Встречаем понедельник нашей постоянной (почти) рубрикой - лучшие статьи недели.
Начнём со статей про ИИ.
Первая - это разбор исследования языковых моделей на предмет анализа уязвимостей в исходном коде.
Вторая статья напротив, посвящена использованию LLM злоумышленниками. Автор обозревает инциденты кибератак, в которых использовались GenAI, встроенные в контуры жертв.
Дальше у нас идут более практические статьи.
База по Command Injection. Автор разбирает методы исполнения этой атаки, а также даёт практически советы по выявлению и противодействию данному виду атак.
Следующая статья - гайд по сбору учётных данных с помощью NetExec. Понадобится AD пентестерам.
Разбавим всякие сложные тексты мнением по сертификациям для начинающих специалистов. В небольшой статье описано, на какие сертификации стоит обращать внимание новичку в ИБ.
Так как прошедшая неделя упала на конец сентября, то естественно наша подборка не обойдётся без статей с самыми интересными уязами за месяц. Их аж целых две - раз и два.
Ну и завершим данный пост бэнгером прошедшей недели - разбором сложной уязвимости ядра Linux CVE-2024-50264. Автор проделал очень большую работу, разработав эксплойт и описав этот процесс в статье в формате исследования.
#AI #Pentest #AppSec
🧠 Пакет Знаний | 👨🏫 Менторство
📂 Другие каналы
Начнём со статей про ИИ.
Первая - это разбор исследования языковых моделей на предмет анализа уязвимостей в исходном коде.
Вторая статья напротив, посвящена использованию LLM злоумышленниками. Автор обозревает инциденты кибератак, в которых использовались GenAI, встроенные в контуры жертв.
Дальше у нас идут более практические статьи.
База по Command Injection. Автор разбирает методы исполнения этой атаки, а также даёт практически советы по выявлению и противодействию данному виду атак.
Следующая статья - гайд по сбору учётных данных с помощью NetExec. Понадобится AD пентестерам.
Разбавим всякие сложные тексты мнением по сертификациям для начинающих специалистов. В небольшой статье описано, на какие сертификации стоит обращать внимание новичку в ИБ.
Так как прошедшая неделя упала на конец сентября, то естественно наша подборка не обойдётся без статей с самыми интересными уязами за месяц. Их аж целых две - раз и два.
Ну и завершим данный пост бэнгером прошедшей недели - разбором сложной уязвимости ядра Linux CVE-2024-50264. Автор проделал очень большую работу, разработав эксплойт и описав этот процесс в статье в формате исследования.
#AI #Pentest #AppSec
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥7❤4👍2😁1
This media is not supported in your browser
VIEW IN TELEGRAM
CyberCamp 2025 — киберучения под давлением атак
20–25 октября участников ждет неделя практической кибербезопасности и десятки часов реальной практики.
Центральная тема — киберустойчивость: как действовать и восстанавливаться, когда атаки на компании не прекращаются ни на минуту.
В программе кэмпа:
⭐️ 15+ сценариев командных киберучений на платформе Jet CyberCamp и призовой фонд — 7 млн ₽
⭐️ 40+ интерактивных заданий для соло-участников
⭐️ 40+ докладов от экспертов «Инфосистемы Джет», BI.ZОNE, OZON Tech, Biocad, Positive Technologies, «Лаборатории Касперского» и др.
⭐️ Консультации 1:1 с экспертами, онлайн-уроки и практика от ведущих учебных центров, кандидатский экзамен на ССК от УЦ «Эшелон», мерч и призы.
✔️ Успей зарегистрироваться — соло-задания и первые доклады доступны уже сейчас!
20–25 октября участников ждет неделя практической кибербезопасности и десятки часов реальной практики.
Центральная тема — киберустойчивость: как действовать и восстанавливаться, когда атаки на компании не прекращаются ни на минуту.
В программе кэмпа:
⭐️ 15+ сценариев командных киберучений на платформе Jet CyberCamp и призовой фонд — 7 млн ₽
⭐️ 40+ интерактивных заданий для соло-участников
⭐️ 40+ докладов от экспертов «Инфосистемы Джет», BI.ZОNE, OZON Tech, Biocad, Positive Technologies, «Лаборатории Касперского» и др.
⭐️ Консультации 1:1 с экспертами, онлайн-уроки и практика от ведущих учебных центров, кандидатский экзамен на ССК от УЦ «Эшелон», мерч и призы.
✔️ Успей зарегистрироваться — соло-задания и первые доклады доступны уже сейчас!
👍4⚡3🤝2🔥1
Делимся агрегатором новостей по кибербезопасности.
Здесь собраны как новостные статьи с популярных сайтов, так и исследования энтузаистов на гитхабе. Статьи можно фильтровать по датам, типу (пост, новость, видео и т.д.) и категориям, которых аж 11 штук:
- Application Security
- Cloud Security
- Cryptography
- Exploit Development
- Computer Forensics
- Industrial Control Systems
- Network Security
- Reverse Engineering
- Social Engineering
- Operating System
- Malware Analysis
Помимо этого, есть ещё интересный раздел со всеми CVE. Внутри каждого топика можно найти описание уязвимости, номер CWE, присвоенный рейтинг CVSS, и самое интересное - статьи, связанные с выбранной CVE.
Выглядит как очень удобный сервис для того, чтобы быть в курсе всех событий в мире ИБ. Заменит вам 150 вкладок с новостями в браузере и столько же подписок на новостные телеграм каналы.
#BaseSecurity
🧠 Пакет Знаний | 👨🏫 Менторство
📂 Другие каналы
Здесь собраны как новостные статьи с популярных сайтов, так и исследования энтузаистов на гитхабе. Статьи можно фильтровать по датам, типу (пост, новость, видео и т.д.) и категориям, которых аж 11 штук:
- Application Security
- Cloud Security
- Cryptography
- Exploit Development
- Computer Forensics
- Industrial Control Systems
- Network Security
- Reverse Engineering
- Social Engineering
- Operating System
- Malware Analysis
Помимо этого, есть ещё интересный раздел со всеми CVE. Внутри каждого топика можно найти описание уязвимости, номер CWE, присвоенный рейтинг CVSS, и самое интересное - статьи, связанные с выбранной CVE.
Выглядит как очень удобный сервис для того, чтобы быть в курсе всех событий в мире ИБ. Заменит вам 150 вкладок с новостями в браузере и столько же подписок на новостные телеграм каналы.
#BaseSecurity
Please open Telegram to view this post
VIEW IN TELEGRAM
❤🔥8🔥4⚡2
Под конец недели делимся небольшим сайтом с тасками для практики XSS.
Никаких запусков стендов. Вам даётся код и ваша задача прокинуть стандартный alert(1) в поле ввода. Всего заданий около двадцати штук.
Набиваем руку и идём на заслуженный отдых в этот пятничный вечер.
#Pentest
🧠 Пакет Знаний | 👨🏫 Менторство
📂 Другие каналы
Никаких запусков стендов. Вам даётся код и ваша задача прокинуть стандартный alert(1) в поле ввода. Всего заданий около двадцати штук.
Набиваем руку и идём на заслуженный отдых в этот пятничный вечер.
#Pentest
Please open Telegram to view this post
VIEW IN TELEGRAM
❤10⚡3🔥3
Сегодня понедельник, а значит что? Правильно - лучшие статьи прошедшей недели.
Начнём с улучшения защиты вашей системы. Первая статья рассказывает о том, как защитить ваш веб-сайт от ботов, которые создают большую нагрузку и нагружают вашу систему.
После улучшения веба идём работать с инфрой - защитим Kubernetes на уровне ядра Linux. Далее у нас остаются ещё домены AD, которые тоже не помешало бы обезопасить. В этом нам помогут две статьи - Повышение защищённости Active Directory часть 1 и часть 2 (Да, первая часть вышла в апреле, но кто начинает смотреть сиквел без просмотра оригинала?).
Что ж, над защитой поработали, теперь время порадовать и ребят из красной команды. Держите разборы кейсов с багбаунти:
1) баг с использованием NULL в имени пользователя;
2) статья о том, как придумать интересный вектор атаки для обычного IDOR и повысить его в глазах триажеров.
Ещё хотелось бы поделиться обделённой вниманием статьёй с разбором атаки gadget chain, приводящей к RCE.
Далее у нас довольно подробный разбор техник разведки в MITRE ATT&CK.
Ну и под конец немного практики - создаём личный OSINT-комбайн на основе Google Sheets.
#Pentest #AppSec #DevSecOps #SecArch #BaseSecurity
🧠 Пакет Знаний | 👨🏫 Менторство
📂 Другие каналы
Начнём с улучшения защиты вашей системы. Первая статья рассказывает о том, как защитить ваш веб-сайт от ботов, которые создают большую нагрузку и нагружают вашу систему.
После улучшения веба идём работать с инфрой - защитим Kubernetes на уровне ядра Linux. Далее у нас остаются ещё домены AD, которые тоже не помешало бы обезопасить. В этом нам помогут две статьи - Повышение защищённости Active Directory часть 1 и часть 2 (Да, первая часть вышла в апреле, но кто начинает смотреть сиквел без просмотра оригинала?).
Что ж, над защитой поработали, теперь время порадовать и ребят из красной команды. Держите разборы кейсов с багбаунти:
1) баг с использованием NULL в имени пользователя;
2) статья о том, как придумать интересный вектор атаки для обычного IDOR и повысить его в глазах триажеров.
Ещё хотелось бы поделиться обделённой вниманием статьёй с разбором атаки gadget chain, приводящей к RCE.
Далее у нас довольно подробный разбор техник разведки в MITRE ATT&CK.
Ну и под конец немного практики - создаём личный OSINT-комбайн на основе Google Sheets.
#Pentest #AppSec #DevSecOps #SecArch #BaseSecurity
Please open Telegram to view this post
VIEW IN TELEGRAM
❤4🔥3👍1🍌1
Привет, наши дорогие и преданные читатели. У нас тут грядет пара изменений.
Первое – что-то захотелось поменять аватарку. Как вам? Оставляем старую или берем новую?
И второе – мы себе уже всю голову сломали в попытках придумать новое название для канала, которое не будет связано с "Пакетом". Брать что-то банальное из серии "Кладовка безопасника" или "Образ хакера" вообще не хочется. Может у вас есть какие-то идеи? Пишите их (понимаю, что вы этого не любите, но иногда надо) в комментарии!👇
Первое – что-то захотелось поменять аватарку. Как вам? Оставляем старую или берем новую?
И второе – мы себе уже всю голову сломали в попытках придумать новое название для канала, которое не будет связано с "Пакетом". Брать что-то банальное из серии "Кладовка безопасника" или "Образ хакера" вообще не хочется. Может у вас есть какие-то идеи? Пишите их (понимаю, что вы этого не любите, но иногда надо) в комментарии!
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
❤6👍4
Сегодня у нас в меню CTF площадка, посвящённая криптографии - CryptoHack.
Есть много категорий (аж целых 14), начиная от азов криптографии, заканчивая хэш-функциями, шифрами Диффи-Хельмана, RSA и так далее.
Помимо самих тасок, на платформе есть пять курсов, которые помогут вам плавно погрузиться в мир шифрования.
#Pentest #AppSec
🧠 Пакет Знаний | 👨🏫 Менторство
📂 Другие каналы
Есть много категорий (аж целых 14), начиная от азов криптографии, заканчивая хэш-функциями, шифрами Диффи-Хельмана, RSA и так далее.
Помимо самих тасок, на платформе есть пять курсов, которые помогут вам плавно погрузиться в мир шифрования.
#Pentest #AppSec
Please open Telegram to view this post
VIEW IN TELEGRAM
👍10🔥6❤5
Такого мы вам вроде еще не рекомендовали, но видимо время настало – тут у ребят из «Лаборатории Касперского» грядет стрим по эффективному управлению инцидентами ИБ – ссылка
Полезно будет послушать как инженерам, так и менеджерам. Ну а для тех, кто только думает идти в ИБ – даст побольше контекста об одной из самых больных тем.
Обещают обсудить ландшафт кибергуроз, известные инциденты и их последствия и рекомендации при инциденте ИБ: пошаговое реагирование и превентивные меры.
Сам стрим пройдет 21 октября в 11:00.
#SOC
🧠 Пакет Знаний | 👨🏫 Менторство
📂 Другие каналы
Полезно будет послушать как инженерам, так и менеджерам. Ну а для тех, кто только думает идти в ИБ – даст побольше контекста об одной из самых больных тем.
Обещают обсудить ландшафт кибергуроз, известные инциденты и их последствия и рекомендации при инциденте ИБ: пошаговое реагирование и превентивные меры.
Сам стрим пройдет 21 октября в 11:00.
#SOC
Please open Telegram to view this post
VIEW IN TELEGRAM
👍5🔥4🤝3❤1🤔1
Нашли для вас ресурс, где понятно объясняют распространённые уязвимости в веб приложениях.
В Hacksplaining вас ждёт 42 небольших модуля, где подробно рассказано про типовые веб уязвимости (XSS, SSRF, CSRF и т.д.). Объяснения сопровождаются красивой визуализацией.
Также, для закрепления материала, в конце каждого модуля есть не сложные тесты, которые закрепляют знания об уязвимостях.
#Pentest #AppSec
🧠 Пакет Знаний | 👨🏫 Менторство
📂 Другие каналы
В Hacksplaining вас ждёт 42 небольших модуля, где подробно рассказано про типовые веб уязвимости (XSS, SSRF, CSRF и т.д.). Объяснения сопровождаются красивой визуализацией.
Также, для закрепления материала, в конце каждого модуля есть не сложные тесты, которые закрепляют знания об уязвимостях.
#Pentest #AppSec
Please open Telegram to view this post
VIEW IN TELEGRAM
⚡9✍5😍2
Опа, а вот это уже интересно – ссылка
Если коротко, то ребята ИИфицировали SAST под ключ на базе мультиагентной системы.
Хейтеры скажу, что это конец AppSec-а. Я скажу, что это новая ветвь его эволюции.
#AppSec
🧠 Пакет Знаний | 👨🏫 Менторство
📂 Другие каналы
Если коротко, то ребята ИИфицировали SAST под ключ на базе мультиагентной системы.
Хейтеры скажу, что это конец AppSec-а. Я скажу, что это новая ветвь его эволюции.
#AppSec
Please open Telegram to view this post
VIEW IN TELEGRAM
Telegram
red_mad_robot
red_mad_robot и СберТех разработали мультиагентную систему, которая автоматически находит и исправляет уязвимости в коде ⚡
Она анализирует результаты SAST — статического анализа, который выявляет потенциально опасные места на этапе разработки. В системе…
Она анализирует результаты SAST — статического анализа, который выявляет потенциально опасные места на этапе разработки. В системе…
🔥9❤1💯1🍾1
Ладно, кажется, что муки с выбором логотипа окончены. Держите свои трусы.
👏13🤨6⚡1😁1😐1🙉1
Понедельник - день тяжелый, так что не помешает немного расслабиться за чашечкой чая и почитать интересные статьи прошедшей недели.
Начнём с чего-то простого. Статья о взломе подарочного сертификата вдохновит вас на мысли о том, что уязвимости могут быть даже в самых простых системах.
Следующая статья расскажет о случаях безопасности протокола HTTP, которые нужно учитывать при разработке API. Полезно будет почитать как разработчикам, так и пентестерам.
Далее у нас идёт статья для синей команды - шпаргалка по Linux для DFIR.
Затем забираем себе подборку руководств и книг по DevSecOps.
Ну и закончим на сегодня объёмным и интересным разбором (буквально) POS-терминала.
Хорошего вам дня и продуктивной недели!
#AppSec #Pentest #DevSecOps
🧠 Пакет Знаний | 👨🏫 Менторство
📂 Другие каналы
Начнём с чего-то простого. Статья о взломе подарочного сертификата вдохновит вас на мысли о том, что уязвимости могут быть даже в самых простых системах.
Следующая статья расскажет о случаях безопасности протокола HTTP, которые нужно учитывать при разработке API. Полезно будет почитать как разработчикам, так и пентестерам.
Далее у нас идёт статья для синей команды - шпаргалка по Linux для DFIR.
Затем забираем себе подборку руководств и книг по DevSecOps.
Ну и закончим на сегодня объёмным и интересным разбором (буквально) POS-терминала.
Хорошего вам дня и продуктивной недели!
#AppSec #Pentest #DevSecOps
Please open Telegram to view this post
VIEW IN TELEGRAM
❤11👍4⚡1
Грокаем безопасность веб-приложений.
Это книга, о которой вы, вероятно, слышали уже не раз, поскольку она обрела популярность почти сразу же после выхода в тираж. Не исключено, что ажиотаж вызван благодаря стилистической схожести с ещё одним бэнгером – "Грокаем алгоритмы".
Данную книгу нам любезно предоставило издательство "Питер", за что мы его сердечно благодарим.
Со вступлением закончили, перейдём же к самому обзору. В книге разбирается в первую очередь аспект безопасной разработки веб-приложений.
Содержание книги поделено на две части:
• В первой части автор рассказывает читателю некоторую базу безопасности, начиная с того, кто такие хакеры и заканчивая понятным объяснением работы шифрования и процессов безопасной разработки. Полезно почитать тем, кто не знаком с архитектурой REST или плавает в вопросах различия http от https.
• Далее начинается самое интересное – вторая часть, где по главам разбираются уже сами уязвимости. Рекомендации по безопасности автор сопровождает наглядными фрагментами кода, в которых используются описанные меры защиты. Эту часть книги обязательно советуем к прочтению как аппсекам, так и пентестерам. Первым дают хорошие советы по обеспечению безопасности от описанных уязвимостей, а вторые смогут вдохновиться и узнать много нового о том, почему появляются эти же уязвимости.
Повествование в книге очень дружелюбное по отношению к читателю: каждая глава сопровождается качественными и понятными иллюстрациями, автор старается разжевать сложные концепции простыми аналогиями. В общем, чтиво довольно увлекательное.
Рекомендуем абсолютно всем, кому интересна веб-разработка или же тестирование на безопасность веб-приложений.
#Pentest #AppSec
🧠 Твой Пакет Знаний | 👨🏫 Менторство ИБ
📂 Другие каналы
Это книга, о которой вы, вероятно, слышали уже не раз, поскольку она обрела популярность почти сразу же после выхода в тираж. Не исключено, что ажиотаж вызван благодаря стилистической схожести с ещё одним бэнгером – "Грокаем алгоритмы".
Данную книгу нам любезно предоставило издательство "Питер", за что мы его сердечно благодарим.
Со вступлением закончили, перейдём же к самому обзору. В книге разбирается в первую очередь аспект безопасной разработки веб-приложений.
Содержание книги поделено на две части:
• В первой части автор рассказывает читателю некоторую базу безопасности, начиная с того, кто такие хакеры и заканчивая понятным объяснением работы шифрования и процессов безопасной разработки. Полезно почитать тем, кто не знаком с архитектурой REST или плавает в вопросах различия http от https.
• Далее начинается самое интересное – вторая часть, где по главам разбираются уже сами уязвимости. Рекомендации по безопасности автор сопровождает наглядными фрагментами кода, в которых используются описанные меры защиты. Эту часть книги обязательно советуем к прочтению как аппсекам, так и пентестерам. Первым дают хорошие советы по обеспечению безопасности от описанных уязвимостей, а вторые смогут вдохновиться и узнать много нового о том, почему появляются эти же уязвимости.
Повествование в книге очень дружелюбное по отношению к читателю: каждая глава сопровождается качественными и понятными иллюстрациями, автор старается разжевать сложные концепции простыми аналогиями. В общем, чтиво довольно увлекательное.
Рекомендуем абсолютно всем, кому интересна веб-разработка или же тестирование на безопасность веб-приложений.
#Pentest #AppSec
Please open Telegram to view this post
VIEW IN TELEGRAM
❤11🔥6🤩4😁1
Самое время проверить себя и своих коллег на профпригодность.
Сегодня хотим рассказать вам о тесте Security Champion, который подскажет, какие моменты нужно подтянуть для прохождения предстоящих собесов.
Тест состоит из 20 вопросов, которые основаны на реальных кейсах взломов приложений. Вопросы посвящены следующим темам:
• Вывод информации в браузер (XSS)
• Обработка данных форм
• Предотвращение CRLF
• Предотвращение RCE
• Работа с SQL
В конце прохождения вам покажут диаграмму с оценкой скиллов по этим темам. Тест хоть и короткий, но вопросы интересные и сложные.
#BaseSecurity
🧠 Твой Пакет Знаний | 👨🏫 Менторство ИБ
📂 Другие каналы
Сегодня хотим рассказать вам о тесте Security Champion, который подскажет, какие моменты нужно подтянуть для прохождения предстоящих собесов.
Тест состоит из 20 вопросов, которые основаны на реальных кейсах взломов приложений. Вопросы посвящены следующим темам:
• Вывод информации в браузер (XSS)
• Обработка данных форм
• Предотвращение CRLF
• Предотвращение RCE
• Работа с SQL
В конце прохождения вам покажут диаграмму с оценкой скиллов по этим темам. Тест хоть и короткий, но вопросы интересные и сложные.
#BaseSecurity
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥7❤4⚡3👎3🥰1💩1
Всем привет! В этот прекрасный понедельник продолжаем радовать вас интересными статьями с хабра за прошедшую неделю.
Сегодня наша подборка будет состоять в основном из теоретической базы по сетевым технологиям. Первая статья посвящена протоколу DNS и его надстройке DNSSEC.
Следующая статья посвящена протоколу HTTP, а точнее про работу кэширования в этом протоколе. В тексте подробно рассказано про:
- заголовки, связанные с кэшированием;
- определение возраста ответа с примерами;
- распространённые мифы и заблуждения.
Дальше у нас идёт текст про технологию WiFi. В статье освящаются протоколы безопасности (WPA2, WPA3), их различие и современные методы аутентификации.
Ну и под конец парочка статей более практической направленности:
- Разбор уязвимости Blind LDAP Injection на примере CTF таска;
- Разбор пентеста пет-проекта. Хорошая статья, в которой качественно описаны отчёты об уязвимостях.
#BaseSecurity #Pentest
🧠 Твой Пакет Знаний | 👨🏫 Менторство ИБ
📂 Другие каналы
Сегодня наша подборка будет состоять в основном из теоретической базы по сетевым технологиям. Первая статья посвящена протоколу DNS и его надстройке DNSSEC.
Следующая статья посвящена протоколу HTTP, а точнее про работу кэширования в этом протоколе. В тексте подробно рассказано про:
- заголовки, связанные с кэшированием;
- определение возраста ответа с примерами;
- распространённые мифы и заблуждения.
Дальше у нас идёт текст про технологию WiFi. В статье освящаются протоколы безопасности (WPA2, WPA3), их различие и современные методы аутентификации.
Ну и под конец парочка статей более практической направленности:
- Разбор уязвимости Blind LDAP Injection на примере CTF таска;
- Разбор пентеста пет-проекта. Хорошая статья, в которой качественно описаны отчёты об уязвимостях.
#BaseSecurity #Pentest
Please open Telegram to view this post
VIEW IN TELEGRAM
❤6🔥4🙏3👍1🍌1
Сегодня нашли для вас сервис с практическими лабами для синей команды - CyberDefenders.
Лабы делятся на следующие категории:
• Malware Analysis
• Threat Intel
• Network Forensics
• Endpoint Forensics
• Detection Engineering
• Threat Hunting
• Cloud Forensics
По последним трём темам к сожалению бесплатных лаб нет. Но зато на остальные темы вы сможете найти больше 80-ти заданий без подписки. Есть ещё задачи в разделе Trial, это премиум лабы, которые доступны бесплатно. Их всего 10, но неизвестно пополняется ли этот раздел или нет.
В остальном, платформа стандартная, есть райтапы к лабам, очки за прохождение активных машин, ну и сопутствующая таблица лидеров.
#MalwareAnalyst #SOC #Practice
🧠 Твой Пакет Знаний | 👨🏫 Менторство ИБ
📂 Другие каналы
Лабы делятся на следующие категории:
• Malware Analysis
• Threat Intel
• Network Forensics
• Endpoint Forensics
• Detection Engineering
• Threat Hunting
• Cloud Forensics
По последним трём темам к сожалению бесплатных лаб нет. Но зато на остальные темы вы сможете найти больше 80-ти заданий без подписки. Есть ещё задачи в разделе Trial, это премиум лабы, которые доступны бесплатно. Их всего 10, но неизвестно пополняется ли этот раздел или нет.
В остальном, платформа стандартная, есть райтапы к лабам, очки за прохождение активных машин, ну и сопутствующая таблица лидеров.
#MalwareAnalyst #SOC #Practice
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥7⚡2🙏2❤1
В этот прекрасный пятничный день загрузим вас всякими большими и сложными табличками! А вы как думали, завтра работаем.
Это модель, отражающая зрелость процессов ИБ. Собрана она аж из пяти стандартов: COBIT 4.1/5, ISO 27001:2013, NIST Cybersecurity Framework, DNB 2017 и BIO 2019.
Сама модель делится на 15 аспектов, которые в свою очередь делятся на конкретные элементы. На практике это выглядит следующим образом:
Существует основной аспект, допустим "Управление инцидентами/проблемами". Данный аспект состоит из следующих элементов:
- Управление инцидентами;
- Эскалация инцидента;
- Реагирование на инциденты;
- Управление проблемами.
Далее у каждого элемента оценивается уровень зрелости. Всего уровней пять - от хаотичного процесса до максимального контроля и эффективности. Каждый уровень сопровождается подробным описанием для конкретного элемента.
Более подробно модель описана в данной статье.
🧠 Твой Пакет Знаний | 👨🏫 Менторство ИБ
📂 Другие каналы
Это модель, отражающая зрелость процессов ИБ. Собрана она аж из пяти стандартов: COBIT 4.1/5, ISO 27001:2013, NIST Cybersecurity Framework, DNB 2017 и BIO 2019.
Сама модель делится на 15 аспектов, которые в свою очередь делятся на конкретные элементы. На практике это выглядит следующим образом:
Существует основной аспект, допустим "Управление инцидентами/проблемами". Данный аспект состоит из следующих элементов:
- Управление инцидентами;
- Эскалация инцидента;
- Реагирование на инциденты;
- Управление проблемами.
Далее у каждого элемента оценивается уровень зрелости. Всего уровней пять - от хаотичного процесса до максимального контроля и эффективности. Каждый уровень сопровождается подробным описанием для конкретного элемента.
Более подробно модель описана в данной статье.
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥4🕊2💅2