Цепочки поставок
Я уже несколько раз упоминал в канале странную штуку под названием Supply Chain или цепочка поставок (например, тут или здесь). Собственно, настало времянемного подушнить разобраться в том, что же это такое. Вдыхаем и погнали.
Лично у меня, когда я только столкнулся с этим термином и типом атак, возникли трудности с осознанием самой концепции цепочки поставок (да, я не самый одаренный безопасник), поэтому я попытаюсь разобрать то, как это работает, максимально просто и "на пальцах".
Весь мир давно осознал, что создавать что-то с нуля и своими силами очень сложно и затратно. Именно поэтому вы покупаете автомобили, а не собираете их у себя в гараже, конечно же если вы не Доминик Тореттоили владелец авто VAG-группы. По той же причине многие разработчики не пишут код с нуля, а переиспользуют уже готовые библиотеки и прочие компоненты, которые за них уже кто-то когда-то создал. Многие компании точно также не делают с нуля свои базы данных или какие-то сервисы, которые можно легко купить на рынке и поставить себе, особенно, если у сотрудников уже есть опыт работы с ними.
Ну а теперь пример. Представьте, что есть на рынке компания "Борщемания", которая готовит очень вкусные борщи, которые можно заказать прямо себе на дом. А теперь представьте себе очень плохих ребят, которые задумали напакостить жильцам какого-то конкретного района, например, того, куда доставляет наша "Борщемания". Что им нужно сделать? Все верно, что-то подмешать в блюда, которые готовятся на кухне этой компании. Звучит просто, но реализовать сложно – компания заботится о своей безопасности, поэтому на кухню посторонних не пускают, везде стоят камеры, а продукты заказываются у одних и тех же проверенных поставщиков. Заметили слабость? Поставщики. Если плохие ребята смогут выяснить, у кого "Борщемания" закупает морковку или специи, то можно будет атаковать цели уже через них – поставщики то давно проверены.
По итогу мы имеем полноценную атаку на цепочку поставок: злоумышленники находят самое слабое и легкодоступное звено, например, поставщика специй. Подсыпают в эти специи, которые они поставляют разным компаниям, что-то плохое, например, слабительное. Ну а дальше уже дело техники – партиязараженного испорченного товара уходит в "Борщеманию", там их добавляют в блюда во время готовки, а потом курьеры развозят то, что получилось по своим клиентам, которые ничего не подозревают. В итоге, проблема может коснуться еще и коммунальщиков. Более того, задеть может еще и побочные цели, которые также купили те самые специи у нашего поставщика.
Вот примерно так и работает атака на цепочки поставок, только в мире кибербезопасности и IT это касается уже не специй, а коробочного ПО, библиотек, образов и прочих компонентов, которые кто-то решает не писать с нуля своими силами, а купить уже готовое. Ну а заражается это всё не слабительным, а вредоносным кодом, например. В итоге взлому подвергаются все клиенты и потребители такого испорченного ПО или его компонентов.
Да, это уже не самый актуальный тип атак – шумиха вокруг него отгремела несколько лет назад, но мир все еще не научился полноценно защищаться от подобных угроз. Если в случае с компаниями, мобильными приложениями или чем-то виртуальным атака на цепочки поставок не кажется особо опасной, то представьте себе реализацию этой атаки на чем-то физическом и связанным с обыденной жизнью.
Напоминаю, что мы все еще пользуемся мобильными телефонами и автомобилями, внутри которых может быть что-угодно. Человечество все еще пытается нацепить на себя всё больше сложной техники по типу VR-очков, а некоторые уже сейчас готовы и хотят попробовать тот самый Neuralink от Илоны Маска. А что насчет людей, которым просто необходимо жить с микроэлектроникой внутри своего организма – с теми же кардиостимуляторами? В общем, есть о чем подумать на досуге.
Ну а для тех, кто уже знал, что такое Supply Chain Attack и прекрасно понимает его опасность, держите интересный факт, чтобы не зря время потратили: глаз страуса больше, чем его мозг.
🔒 Пакет Безопасности | 💬 Чат | ⚡ Другие каналы
Я уже несколько раз упоминал в канале странную штуку под названием Supply Chain или цепочка поставок (например, тут или здесь). Собственно, настало время
Лично у меня, когда я только столкнулся с этим термином и типом атак, возникли трудности с осознанием самой концепции цепочки поставок (да, я не самый одаренный безопасник), поэтому я попытаюсь разобрать то, как это работает, максимально просто и "на пальцах".
Весь мир давно осознал, что создавать что-то с нуля и своими силами очень сложно и затратно. Именно поэтому вы покупаете автомобили, а не собираете их у себя в гараже, конечно же если вы не Доминик Торетто
Ну а теперь пример. Представьте, что есть на рынке компания "Борщемания", которая готовит очень вкусные борщи, которые можно заказать прямо себе на дом. А теперь представьте себе очень плохих ребят, которые задумали напакостить жильцам какого-то конкретного района, например, того, куда доставляет наша "Борщемания". Что им нужно сделать? Все верно, что-то подмешать в блюда, которые готовятся на кухне этой компании. Звучит просто, но реализовать сложно – компания заботится о своей безопасности, поэтому на кухню посторонних не пускают, везде стоят камеры, а продукты заказываются у одних и тех же проверенных поставщиков. Заметили слабость? Поставщики. Если плохие ребята смогут выяснить, у кого "Борщемания" закупает морковку или специи, то можно будет атаковать цели уже через них – поставщики то давно проверены.
По итогу мы имеем полноценную атаку на цепочку поставок: злоумышленники находят самое слабое и легкодоступное звено, например, поставщика специй. Подсыпают в эти специи, которые они поставляют разным компаниям, что-то плохое, например, слабительное. Ну а дальше уже дело техники – партия
Вот примерно так и работает атака на цепочки поставок, только в мире кибербезопасности и IT это касается уже не специй, а коробочного ПО, библиотек, образов и прочих компонентов, которые кто-то решает не писать с нуля своими силами, а купить уже готовое. Ну а заражается это всё не слабительным, а вредоносным кодом, например. В итоге взлому подвергаются все клиенты и потребители такого испорченного ПО или его компонентов.
Да, это уже не самый актуальный тип атак – шумиха вокруг него отгремела несколько лет назад, но мир все еще не научился полноценно защищаться от подобных угроз. Если в случае с компаниями, мобильными приложениями или чем-то виртуальным атака на цепочки поставок не кажется особо опасной, то представьте себе реализацию этой атаки на чем-то физическом и связанным с обыденной жизнью.
Напоминаю, что мы все еще пользуемся мобильными телефонами и автомобилями, внутри которых может быть что-угодно. Человечество все еще пытается нацепить на себя всё больше сложной техники по типу VR-очков, а некоторые уже сейчас готовы и хотят попробовать тот самый Neuralink от Илоны Маска. А что насчет людей, которым просто необходимо жить с микроэлектроникой внутри своего организма – с теми же кардиостимуляторами? В общем, есть о чем подумать на досуге.
Ну а для тех, кто уже знал, что такое Supply Chain Attack и прекрасно понимает его опасность, держите интересный факт, чтобы не зря время потратили: глаз страуса больше, чем его мозг.
Please open Telegram to view this post
VIEW IN TELEGRAM
❤30🔥18👍9😁5👏2
Держу в курсе
Похоже, что я переоценил свои силы и человеческий ресурс, поэтому решил пока прикрыть лавочку с менторством кибербезопасников на время. Повышение цен не помогло снизить спрос, поэтому настало время притормозить. Думаю, что где-то до февраля (но это не точно). Часовые консультации пока оставляю, поэтому вэлкам.
И да, я всё еще получаю от этого искреннее удовольствие, особенно, когда со стороны менти достаточно огня и осознанности; особенно, когда есть конкретные и реалистичные цели; особенно, когда по итогу мы доходим до желаемого результата в виде оффера или решения какой-то большой проблемы.
Почему пишу об этом тут? Да потому что отсюда и приходит большинство людей, которые хотят решить свою карьерную проблему, попробовать кибербез на вкус или ухватить себе сладкий оффер на рынке.
А еще, я тут осознал, что пропустил через себя уже десятки людей, и у меня накопилось огромное количество лайфхаков, связанных с обучением, полезных приёмов и граблей, о которых лучше узнать заранее. Поэтому, если вам такое интересно, то понатыкайте каких-нибудь реакций под постом, а я пока подумаю, в каком виде это всё можно описать.
P.S.Мог бы сделать предновогодние скидки, набрать много учеников и озолотиться, но закрыл менторство. Просчитался, но где... 🤷♀️
Всем мир.
🔒 Пакет Безопасности | 💬 Чат | ⚡ Другие каналы
Похоже, что я переоценил свои силы и человеческий ресурс, поэтому решил пока прикрыть лавочку с менторством кибербезопасников на время. Повышение цен не помогло снизить спрос, поэтому настало время притормозить. Думаю, что где-то до февраля (но это не точно). Часовые консультации пока оставляю, поэтому вэлкам.
И да, я всё еще получаю от этого искреннее удовольствие, особенно, когда со стороны менти достаточно огня и осознанности; особенно, когда есть конкретные и реалистичные цели; особенно, когда по итогу мы доходим до желаемого результата в виде оффера или решения какой-то большой проблемы.
Почему пишу об этом тут? Да потому что отсюда и приходит большинство людей, которые хотят решить свою карьерную проблему, попробовать кибербез на вкус или ухватить себе сладкий оффер на рынке.
А еще, я тут осознал, что пропустил через себя уже десятки людей, и у меня накопилось огромное количество лайфхаков, связанных с обучением, полезных приёмов и граблей, о которых лучше узнать заранее. Поэтому, если вам такое интересно, то понатыкайте каких-нибудь реакций под постом, а я пока подумаю, в каком виде это всё можно описать.
P.S.
Всем мир.
Please open Telegram to view this post
VIEW IN TELEGRAM
Security Notion on Notion
Менторство в ИБ | Notion
Зачем тебе менторство и почему я?
17❤57👍37🫡13🔥8😁3🙏3😭1🤝1
Ну что, все готовы к Новому году и воскресному дайджесту? 👀
Времени готовиться уже особо нет, поэтому погнали к самому важному за эту неделю:
⚡ Что? правильно, кибермем – ссылка
⚡ Мини-разбор предновогодней мошеннической схемы на маркетплейсах – ссылка
⚡ На пальцах 🖐 пытаемся понять, кто такой, этот ваш Supply Chain и как не отравиться на праздниках – ссылка
⚡ Трустори про менторство в ИБ – ссылка
❤ В Пакете Знаний вышел вкусный пост про базу, которая нужна каждому кибербезопаснику – ссылка
❤ В Пакете Вакансий можно найти вкусное предложение от одного из сильных игроков рынка геймдева – ссылка
❤ А еще хочется сказать отдельное спасибо тем компаниям и людям из них, которые не забывают про микроблогеров и дарят новогодние подарки (сфотографировать не успел, да) – в частности, ребятам из Индид ⬜️ и RED Security ❤️
Следующая неделя обещает быть непредсказуемой, поэтому я решил, что наш с вами канал должен стать островком спокойствия, а я не буду вас нагружать тяжелым или сложным кибербезопасным контентом – только попкорн для вашего мозга: мемы, подведение итогов, простые посты и вот это вот всё.
Всем мир.
Времени готовиться уже особо нет, поэтому погнали к самому важному за эту неделю:
Следующая неделя обещает быть непредсказуемой, поэтому я решил, что наш с вами канал должен стать островком спокойствия, а я не буду вас нагружать тяжелым или сложным кибербезопасным контентом – только попкорн для вашего мозга: мемы, подведение итогов, простые посты и вот это вот всё.
Всем мир.
Please open Telegram to view this post
VIEW IN TELEGRAM
❤26👍9🎄9☃7💘2
Please open Telegram to view this post
VIEW IN TELEGRAM
😁49❤5💯4😈3👾2👍1
Небольшие подарочки
Я тут решил под конец года покосплеить Деда Мороза и подготовил для постоянных рекламодателей (тех, кто покупает у нас в канале рекламу) и друзей канала небольшие новогодние подарочки. Так вот, у меня осталось несколько штучек и для вас, так что давайте их как-то разыграем.
Опыт с рандомными конкурсами мне не очень понравился, потому давайте сделаем это через следующую механику – вы пишете кибербезопасные новогодние поздравления в комментариях, а я выбираю лучшие из них и рассылаю их авторам те самые подарки.
Можно смешно, можно креативно, можно жизненно – критериев нет. Подарки отправлю скорее всего уже в следующем году, поэтому у вас есть шанс продлить себе праздники.
Ну погнали👇
🔒 Пакет Безопасности | 💬 Чат | ⚡ Другие каналы
Я тут решил под конец года покосплеить Деда Мороза и подготовил для постоянных рекламодателей (тех, кто покупает у нас в канале рекламу) и друзей канала небольшие новогодние подарочки. Так вот, у меня осталось несколько штучек и для вас, так что давайте их как-то разыграем.
Опыт с рандомными конкурсами мне не очень понравился, потому давайте сделаем это через следующую механику – вы пишете кибербезопасные новогодние поздравления в комментариях, а я выбираю лучшие из них и рассылаю их авторам те самые подарки.
Можно смешно, можно креативно, можно жизненно – критериев нет. Подарки отправлю скорее всего уже в следующем году, поэтому у вас есть шанс продлить себе праздники.
Ну погнали
Please open Telegram to view this post
VIEW IN TELEGRAM
❤26👍10🔥6🎄6😍2
Ну что, все помнят жвачку "Love is..." с её крутыми милыми карточками внутри? Значит ловите подгон от меня на тему кибергигиены. Хоть печатайте и на стену в офисе вешайте – дарю 👍
#Кибергигиена #КиберМем
🔒 Пакет Безопасности | 💬 Чат | ⚡ Другие каналы
#Кибергигиена #КиберМем
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
👍65❤29🥰14💘4⚡3🤩3🤗3😍2👨💻2
Запасаемся контентом на новогодние
Тут на канале Байки безопасности (в ютубе и вк) вышла вторая серия, которая посвящена итогам года в мире ИБ (кто не смотрел первую с моим участием — велкам).
Во-первых, спасибо за то, что всё это душное добро было подано в легкой манере. Во-вторых, отдельное спасибо за то, что подсветили болячку, связанную с взаимодействием ИБ-решений разных вендоров – как архитектор могу сказать, что дружить между собой целый зоопарк безопасных инструментов – правда очень больно.
В общем, такое мы смотрим.
⚡️ Пакет Безопасности | Чат | 🛍 Другие каналы
Тут на канале Байки безопасности (в ютубе и вк) вышла вторая серия, которая посвящена итогам года в мире ИБ (кто не смотрел первую с моим участием — велкам).
Во-первых, спасибо за то, что всё это душное добро было подано в легкой манере. Во-вторых, отдельное спасибо за то, что подсветили болячку, связанную с взаимодействием ИБ-решений разных вендоров – как архитектор могу сказать, что дружить между собой целый зоопарк безопасных инструментов – правда очень больно.
В общем, такое мы смотрим.
Please open Telegram to view this post
VIEW IN TELEGRAM
👍24❤8⚡5🔥5😁3👨💻1
Итоги года, достижения и всё в этом духе
Сначала берем носовые платки и кулаки, сейчас будут сопли. В первую очередь хочется сказать всем вам, дорогие читатели, спасибо за ваше время и доверие – как по мне, это одни и самых важных ресурсов в наше время. Нас тут уже больше 16 000 человек. Да, не все читают канал, у кого-то он добавлен в давно забытые папки, а у кого-то и вовсе лежит в архиве, но несмотря на это, каждый день посты читают тысячи человек, что крайне много, особенно для такой узкой темы. В общем, нас много, мы крутые, дальше – больше😻
Ну всё, а теперь подведем итоги и сделаем это в гибридном формате – так как канал существует неразрывно со мной, его автором (да, я всё еще сам пишу все посты), то и итоги будут общими.
Что же важного произошло за год😐
✅ Мы выросли больше, чем в 1,5 раза
✅ Было проведено с десяток розыгрышей и конкурсов
✅ Канал стал инфопартнером многих кибербезопасных оффлайн-мероприятий и компаний
✅ Я забрал премию Cyber Media за реализацию лучших практик ИБ в не ИБ-компании
✅ Написал несколько статей и закрыл свой гештальт, дойдя до Forbes
✅ Много выступал, в том числе и не в РФ
✅ Вырастил и продолжаю выращивать другие телеграм-каналы: на свет появились Пакет Вакансий и Пакет Мероприятий, в Пакете Мемов уже больше 7 000 подписчиков, а в Пакете Знаний почти тысяча!
✅ Познакомился с огромным количеством интересных людей из индустрии
✅ Редко упоминаю тут работу, но там тоже было много чего интересного за год: работа с крутой командой, выстраивание реально полезных процессов, разруливание инцидентов, развитие в сторону менеджмента
✅ Ну а еще я наконец-то начал регулярно заниматься спортом и даже ставить свои личные рекорды, что не может не радовать
Что не получилось:
➖ Вырастить основной канал до 20 000 подписчиков
➖ Выпустить свой продукт из сферы кибербезопасности, который будет полезен людям
➖ Начать записывать подкасты и вести ютуб-канал
➖ Сделать свой мерч
➖ Купить себе машину
Ну вот и всё, всем мир и отличных новогодних праздников!
Сначала берем носовые платки и кулаки, сейчас будут сопли. В первую очередь хочется сказать всем вам, дорогие читатели, спасибо за ваше время и доверие – как по мне, это одни и самых важных ресурсов в наше время. Нас тут уже больше 16 000 человек. Да, не все читают канал, у кого-то он добавлен в давно забытые папки, а у кого-то и вовсе лежит в архиве, но несмотря на это, каждый день посты читают тысячи человек, что крайне много, особенно для такой узкой темы. В общем, нас много, мы крутые, дальше – больше
Ну всё, а теперь подведем итоги и сделаем это в гибридном формате – так как канал существует неразрывно со мной, его автором (да, я всё еще сам пишу все посты), то и итоги будут общими.
Что же важного произошло за год
Что не получилось:
Ну вот и всё, всем мир и отличных новогодних праздников!
Please open Telegram to view this post
VIEW IN TELEGRAM
👍44❤17🎄8🔥6⚡4☃4🫡1
Ну что, друзья, Новый год как никогда близок, ёлка наряжена, задачи закрыты, подарки разосланы, кошка накормлена, итоги подведены, так что можно смело расслабляться и смотреть на снег за окном (при его наличии).
Всех поздравляю с наступающим, счастья, здоровья❤️
Ну и ловите напоследок финальный в 2024 году кибермем☝️
Всех поздравляю с наступающим, счастья, здоровья
Ну и ловите напоследок финальный в 2024 году кибермем
Please open Telegram to view this post
VIEW IN TELEGRAM
🎄39❤14☃6
Please open Telegram to view this post
VIEW IN TELEGRAM
😁56🔥16❤6👨💻4👍2🤯1
Планы на 2025 год
Ну всё, 2024 год позади, как и осуждения за повсеместное подведение итогов. А это значит, что настало время задуматься и накинуть планов на уже наступивший год. Такого я вроде еще не делал в этом канале. Опыт это точно интересный, ведь теперь меня будет проще привлечь к ответственности за недостигнутые цели, а такое мы любим. Ну погнали😂
🏳️ Передохнуть и вывести менторство на новый уровень
🏳️ Пересилить себя и наконец-то начать создавать видео-контент (подкасты, дайджесты, разборы резюме и вакансий) для Ютуба, Рутуба и прочих площадок
🏳️ Написать что-то еще интересное на Forbes
🏳️ Вырастить этот канал в 2 раза. Держу в курсе, это практически невыполнимая задача для такой узкой тематики
🏳️ Продолжать растить все остальные свои телеграм-каналы
🏳️ Доделать и выпустить крутой мерч
🏳️ Провести десятки активностей в канале: розыгрыши, конкурсы, коллаборации, прямые эфиры, инфопартнёрства
🏳️ Выступить пару раз на конференциях, но не ради галочки, а только если точно буду уверен в крутости темы и самого мероприятия
🏳️ Возможно завести отдельный канал (да ну сколько можно ) для лайфстайл-контента, но это не точно. Порой хочется поделиться чем-то интересным из жизни или работы, но в Пакете Безопасности это точно будет неуместно
Есть еще куча целей, связанных с семьей, здоровьем, спортом, деньгами, но думаю, что тут мы обойдёмся без подробностей😦
⚡️ Пакет Безопасности | Чат | 🛍 Другие каналы
Ну всё, 2024 год позади, как и осуждения за повсеместное подведение итогов. А это значит, что настало время задуматься и накинуть планов на уже наступивший год. Такого я вроде еще не делал в этом канале. Опыт это точно интересный, ведь теперь меня будет проще привлечь к ответственности за недостигнутые цели, а такое мы любим. Ну погнали
Есть еще куча целей, связанных с семьей, здоровьем, спортом, деньгами, но думаю, что тут мы обойдёмся без подробностей
Please open Telegram to view this post
VIEW IN TELEGRAM
⚡25👍14🤣11❤8🔥4👏3💯1