутинных проверок. Доклад второго — уровню зрелости информационной безопасности в компаниях и портретам злоумышленников при заказе пентеста.
Ставьте лайки, если хотите увидеть этот контент в записи
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
👍15🔥7❤5⚡1❤🔥1🆒1
Физический пентест похож на привидение: все о нем говорят, но мало кто его видел.
А мы записали подкаст с человеком, который не просто видел, но и тысячу раз его делал, преисполнился в познании фишек и инструментов настолько, что написал книгу «Хакерство. Физические атаки с использованием хакерских устройств». Гость этого выпуска — Андрей Жуков, lead pentester УЦСБ, автор канала @s0i37_channel.
Обсудили все самое интересное:
— Где заканчивается «обычный» пентест и начинается физическая атака, какие цели преследуются в физическом пентесте, какой скоуп, методика и инструменты используются в работе.
— Интересные кейсы из практики и актуальные вектора атак.
— Что чаще всего атакуется, а что редко. На что компаниям стоит обращать внимание при оценке своей уязвимости.
— Каким организациям необходим физический пентест. Какой уровень зрелости информационной безопасности у такой компании.
— Актуальные для всех рекомендации по защите компаний от физических векторов атак.
✌️Выйдет 2 части.
Ждем ваших лайков, комментов, пошэров. Инджой!
А мы записали подкаст с человеком, который не просто видел, но и тысячу раз его делал, преисполнился в познании фишек и инструментов настолько, что написал книгу «Хакерство. Физические атаки с использованием хакерских устройств». Гость этого выпуска — Андрей Жуков, lead pentester УЦСБ, автор канала @s0i37_channel.
Обсудили все самое интересное:
— Где заканчивается «обычный» пентест и начинается физическая атака, какие цели преследуются в физическом пентесте, какой скоуп, методика и инструменты используются в работе.
— Интересные кейсы из практики и актуальные вектора атак.
— Что чаще всего атакуется, а что редко. На что компаниям стоит обращать внимание при оценке своей уязвимости.
— Каким организациям необходим физический пентест. Какой уровень зрелости информационной безопасности у такой компании.
— Актуальные для всех рекомендации по защите компаний от физических векторов атак.
✌️Выйдет 2 части.
Ждем ваших лайков, комментов, пошэров. Инджой!
YouTube
Подкаст Just Security by Awillix #2. Физические пентесты.
Физический пентест похож на привидение: все о нем говорят, но мало кто его видел.
А мы записали подкаст с человеком, который не просто видел, но и тысячу раз его делал, преисполнился в познании фишек и инструментов настолько, что написал книгу «Хакерство.…
А мы записали подкаст с человеком, который не просто видел, но и тысячу раз его делал, преисполнился в познании фишек и инструментов настолько, что написал книгу «Хакерство.…
🔥16👍5❤🔥4❤1👏1🆒1
В субботу наш пентестер Сергей Зыбнев выступил на Standoff Talks с докладом про рivoting, или пивотинг — это набор техник, которые позволяют атакующему получить доступ к внутренним ресурсам, минуя сетевые средства защиты.
Сережа рассказал про инструменты пивотинга, про правила корреляции в SIEM-системе, про классические ошибки хакеров и красных команд при атаках, а также про политики безопасности, которые чаще всего срабатывают.
🔣 Запись доклада с наглядной видеодемонстрацией инструментов пивотинга из лаборатории.
🔣 Канал Сережи — «Похек».
Сережа рассказал про инструменты пивотинга, про правила корреляции в SIEM-системе, про классические ошибки хакеров и красных команд при атаках, а также про политики безопасности, которые чаще всего срабатывают.
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥11👍6❤🔥3🥴2❤1
Долгожданное продолжение подкаста про физические атаки.
В этом выпуске про уязвимости СКУД, атаки через холодную перезагрузку, несколько кейсов про физическое закрепление и социальную инженерию и, конечно же, рекомендации для бизнеса и для специалистов по тестированию на проникновение.
🏃♂️ Бежим смотреть?
В этом выпуске про уязвимости СКУД, атаки через холодную перезагрузку, несколько кейсов про физическое закрепление и социальную инженерию и, конечно же, рекомендации для бизнеса и для специалистов по тестированию на проникновение.
Please open Telegram to view this post
VIEW IN TELEGRAM
YouTube
Подкаст Just Security by Awillix #2. Физические пентесты (часть 2).
Продолжение разговора о физических атаках. Начало диалога — https://www.youtube.com/watch?v=J0d-fMNZqec&t
Гость этого выпуска — Андрей Жуков, lead pentester УЦСБ, автор канала @s0i37_channel. Ведущий — Александр Герасимов, CISO Awillix, этичный хакер, эксперт…
Гость этого выпуска — Андрей Жуков, lead pentester УЦСБ, автор канала @s0i37_channel. Ведущий — Александр Герасимов, CISO Awillix, этичный хакер, эксперт…
👍10🔥8❤🔥3🆒1
Подарите себе безопасность в новом году! С нашей ИБ-подпиской 🛡
В рамках одного договора мы доводим до совершенства уровень защищенности внешнего и внутреннего ИТ-контура компании и берем на себя ответственность за развитие кибербезопасности в компании в целом.
Вы получите готовый отдел высококвалифицированных ИБ-специалистов по направлениям: Анализ защищенности, AppSec, DevOps и DevSecOps, Compliance. Те быстро и глубоко погружаются в архитектуру инфраструктуры и стек используемых технологий, а наши наработки в области ИБ, помогут существенно автоматизировать большинство процессов.
✔️ Непрерывный мониторинг уязвимостей периметров.
✔️ Чат с проектной командой доступный в режиме 24/7, где можно получить компетентную консультацию по самым разным вопросам кибербезопасности.
✔️ SOC — гибкое, быстрое и недорогое
решение от Awillix.
✔️ DevSecOps — эффективный процесс
безопасной разработки.
✔️ DevOps.
✔️ ИБ Compliance.
Мы создали оптимальные тарифные планы, которые при желании можно кастомизировать. Подписка позволяет получить отдел сверхквалифицированных специалистов, по стоимости, сопоставимой с наймом в штат всего одного из них.
📌 Подробности об условиях.
В рамках одного договора мы доводим до совершенства уровень защищенности внешнего и внутреннего ИТ-контура компании и берем на себя ответственность за развитие кибербезопасности в компании в целом.
Вы получите готовый отдел высококвалифицированных ИБ-специалистов по направлениям: Анализ защищенности, AppSec, DevOps и DevSecOps, Compliance. Те быстро и глубоко погружаются в архитектуру инфраструктуры и стек используемых технологий, а наши наработки в области ИБ, помогут существенно автоматизировать большинство процессов.
решение от Awillix.
безопасной разработки.
Мы создали оптимальные тарифные планы, которые при желании можно кастомизировать. Подписка позволяет получить отдел сверхквалифицированных специалистов, по стоимости, сопоставимой с наймом в штат всего одного из них.
Please open Telegram to view this post
VIEW IN TELEGRAM
❤5🔥4❤🔥3🥴1
This media is not supported in your browser
VIEW IN TELEGRAM
Ураааааааааааа! Организаторы Pentest Award (это мы😍) получили первое место в премии «Киберпросвет» за продвижение этичного хакинга в стране.
Нам очень приятно и радостно, ведь именно этого мы добиваемся проектом — развития сообщества пентестеров, признание выдающихся результатов и талантов специалистов, обмен опытом и повышение общих компетенций этичных хакеров.
Мы вложили много ресурсов и сил, чтобы премия для пентестеров увидела свет и очень рады тому, как сообщество отреагировало на это. Надеемся, что награда «Киберпросвет» привлечет больше внимания и доверия к Pentest Award, чтобы в будущем году мы смогли увидеть еще больше отпадных кейсов и наградить еще больше топовых пентестеров!
Нам очень приятно и радостно, ведь именно этого мы добиваемся проектом — развития сообщества пентестеров, признание выдающихся результатов и талантов специалистов, обмен опытом и повышение общих компетенций этичных хакеров.
Мы вложили много ресурсов и сил, чтобы премия для пентестеров увидела свет и очень рады тому, как сообщество отреагировало на это. Надеемся, что награда «Киберпросвет» привлечет больше внимания и доверия к Pentest Award, чтобы в будущем году мы смогли увидеть еще больше отпадных кейсов и наградить еще больше топовых пентестеров!
🔥25❤8👍4👏3❤🔥1👎1🏆1🆒1💘1
Коллеги из Rad Cop провели внушительную аналитическую работу, чтобы сравнить Кибердеревню с нынешнем состоянием аграрного сектора и заодно развлечь читателя. Оказалось, многое из сериала уже применяется сейчас, причем не только за границей, но и в России. Современное сельскохозяйственное производство — это системы искусственного интеллекта, IoT, роботизация и другие ИТ-технологии.
Особое внимание в тексте уделили проблеме информационной безопасности в этом новом инновационном сельском хозяйстве, подсветили технические и организационные меры защиты.
🔗 Советуем прочитать, даже если вы не аграрий!
Please open Telegram to view this post
VIEW IN TELEGRAM
👍9❤🔥2🔥2❤1👎1😁1💊1
Дорогие подписчики, спасибо что весь год баловали нас своим вниманием, мы это очень ценим! Поздравляем всех, кто делает этот мир чуточку безопаснее и желаем каждому больших успехов и новых побед в Новом году! 🎄☃️🥂
Вся команда Awillix🐱
Вся команда Awillix
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥15❤7👍4😍3☃1❤🔥1🥰1
Наш junior пентестер Кирилл (SidneyJob)
опубликовал статью на Хакер — «Курс на мисконфиги. Как поймать проблемный CORS на проде».
Там интересно рассказано, как работает технология SOP, которая защищает твой браузер от вредоносных скриптов. Разобраны основные виды мисконфигов и даны шпаргалки с разными случаями поведения CORS. В конце есть пример проверки работоспособности PoC.
Лайк, шэр, коммент! А Кирилла с дебютом👏
опубликовал статью на Хакер — «Курс на мисконфиги. Как поймать проблемный CORS на проде».
Там интересно рассказано, как работает технология SOP, которая защищает твой браузер от вредоносных скриптов. Разобраны основные виды мисконфигов и даны шпаргалки с разными случаями поведения CORS. В конце есть пример проверки работоспособности PoC.
Лайк, шэр, коммент! А Кирилла с дебютом
Please open Telegram to view this post
VIEW IN TELEGRAM
❤🔥21👍12🔥4⚡1
This media is not supported in your browser
VIEW IN TELEGRAM
Скоро на нашем канале! Разговор с легендой кибербеза.
Независимый исследователь, докладчик на международных конференциях, участник одной из сильнейших мировых команд CTF, автор уязвимостей нулевого дня в таких известных продуктах как Siemens, Redis, OpenStack — Paul Axe.
Павел рассказал про свои самые сложные проекты и как он находит темы для исследований, что его мотивирует и отчего наступает выгорание, почему игнорирует сертификацию и не считает себя багхантером, чем отличается ИБ в России и Китае, когда безопасников заменит искусственный интеллект, и что делать, чтобы стать таким же крутым, как Paul Axe!
Ставьте лайки, если ждете выпуск. Пишите вопросы в комментах, чтобы сделать продолжение👇
Независимый исследователь, докладчик на международных конференциях, участник одной из сильнейших мировых команд CTF, автор уязвимостей нулевого дня в таких известных продуктах как Siemens, Redis, OpenStack — Paul Axe.
Павел рассказал про свои самые сложные проекты и как он находит темы для исследований, что его мотивирует и отчего наступает выгорание, почему игнорирует сертификацию и не считает себя багхантером, чем отличается ИБ в России и Китае, когда безопасников заменит искусственный интеллект, и что делать, чтобы стать таким же крутым, как Paul Axe!
Ставьте лайки, если ждете выпуск. Пишите вопросы в комментах, чтобы сделать продолжение👇
🔥24👍7❤🔥5🤯2😍2👨💻2
Путь самурая исследователя на примере Павла Топоркова (Paul Axe) в новом выпуске подкаста Just Security.
Все что вы хотели, но боялись спросить: про поиск своих сильных сторон и вектора развития, про самые амбициозные цели и их достижение, про багхантинг, CTF-ы и сертификацию.
🍿 Инджой!
Все что вы хотели, но боялись спросить: про поиск своих сильных сторон и вектора развития, про самые амбициозные цели и их достижение, про багхантинг, CTF-ы и сертификацию.
Please open Telegram to view this post
VIEW IN TELEGRAM
YouTube
Подкаст Just Security by Awillix #3. Путь исследователя.
Путь исследователя на примере Павла Топоркова (Paul Axe) — независимый исследователь, докладчик на международных конференциях, участник одной из сильнейших мировых команд CTF, автор уязвимостей нулевого дня в таких известных продуктах как Siemens, Redis,…
🔥13❤🔥5❤3👍1👀1
Наш подкаст Just Security теперь и в аудио формате 🎧
Слушайте на Яндекс Музыке, Apple Podcasts и даже ВКонтакте!
Слушайте на Яндекс Музыке, Apple Podcasts и даже ВКонтакте!
Please open Telegram to view this post
VIEW IN TELEGRAM
👍12🔥6❤3☃1❤🔥1🤓1🆒1
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥11❤6👍2❤🔥1👎1🥰1🐳1
Media is too big
VIEW IN TELEGRAM
Идеальный баланс юмора и пользы: дебют Сережи Зыбнева в качестве ведущего подкаста и далеко не первый, зато максимально душевный, бенефис Антона Лопаницына (Bo0oM) скоро на канале. Пока выпуск монтируется, подписывайтесь на ютуб, чтобы не пропустить его!
🔥16👍4❤🔥3❤1🥴1👨💻1
Cпешите видеть 🫣 и слышать на Яндекс Музыке, Apple Podcasts и ВКонтакте
Сегодня ведущий выпуска — Сергей Зыбнев, пентестер Awillix, автор канала «Похек». Гость — Антон Лопаницын более известный как bo0om, исследователь информационной безопасности и блогер.
Ламповый разговор о направлениях развития и мотивации ИБ-специалистов, об успехах, нелепых провалах, смешных уязвимостях и глубокой экспертизе в области трусошаренья.
Сегодня ведущий выпуска — Сергей Зыбнев, пентестер Awillix, автор канала «Похек». Гость — Антон Лопаницын более известный как bo0om, исследователь информационной безопасности и блогер.
Ламповый разговор о направлениях развития и мотивации ИБ-специалистов, об успехах, нелепых провалах, смешных уязвимостях и глубокой экспертизе в области трусошаренья.
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥13❤2👍2🆒2❤🔥1⚡1👏1
Скорее всего, вы слышали, как минимум о нескольких громких уязвимостях OWA. С 2020 года существует подробный ресерч от коллег из PT SWARM на тему безопасности MS Exchange WEB-интерфейсов, а новые атаки появляются с завидной частотой. В OWA имеется огромный архитектурный баг, который является драйвером целого семейства подобных уязвимостей.
Атак достаточно, но есть еще и очень приятная «фича» в OWA – перечисление существующих пользователей в зависимости от времени ответов сервера. После формирования списка однозначно существующих учетных записей можно провести атаку типа Password Spray (распыление паролей) и с небольшим шансом подобрать пароль типа «P@ssw0rd!» среди пары сотен пользователей.
Многим пентестерам это известно, но @CuriV нашел ультимативный способ проведения этой атаки за счет избыточности русских фамилий (sic!). Читайте об этом в его новой прекрасной статье!
Атак достаточно, но есть еще и очень приятная «фича» в OWA – перечисление существующих пользователей в зависимости от времени ответов сервера. После формирования списка однозначно существующих учетных записей можно провести атаку типа Password Spray (распыление паролей) и с небольшим шансом подобрать пароль типа «P@ssw0rd!» среди пары сотен пользователей.
Многим пентестерам это известно, но @CuriV нашел ультимативный способ проведения этой атаки за счет избыточности русских фамилий (sic!). Читайте об этом в его новой прекрасной статье!
Хабр
Перечислить всех. Красота русских фамилий как фактор уязвимости в пентестах Active Directory
1. Введение Во время очередного пентест-проекта на внешнем периметре Заказчика была обнаружена широко известная в узких кругах пентестеров инфраструктурная служба Outlook Web Access (OWA). OWA...
🔥7👍3❤🔥2🥴1🗿1