Немного советов, гайдов и тулз для безопасности ИТ-инфраструктуры в AWS

101 AWS Security Tips & Quotes - 101 совет и рекомендация по усилению безопасности AWS

[часть 1] https://www.threatstack.com/blog/101-aws-security-tips-quotes-part-1-essential-security-practices
[часть 2] https://www.threatstack.com/blog/101-aws-security-tips-quotes-part-2-securing-your-aws-environment
[часть 3] https://www.threatstack.com/blog/101-aws-security-tips-quotes-part-3-best-practices-for-using-security-groups-in-aws
[часть 4] https://www.threatstack.com/blog/101-aws-security-tips-quotes-part-4-best-aws-security-practices

Список тулзов (в том числе open sources) для усиления защиты или аудита безопасности
https://github.com/toniblyx/my-arsenal-of-aws-security-tools

Сборка "всего-всего" по безопасности для AWS
https://github.com/jassics/awesome-aws-security

Collection of noscripts and resources for DevSecOps
https://github.com/awslabs/aws-security-automation

#SecDevOps #SSDLC

[ПРОДОЛЖЕНИЕ ПРЕДЫДУЩЕГО ПОСТА]

AWS Security Best Practices - книга от вендора и листинг
https://d1.awsstatic.com/whitepapers/Security/AWS_Security_Best_Practices.pdf
https://www.secframe.com/blog/aws-security

CIS Amazon Web Services Foundations Benchmark 1.1
https://github.com/awslabs/aws-security-benchmark

Awesome AWS Security
https://github.com/coffeewithayman/awesome-aws-security

#SecDevOps #SSDLC

Други, мне иногда подгоняют интересные секурыне ресурсы на оценку. Вот один из таких, блог SPYSE https://spyse.com/blog, инфа для пен-тестеров, язык английский. Блог от коммерческой конторы, для дискавери багов и атак юзают свой софт, но в качестве статей пишут не плохие вещи, к примеру, как найти в сети и похакать CVE-шку.

Тут на ElasticSearch https://bit.ly/2ZDwXby, а тут CVE-2019-3396 в Atlassian Confluence Server https://bit.ly/3jghS7I.

Ну, и кстати, предлагают проверить все это на FREE версии своего сервиса. Сам не юзал, ничего говорить не буду.

Любую работу (проект, действие с результатом) можно сделать «Быстро», «Качественно» , «Дорого», из этого набора опций можно выбрать только сочетание из двух вариантов, все три разом – это сказка.

Данное правило (утверждение) справедливо как для работы так и для учебы так и для каких-либо иных активностей имеющих ограничения – время, бюджет, качество (результативность). Данный подход, к примеру, у адекватных людей используется со стороны работодателя («квалификация + опыт = профессионал, классный спец = дорого», «джуниор? – дешево + качество = опыт в процессе, т.е. долго» и т.д.) так и для работника («быстро и даром? = халтура», «быстро и качественно = дорого», «дешево и качественно? = долго»)

По многочисленным просьбам... смотрите сами, делайте выводы

Интервью с Senior Java Developer - все о Java, как войти в IT после 30
https://www.youtube.com/watch?time_continue=3266&v=iM445BnBhpw&feature=emb_logo

Все об iOS-разработке - Интервью с Senior iOS Developer
https://www.youtube.com/watch?time_continue=2&v=pScCFWWHEbg&feature=emb_logo

Как стать программистом в Северной Америке - какая зарплата у программистов, собеседования
https://www.youtube.com/watch?v=CNQXiP1ZumQ

Байки про Кибербезопасность с Марией Прохоровой
https://www.youtube.com/watch?v=DzZm27UOOkk

Какие бывают направления в программировании?
https://www.youtube.com/watch?v=4XKrlOh3Iek

Docker, непрерывная интеграция и плоская земля. Интервью с DevOps Engineer
https://www.youtube.com/watch?v=nrr4IwOVhZk

Проходим собеседование на junior frontend developer
https://www.youtube.com/watch?v=vQpwGDrIFdI

Карьера в IT: кто такой DevOps инженер
https://www.youtube.com/watch?v=P9Y-qZUXVGk

#job #analytics

Братья, пен-тестеры, особенно кто смотрит в сторону web, и еще не юзал, OWASP Juice Shop очень хороший стенд для прокачки собственных навыков по всем чекам из OWASP Top10 созданный одноименным комьюнити. От простого к сложному, от заданий «на минутку» до больших с подключением Burp Suite и других инструментов. Вообщем, дело довольно занимательное)) обязательно посмотрите если хотите качнуть скиллы по безопасности веба!

Описание стенда от самого OWASP
https://owasp.org/www-project-juice-shop/

How to по установке и запуску на своем хосте
https://github.com/bkimminich/juice-shop

Онлайн версия стенда
https://juice-shop.herokuapp.com/

На всякий случай зеркало на Source Forge
https://sourceforge.net/projects/juice-shop/

Хинты и шпаргалки
https://pwning.owasp-juice.shop/appendix/solutions.html

Обзор стенда от 2018 года
https://bit.ly/30Gvil0

Онлайн версия бука Pwning OWASP Juice Shop (Written by Björn Kimminich)
https://bkimminich.gitbooks.io/pwning-owasp-juice-shop/content/

#web #pentest #kali #linux

И набор видео с прохождением заданий How to hack OWASP Juice Shop - A Guided Walkthrough showing all Solutions
https://www.youtube.com/playlist?list=PL8j1j35M7wtKXpTBE6V1RlN_pBZ4StKZw

#web #pentest #kali #linux

PDF-версия гайда по прохождению стенда OWASP Juice Shop

Ребят, пост для совсем новичков, строго только из-за ваших пожеланий - небольшой сбор линков с советами как учить английский для ИТ-отрасли. Понятное дело за пару статей язык не освоить, но набрать две или три сотни самым ходовых терминов и аббревиатур будет очень кстати! Чисто ИБ-шных словарей или статей с описанием темы я не встречал, по крайней мере на русском, но большинство терминов и спец слов общие на всех поэтому берите в работу!

Сленг, который должен знать каждый кодер
https://ravesli.com/slovar-programmista-sleng-kotoryj-dolzhen-znat-kazhdyj-koder/

Английский для IT. Как учиться программисту + 79 ресурсов
https://englex.ru/english-for-it-specialists/

Мини-словарь профессиоального сленга для начинающих разработчиков
https://ru.hexlet.io/blog/posts/ponimaem-sleng-programmistov-mini-slovar-dlya-nachinayuschih-razrabotchikov

Английский для программирования
http://www.itmathrepetitor.ru/anglijjskie-slova-dlya-programmista/

#English #ediucation

[ПРОДОЛЖЕНИЕ ПРЕДУДЫЩЕГО ПОСТА]

Англо-русский словарь компьютерных терминов
https://computer-eng.slovaronline.com/

Технический английский для IT: словари, учебники, журналы
https://corp.lingualeo.com/ru/2017/09/13/tehnicheskiy-angliyskiy-dlya-it/

Ну, а кому вдруг будет интересно узнать лайфхаки, фишки, секрет панчи и методу по которой занимался я что бы освоить общий и технический английский - пишите, сделаем стрим)

#English #ediucation

DevSecOps / SSDLC - норм канал, в котором публикуются материалы о выстраивании безопасного DevOps и разработке безопасного ПО
https://news.1rj.ru/str/sec_devops

Мини сборник различных python и bash скриптов для пен-тестеров и спецов ИБ занимающихся прикладной безопасностью

Blackhat USA 2020 - одно из самых значимых событий в индустрии. Топовые доклады, тренды, лютые спикеры.

В виду ограничений введенных из-за Covid-19 эвент проводится онлайн, часть треков открыта к бесплатному просмотру

Ценим
https://www.blackhat.com/us-20/

#education

Друзья, нахожусь в отпуске, весьма ограничен по связи и в виду этого посты будут редкие. В сентябре вас ожидают обновления - расчехлю остатки своего загашника, запущу серию видео подкастов, дам подсказки для тех кто готов поработать за пределами РФ, ну, и конечно же, для вас всегда самые топовые и интересные новости, аналитика, тулзы, self development материалы и новости индустрии.

Не скучаем, забираем от каждого дня все, до конца лета не так много остается. Огромный привет Иркутску, регион 38 всегда помню!

Спасибо всем и каждому отдельно за то что остаетесь с @w2hack, за то что не безразличны и делаете свой вклад в cyber security!

#info

Друзья, для вас подгон забугорных каналов со сливами и бесплатными раздачами ништяков – от книг до обучающих курсов, специализированного софта и материалов, которые крайне редко попадают в русскоязычные комьюнити, мои личные закладки

@Learn_Hacking_Skills- B̾e̾g̾i̾n̾n̾e̾r̾ a̾n̾d̾ A̾d̾v̾a̾n̾c̾e̾ m̾e̾t̾h̾o̾d̾s̾ f̾o̾r̾ h̾a̾c̾k̾i̾n̾g̾

@technomeetz - Smile Hacker as knowledge, hacking pdfs, video courses, Udmay courses, premium accounts free Bin's, CC information

@Hackersinfo - Hacker's Info™BEST TRICKS

@RalfHackerChannel - by Ralf for Hack and Freedom

@infosec1 - ᴛʜɪs group ɪs ᴀʟʟ ᴀʙᴏᴜᴛ Cʏʙᴇʀ Sᴇᴄᴜʀɪᴛʏ, Penetration test, Eᴛʜɪᴄᴀʟ Hᴀᴄᴋɪɴɢ, Tᴇᴄʜ Fᴀᴄᴛꜱ, Red team, Malware Analysis, Incident response, Reverse Engineering, Bug Bounty

@courses_leaks - Courses ❤️ Leaks

#celebrety

Друзья, как обещал, расчехляю свой загашник, в этом посте некоторые тулзы, что приходилось юзать, все open sources, где-то нужно допиливать, кастомизировать, у кого есть коммерческие решения это будет не интересно, но для молодых стартапов вполне сгодится на первых порах

[=========== GITLAB ===========]

Secret Detection in your GitLab repo
https://docs.gitlab.com/ee/user/application_security/secret_detection/

Gitleaks – How to Audit git repository for secrets
https://computingforgeeks.com/gitleaks-audit-git-repos-for-secrets/

DevAudit - Open-source, Cross-Platform, Multi-Purpose Security Auditing Tool
https://www.kitploit.com/2018/12/devaudit-open-source-cross-platform.html

#SecDevOps #audit

[=========== GOOGLE CLOUD PLATFORM ===========]

Gcp Audit - A tool for auditing security properties of GCP projects
https://awesomeopensource.com/project/spotify/gcp-audit
https://github.com/spotify/gcp-audit

GCP Firewall Enforcer - A toolbox to enforce firewall rules across multiple GCP projects
https://github.com/spotify/gcp-firewall-enforcer

Hayat - Auditing & Hardening Script For Google Cloud Platform
https://www.kitploit.com/2018/12/hayat-auditing-hardening-noscript-for.html

#SecDevOps #audit

Для обеспечения безопасности проектов (OWASP TOP10) которые располагаются в облаке на базе Google Cloud Platform юзаем нативную тулзу под названием Google Cloud Security Scanner - is a web application security scanner that enables developers to easily check for a subset of common web application vulnerabilities in websites built on App Engine and Compute Engine

Нативная инфа о сканере безопасности от самой Google
https://cloud.google.com/security-command-center/docs/concepts-web-security-scanner-overview

Параметры сканирования и опции
https://www.digitalmarketplace.service.gov.uk/g-cloud/services/969258395913794

Краткое "How To" руководство по настройке и запуску сканера из CLI
https://medium.com/@prithishghosh/how-to-start-cloud-security-scanner-google-cloud-platform-e51c81ab12cb

#SecDevOps #hacktools