Друзья, сегодня в 19.30 msk открытый стрим

Ссылка-приглашение
https://youtu.be/KATyQk2TRis

Пак материалов для участников стрима w2hack summer 2020 (будет доступен 7 дней)
https://transfiles.ru/sty4l

Password: tsrmcm

#info

Друзья, если у кого то не открывается запись стрима по выше приведенной ссылке на YouTube, выкладываю полную версию рекорда с экрана, формат MKV - в Telegram в режиме live не воспроизводится, но точно открывается любым video player

#info

В темы ИТЗИ (ТЗКИ) перед вами Многофункциональной поисковый комплекс "ST-031" Пиранья, мобильный вариант, версия середины 2000-х.

Такой вот аппарат я изучал еще учась в универе, девайс на для слабых)))

Кто почем "что это" и "зачем" ставим лайк))

Для тех у кого нет много свободного времени, но кто желает оставаться на пике событий ИБ ниже подборка самых значимых на мой взгляд ресурсов для быстрого ревью происходящего мире

Дайджест информационной безопасности от R-Vision
https://rvision.pro/blog-posts/blog-posts-digest-166/#

Подборка самых горячих, скандальных и сочных новостей от редакции ][
https://xakep.ru/?s=MegaNews

Все новости ИБ значимые для бизнеса от РБК
https://www.rbc.ru/tags/?tag=информационная+безопасность

Хаб "ИБ" с Хабра, можно подписаться на рассылку годных новостей
https://habr.com/ru/hub/infosecurity/

Сшивка новостей ИБ под заголовком «Security Week» от Kaspersky Lab
https://habr.com/ru/company/kaspersky/

Все новости ИБ от портала "Anti-malware"
https://www.anti-malware.ru/news

100% только секурная подборка от экспертов Kaspersky Lab
https://securelist.ru/

#analytics

Микро сборка статей и полезняшек для аудиторов ИБ

Неплохой варик автоматизации рутинных задач автоматизации аудита ИБ под Windows в корпоративном домене
https://habr.com/ru/company/galssoftware/blog/447512/

Набор технических бенчмарков (тестов) безопасности под все самые известные платформы, системы, сервисы и ключевые компоненты инфраструктуры от CIS Security
https://www.cisecurity.org/cis-benchmarks/

А тут набор контролей все от тех же CIS Security
https://learn.cisecurity.org/cis-controls-download

Набор бесплатных открытых тулзов\фреймворков и практик технического аудита OpenSCAP tools (Security compliance и Vulnerability assessment)
http://open-scap.org/tools/

#tricks #audit

Ну, и ценим тенденции развитии отрасли ИБ в РФ - чего ждать, какие новые требования будут выставлены, кто «попадет» и к чему готовиться. Главные драйверы изменений – мегарегулятор ЦБ РФ, святой ФСТЭК и госики во главе с ̶з̶а̶е̶б̶а̶н̶ы̶м̶ ̶̶К̶ГБ̶-̶ш̶н̶и̶к̶о̶м̶ царем бессмертным

Основные направления развития информационной безопасности кредитно-финансовой сферы на период 2019–2021 годов
https://www.cbr.ru/Content/Document/File/83253/onrib_2021.pdf

Новости по теме ИБ от ЦБ РФ
https://www.cbr.ru/information_security/news/

Новые и ранее выпущенные доки по регулированию ИБ от ЦБ РФ
https://www.cbr.ru/information_security/acts/

Аналитика фрода, хакерских атак от ЦБ РФ
https://www.cbr.ru/information_security/analitics/

Проекты нормативных актов Банка России
https://www.cbr.ru/project_na/

#analytics

Друзья, вот вам плейлисты бодрых конференций – нормальные люди, занимающиеся делом, говорят полезные вещи, реально много можно узнать как по теме разработки ПО так и инфраструктурной (DevOps, Cloud) и продуктовой безопасности (Software, Microservices). В отличи от псевдо ху@@х конференций и форумов типо SoC Forum и ̶Х̶@̶й̶И̶Б̶ Код ИБ нет пердежа старперов, дичи и катания ваты

DevOpsConf 2019
https://www.youtube.com/watch?v=-R6NbVQUdww&list=PLrFmwYyxJyVNw7x2aJVy5cCoV2tkll0Y5

Лучшие доклады DevOpsConf 2019 (РИТ++)
https://www.youtube.com/watch?v=bliHtExObHg&list=PLrFmwYyxJyVObonVl9JpyxrmUtCMnCnBl

Лучшие доклады DevOpsConf Russia 2018
https://www.youtube.com/watch?v=kOPXEOZ7vgw&list=PLrFmwYyxJyVODA8Reou9HuCGIs8Alfvwg

Лучшие доклады RootConf 2018 (РИТ++)
https://www.youtube.com/watch?v=9zB1eytkgYY&list=PLrFmwYyxJyVMYKTnLYWbC-9_BvsF4K39q

Security Compliance & DevOps
https://www.youtube.com/playlist?list=PLUpE7k7er9GVAGzjZUKeIDjdJROdbtUtu

#SecDevOps #SSDLC

[ПРОДОЛЖЕНИЕ ПРЕДЫДУЩЕГО ПОСТА]

Лучшие доклады HighLoad++ 2019
https://www.youtube.com/playlist?list=PLH-XmS0lSi_wvGzuuGw2f6rQQe3qB5fV4

Профессиональная конференция HighLoad++ 2019
https://www.youtube.com/playlist?list=PLH-XmS0lSi_zTZrols83QSxI3Q96dSbBm

HighLoad++ Moscow 2018
https://www.youtube.com/playlist?list=PLH-XmS0lSi_wRIh4RJjnTGMKaTiQoaGTc

РИТ++ 2019
https://www.youtube.com/playlist?list=PLH-XmS0lSi_yVB6gNPkgA_ziD70q_8JFC

РИТ++2018
https://www.youtube.com/playlist?list=PLH-XmS0lSi_xHPmiMdgH9uSW9vBK1yP1A

РИТ++ 2017
https://www.youtube.com/playlist?list=PLH-XmS0lSi_ypiqUoKq1eTsh4JvMV_URG

#SecDevOps #SSDLC

Руководство по реагированию на инциденты информационной безопасности от ЛК.

Написано годно - пойдет для составления регламента, обучения сотрудников (в тексте есть примеры, картинки) и описание технических работ по сбору артефактов (типо первичных навыков форензики своими силами)

Друзья, кто тянет лямку обеспечения ИБ в гос органах или работает в интеграторах по теме разработки ПОИБ для гос корпораций, ФОИВ или иных гос подрядчиках уже знаете, что без разработки документации (ГОСТ 34 и иже с ним) не обойтись. Ниже инфа по использованию методы моделирования угроз ИБ от ФСТЭК. И кстати, док весьма не плохой, линкованы куски из мировых best practices и базы MITRE

Как я моделировал угрозы по проекту новой методики ФСТЭК от А.Лукацкого

[часть 1] https://lukatsky.blogspot.com/2020/04/1.html

[часть 2] https://lukatsky.blogspot.com/2020/04/2.html

[часть 3] https://lukatsky.blogspot.com/2020/04/3.html

[часть 4] https://lukatsky.blogspot.com/2020/04/4.html

[часть 5] https://lukatsky.blogspot.com/2020/04/5.html

[часть 6] https://lukatsky.blogspot.com/2020/04/6.html

Доп материалы других блогеров:

(+) https://sborisov.blogspot.com/2020/04/blog-post_14.html
(+) https://shudrova.blogspot.com/2020/04/blog-post_16.html

#docs

Немного советов, гайдов и тулз для безопасности ИТ-инфраструктуры в AWS

101 AWS Security Tips & Quotes - 101 совет и рекомендация по усилению безопасности AWS

[часть 1] https://www.threatstack.com/blog/101-aws-security-tips-quotes-part-1-essential-security-practices
[часть 2] https://www.threatstack.com/blog/101-aws-security-tips-quotes-part-2-securing-your-aws-environment
[часть 3] https://www.threatstack.com/blog/101-aws-security-tips-quotes-part-3-best-practices-for-using-security-groups-in-aws
[часть 4] https://www.threatstack.com/blog/101-aws-security-tips-quotes-part-4-best-aws-security-practices

Список тулзов (в том числе open sources) для усиления защиты или аудита безопасности
https://github.com/toniblyx/my-arsenal-of-aws-security-tools

Сборка "всего-всего" по безопасности для AWS
https://github.com/jassics/awesome-aws-security

Collection of noscripts and resources for DevSecOps
https://github.com/awslabs/aws-security-automation

#SecDevOps #SSDLC

[ПРОДОЛЖЕНИЕ ПРЕДЫДУЩЕГО ПОСТА]

AWS Security Best Practices - книга от вендора и листинг
https://d1.awsstatic.com/whitepapers/Security/AWS_Security_Best_Practices.pdf
https://www.secframe.com/blog/aws-security

CIS Amazon Web Services Foundations Benchmark 1.1
https://github.com/awslabs/aws-security-benchmark

Awesome AWS Security
https://github.com/coffeewithayman/awesome-aws-security

#SecDevOps #SSDLC

Други, мне иногда подгоняют интересные секурыне ресурсы на оценку. Вот один из таких, блог SPYSE https://spyse.com/blog, инфа для пен-тестеров, язык английский. Блог от коммерческой конторы, для дискавери багов и атак юзают свой софт, но в качестве статей пишут не плохие вещи, к примеру, как найти в сети и похакать CVE-шку.

Тут на ElasticSearch https://bit.ly/2ZDwXby, а тут CVE-2019-3396 в Atlassian Confluence Server https://bit.ly/3jghS7I.

Ну, и кстати, предлагают проверить все это на FREE версии своего сервиса. Сам не юзал, ничего говорить не буду.

Любую работу (проект, действие с результатом) можно сделать «Быстро», «Качественно» , «Дорого», из этого набора опций можно выбрать только сочетание из двух вариантов, все три разом – это сказка.

Данное правило (утверждение) справедливо как для работы так и для учебы так и для каких-либо иных активностей имеющих ограничения – время, бюджет, качество (результативность). Данный подход, к примеру, у адекватных людей используется со стороны работодателя («квалификация + опыт = профессионал, классный спец = дорого», «джуниор? – дешево + качество = опыт в процессе, т.е. долго» и т.д.) так и для работника («быстро и даром? = халтура», «быстро и качественно = дорого», «дешево и качественно? = долго»)

По многочисленным просьбам... смотрите сами, делайте выводы

Интервью с Senior Java Developer - все о Java, как войти в IT после 30
https://www.youtube.com/watch?time_continue=3266&v=iM445BnBhpw&feature=emb_logo

Все об iOS-разработке - Интервью с Senior iOS Developer
https://www.youtube.com/watch?time_continue=2&v=pScCFWWHEbg&feature=emb_logo

Как стать программистом в Северной Америке - какая зарплата у программистов, собеседования
https://www.youtube.com/watch?v=CNQXiP1ZumQ

Байки про Кибербезопасность с Марией Прохоровой
https://www.youtube.com/watch?v=DzZm27UOOkk

Какие бывают направления в программировании?
https://www.youtube.com/watch?v=4XKrlOh3Iek

Docker, непрерывная интеграция и плоская земля. Интервью с DevOps Engineer
https://www.youtube.com/watch?v=nrr4IwOVhZk

Проходим собеседование на junior frontend developer
https://www.youtube.com/watch?v=vQpwGDrIFdI

Карьера в IT: кто такой DevOps инженер
https://www.youtube.com/watch?v=P9Y-qZUXVGk

#job #analytics

Братья, пен-тестеры, особенно кто смотрит в сторону web, и еще не юзал, OWASP Juice Shop очень хороший стенд для прокачки собственных навыков по всем чекам из OWASP Top10 созданный одноименным комьюнити. От простого к сложному, от заданий «на минутку» до больших с подключением Burp Suite и других инструментов. Вообщем, дело довольно занимательное)) обязательно посмотрите если хотите качнуть скиллы по безопасности веба!

Описание стенда от самого OWASP
https://owasp.org/www-project-juice-shop/

How to по установке и запуску на своем хосте
https://github.com/bkimminich/juice-shop

Онлайн версия стенда
https://juice-shop.herokuapp.com/

На всякий случай зеркало на Source Forge
https://sourceforge.net/projects/juice-shop/

Хинты и шпаргалки
https://pwning.owasp-juice.shop/appendix/solutions.html

Обзор стенда от 2018 года
https://bit.ly/30Gvil0

Онлайн версия бука Pwning OWASP Juice Shop (Written by Björn Kimminich)
https://bkimminich.gitbooks.io/pwning-owasp-juice-shop/content/

#web #pentest #kali #linux