Наш подкаст Just Security теперь и в аудио формате 🎧

Слушайте на Яндекс Музыке, Apple Podcasts и даже ВКонтакте!

🖥 Рivoting может в пять раз ускорить процесс пентеста. Также, с помощью пивотинга можно снизить заметность своих действий и быть эффективнее в рамках проектов, где есть противостояние с SOC-ом заказчика. Об инструментах пивотинга и примерах их применения на проектах, читайте в новой статье на Cyber Media.

Cпешите видеть 🫣 и слышать на Яндекс Музыке, Apple Podcasts и ВКонтакте

Сегодня ведущий выпуска — Сергей Зыбнев, пентестер Awillix, автор канала «Похек». Гость — Антон Лопаницын более известный как bo0om, исследователь информационной безопасности и блогер.

Ламповый разговор о направлениях развития и мотивации ИБ-специалистов, об успехах, нелепых провалах, смешных уязвимостях и глубокой экспертизе в области трусошаренья.

📹 ЭФИР НА ТЕМУ ЦЕНООБРАЗОВАНИЯ ПЕНТЕСТОВ

От заказчиков часто можно услышать, что «все говорят одинаково — дескать, самые опытные, самые компетентные и самые сертифицированные, — а цены называют разные, не объясняя, с чем это связано».
 
На самом деле никакие регалии пентестеров сами по себе не гарантируют решение задачи бизнеса — проверить и предупредить риски безопасности. 

💲Предлагаем разобраться, что помогает эту задачу решить, из чего складывается стоимость тестирования и на какие характеристики, кроме цены стоит обращать внимание при выборе подрядчиков.

🔴Подключайтесь к эфиру 19 марта в 17:00.

Выпуск, заряженный мотивацией на работу, развитие и заработок! Все о том, как стать багхантером, как набрать полные карманы секретных техник и инструментов, которые (спойлер) все равно не помогут, и как натренировать удачу, чтобы получать приличный доход с Bug Bounty.

В гостях Антон Грицкевич (byq) пентестер в компании Pentest Limited, багхантер, исследователь с опытом более шести лет. Топ-6 HackerOne Q1 в 2020 году, топ-2 Standoff Bug Bounty сейчас. Победитель номинации «Пробив» в Pentest award 2023. Сдавал валидные уязвимости в Cisco, Oracle, Mastercard и другие известные компании.

📺 Уже завтра на нашем канале, подписывайтесь!

Айда смотреть! Выпуск уже на канале.

— Как за неделю превратить Open redirect в RCE
— Как взять золото и серебро в Pentest award?
— Как совмещать работу пентестера и багхантинг, чтобы зарабатывать в два раза больше?
— Как не стоять на месте и учиться находить все более и более сложные уязвимости?

Эти и многие другие вопросы обсудили в выпуске с Антоном Грицкевичем (byq) пентестером компании Pentest Limited, багхантером и исследователем с опытом более шести лет. Топ-6 HackerOne Q1 в 2020 году, топ-2 Standoff Bug Bounty сейчас. Сдавал валидные уязвимости в Cisco, Oracle, Mastercard и другие известные компании.

📺 Youtube
™️ VK
🔈 Яндекс Музыка
🎵Apple podcast
〰️Mave

Приходите на эфир, чтобы реалистично оценивать любые предложения и понимать, из чего складывается себестоимость проектов.

📹 Ссылка на запись.

❤️ @justsecurity

РУКОВОДСТВО ПО ЦЕНООБРАЗОВАНИЮ ПЕНТЕСТОВ

Подготовили для вас полное подробное руководство по ценообразованию пентест-проектов со всеми инфографиками и таблицами, где наглядно показано соотношение рисков и ресурсов, зрелость ИБ-процессов и модель злоумышленника, грейды специалистов и уровень оплаты труда.

👉https://pricing.awillix.ru/ 👈

В конце есть тест, который поможет первично оценить уровень зрелости информационной безопасности в вашей компании и получить базовые рекомендации для его улучшения.

🔣Это еще один наш вклад в развитие рынка. Надеемся, что такой артефакт станет доступным и простым инструментом для более легкого и зрелого диалога между бизнесом и его кибербезопасностью.

❤ @justsecurity

Если убрать технические детали из нашего руководства по ценообразованию пентестов, но оставить суть, получится колонка для Forbes ✨

Рассказываем на языке бизнеса, как численность, оснащенность, подготовленность, осведомленность и действия потенциальных злоумышленников должны влиять на проведение пентестов.

🔗Статья в Forbes

У нас с вами сейчас появляется много новых коллег, которые хотят ворваться в мир кибербеза. Они задаются вопросами, как обучаться и где брать практический опыт. Поэтому мы сделали подборку площадок, на которых можно учиться, тренироваться, и конечно же, ломать актуальные сервисы.

1️⃣Hack The Box: Известная платформа, которая представляет песочницу для пентестеров. Позволяет применять свои навыки в реальных условиях. Платформа предлагает широкий диапазон уязвимых машин, от самых простых до продвинутых, требуя от пользователей творческого подхода и глубокого понимания техник.
🛑Достоинства: Реальные сценарии, активное и поддерживающее сообщество, постоянное обновление заданий.

2️⃣VulnHub: Уникальная площадка, предоставляющая специально подготовленные уязвимые образы для практической работы и изучения техник взлома и защиты.
🛑Достоинства: Бесплатный доступ, подходит для всех уровней, большая коллекция уязвимых образов.

3️⃣HackXpert: Богатая библиотека бесплатных лабораторных работ и тренировочных сессий, ориентированных на джунов и мидлов, желающих улучшить свои знания в определенных областях кибербезопасности.
🛑Достоинства: Бесплатный доступ к ресурсам, разнообразие лабораторий по актуальным темам.

4️⃣TryHackMe: Выделяется своим динамичным подходом к обучению кибербезопасности, предлагая пользователям «обучение через действие». С помощью виртуальных лаб и практических заданий пользователи могут развивать свои навыки в реальных условиях.
🛑Достоинства: Подходит как новичкам, так и профессионалам, интерактивные и геймифицированные элементы обучения.

5️⃣Cybrary: Предоставляет обширную коллекцию видеоуроков, лабораторных работ и практических тестов, созданных для того, чтобы пользователи могли освоить концепции и практики кибербезопасности.
🛑Достоинства: Обширная библиотека учебных материалов, активное сообщество экспертов и возможность обучения на реальных кейсах.

6️⃣LetsDefend: Платформа LetsDefend специализируется на подготовке специалистов в области защиты информации. Она предлагает симуляции реальных инцидентов безопасности, где пользователи могут разрабатывать и тестировать стратегии, повышая свои навыки в обнаружении угроз и реагировании на инциденты.
🛑Достоинства: Фокус на практическом применении знаний в области защиты информации, реалистичные сценарии с использованием актуальных инструментов и методик.

7️⃣Root Me: База более чем с 400 разнообразными задачами. Root Me представляет собой обширную платформу для тех, кто хочет проверить и улучшить свои навыки во всех аспектах кибербезопасности. Задания покрывают широкий спектр тем от криптографии до веб-безопасности.
🛑Достоинства: Поддержка множества языков, большое количество заданий для разных уровней сложности.

8️⃣Try2Hack: Сочетает элементы игры и обучения, предлагая пользователам ряд испытаний, имитирующих реальные кибератаки. Это не только позволяет развить технические навыки, но и учит стратегическому мышлению и анализу уязвимостей.
🛑Достоинства: Игровой подход к обучению, подходит для развития как технических, так и стратегических навыков в кибербезопасности.

⚡️Дополняйте список своими вариантами в комментариях, добавим их и обогатим подборку!
Делитесь своим опытом использования площадок и лайфхаками 🫶

❤ @justsecurity

🔝 Когда угрозы кибербезопасности эволюционируют каждый день, важно иметь надежные инструменты для анализа данных и защиты информационных активов. Представляем вашему вниманию 1️⃣0️⃣ мощных и нужных поисковых систем в сфере кибербезопасности. Эти платформы станут надёжными союзниками в выявлении, анализе и нейтрализации угроз.

🔍Shodan: поисковая система, позволяет исследователям находить устройства, подключенные к интернету, веб-камеры, принтеры, веб-сервисы и многое другое. Это мощный инструмент для анализа поверхности атаки и оценки уязвимостей.
Особенности: охватывает миллиарды устройств, детализированный поиск по параметрам и типам устройств.

🔍Censys: сканирует интернет, собирая данные обо всех подключенных устройствах и службах, предоставляя ценную информацию о поверхности атаки.
Особенности: визуализация данных, аналитика безопасности и оценка уязвимостей, бесплатный доступ до 250 запросов.

🔍IntelligenceX: поисковая система, которая предлагает поиск по Tor, I2P, криптовалютыным адресам, утечкам данных, доменам и электронным адресам.
Достоинства: поиск по уникальным источникам, включая скрытые службы и утечки данных.

🔍SecurityTrails: позволяет исследователям собирать обширные данные DNS, истории доменов и другую информацию, полезную для киберразведки и анализа угроз.
Особенности: обширные данные о доменах и DNS, исторические данные, API для интеграции.

🔍Binary Edge: еще одна платформа, которая сканирует интернет в поисках информации о подключенных устройствах и уязвимостях, предлагая комплексный анализ атакующей поверхности.
Особенности: масштабное сканирование интернета, аналитика уязвимостей, бесплатный доступ до 250 запросов.

🔍Pulsedive: платформа для поиска угроз, которая предоставляет данные о последних киберугрозах, индикаторах компрометации (IoC) и другой разведывательной информации.
Особенности: актуальная информация об угрозах, индикаторы компрометации, интеграция с другими сервисами.

🔍GreyNoise: фильтрует и анализирует "фоновый шум" интернета, позволяя отличить потенциально вредоносную активность от обычного трафика.
Особенности: идентификация сканирующих и атакующих устройств, анализ интернет-шума.

🔍LeakIX: специализируется на поиске и индексации утечек данных и открытых баз данных, предоставляя ценную информацию о потенциально уязвимых системах.
Особенности: обнаружение утечек данных, индексация открытых баз данных и систем.

🔍ExploitDB: архив эксплойтов и уязвимостей, позволяющий исследователям в области безопасности находить и использовать данные для защиты своих сервисов.
Особенности: регулярные обновления, большая база данных уязвимостей и эксплойтов.

🔍Vulners: обширная база данных уязвимостей, которая предлагает поиск по множеству источников, включая базы данных эксплойтов и бюллетени безопасности.
Особенности: обширный поиск по уязвимостям, интеграция с другими инструментами безопасности.

💬Поделитесь движками, которые вы используете в своей работе и почему именно они?

❤ @justsecurity

Судя по всему, статуэтка победителя #pentestaward не только радует глаз, но и пригождается в хозяйстве у наших призеров. Если хотите также, не пропустите анонс нового сезона премии для этичных хакеров!

Уже скоро опубликуем подробности 😉
* обязательно со звуком