Очень забавная и легкая статейка по основам MLSecOps. Еще и с визуализацией в виде котов.

Структурированные таблицы, красивые кастомные схемы и даже мини-модель угроз входят в комплектацию.

Так что если вы собирались начать погружаться в эту область кибербеза, то рекомендую почитать – ссылка

#DevSecOps #AI #BaseSecurity

🧠 Твой Пакет Знаний | 👨‍🏫 Менторство ИБ
📂 Другие каналы

Запись стрима

Тема: Безопасность в k8s
Автор: @tembitt

Под конец записи начали появляться странные артефакты, поэтому пришлось вырезать секцию с вопросами и ответами

А вот и ссылки:
- 📹 Youtube
- 📺 VK Video
- 📺 Rutube

Всем еще раз спасибо за то, что зашли послушать и за вашу обратную связь.

🧠 Твой Пакет Знаний | 👨‍🏫 Менторство ИБ
📂 Другие каналы

Механизмы аутентификации для микросервисной архитектуры

"Что такое микросервисы" мы на собеседованиях уже научились отвечать, поэтому такие базовые вопросы встречаются всё реже. Но лично меня все чаще просят рассказать о безопасных и эффективных способах аутентификации между теми самыми микросервисами.

Погнали разбираться. Будет тезисно + я нашел для вас картиночку на просторах ЛинкедИна.

1. API-ключи
◾️ Простые уникальные идентификаторы, назначаемые каждому клиенту или сервису.
◾️ Передаются в заголовке или параметре запроса при каждом обращении.
◾️ Подходят для внутренних сервисов, API с низкими требованиями к безопасности или для предоставления доступа к определённым функциям.
◾️ Легко внедрять и управлять ими.
◾️ Менее безопасны, чем методы на основе токенов. Ключи могут быть легко украдены или скомпрометированы.

2. Базовая аутентификация (Basic Auth)
◾️ Логин и пароль отправляются в заголовке `Authorization` в виде строки, закодированной в base64.
◾️ Простая реализация, но требует использования HTTPS для безопасности.
◾️ Подходит для сценариев с низкими требованиями к защите.
◾️ Широко поддерживается и проста для понимания.
◾️ Уязвима к атакам «человек посередине» без HTTPS.
◾️ Пароли передаются в открытом виде (даже в закодированной форме).

3. JSON Web Tokens (JWT)
◾️ Самостоятельные токены, содержащие информацию о пользователе и параметры (claims) в формате JSON.
◾️ Выдаются сервером аутентификации после успешного входа, затем клиент отправляет их в заголовке `Authorization`.
◾️ Часто используются для статусной аутентификации в микросервисах, едином входе (SSO) и авторизации.
◾️ Без состояния, безопасны, компактны и могут включать дополнительные данные.
◾️ Требуют правильного управления ключами для подписи и проверки.

4. OAuth 2.0
◾️ Фреймворк авторизации, позволяющий сторонним приложениям получать ограниченный доступ к ресурсам от имени пользователя без передачи его учётных данных.
◾️ Использует типы разрешений (authorization code, implicit, client credentials и др.) для получения токенов доступа и токенов обновления.
◾️ Широко применяется для делегированного доступа к API.
◾️ Стандартизированный способ защиты ресурсов без раскрытия паролей.
◾️ Сложен в реализации, требует учёта уязвимостей (например, CSRF).

5. OpenID Connect (OIDC)
◾️ Слой идентификации поверх OAuth 2.0, добавляющий аутентификацию и данные профиля пользователя.
◾️ Использует ID-токен вместе с токеном доступа для подтверждения личности.
◾️ Комбинируется с OAuth 2.0: аутентификация через OIDC, авторизация через OAuth.
◾️ Упрощает аутентификацию благодаря стандартизированному формату.
◾️ Требует интеграции с провайдером OIDC (например, Google, Okta).

6. Mutual TLS (mTLS)
◾️ Клиент и сервер аутентифицируют друг друга с помощью сертификатов X.509.
◾️ Требует центра сертификации (CA) для выпуска и управления сертификатами.
◾️ Идеален для защиты коммуникации между внутренними сервисами или API с высокой секретностью.
◾️ Высокая безопасность за счёт взаимной аутентификации и шифрования.
◾️ Сложнее в настройке и управлении по сравнению с другими методами.

#BaseSecurity #SecArch

🧠 Твой Пакет Знаний | 👨‍🏫 Менторство ИБ
📂 Другие каналы

Три атаки на Цербера

Я так понимаю, вам понравился подобный контент, поэтому ловите анонс следующего стрима с техническим разбором.

В этот раз один из менти по направлению пентест (@Valerka321) расскажет вам про атаки на всеми любимый Kerberos.

🗓 Когда: 26 марта в 19:00 по мск
📍 Где: прямо в этом канале в формате стрима

Берите с собой попкорн и друзей.

#Pentest

🧠 Твой Пакет Знаний | 👨‍🏫 Менторство ИБ
📂 Другие каналы

Стэнфордский курс без регистрации и СМС

Я тут на одной из страниц по стажировке в ИБ заметил в подготовительных материалах курс одного из ведущих мировых университетов. Собственно, делюсь – ссылка

Это курс Стэнфорда по веб-безопасности со всеми материалами, ссылками и презентациями. Я бы не сказал, что там вау как интересно, но и глубоко не всматривался. Для базового уровня точно сойдет.

#BaseSecurity

🧠 Твой Пакет Знаний | 👨‍🏫 Менторство ИБ
📂 Другие каналы

Разведка

Ловите годный сборник ресурсов для OSINTа. Книжки, подкасты, блоги и даже чаты в Телеграм. Есть и картинка, и текст, чтобы удобнее было копировать. Наслаждайтесь.

📖 Книги:

1. OSINT Techniques (10th Edition) - Michael Bazzell
2. Deep Dive - Rae Baker, Maritime SME, Private Inv, CISSP
3. Hunting Cyber Criminals - Vinny Troia, Ph.D.
4. OSINT Methods & Tools - Nihad Hassan & Rami Hijazi
5. We are Bellingcat - Eliot Higgins
6. How to Find Out Anything - Don MacLeod
7. Operator Handbook - Joshua Picolet
8. OSINT: The Art of Collecting Open Information - David Anderson

🎙 Подкасты:

1. Security Now
2. NeedleStack
3. ShadowDragon Podcast
4. The Pivot
5. The OSINT Bunker
6. Layer 8 Podcast
7. The World of Intelligence

📼 Youtube-каналы:

1. David Bombal
2. Authentic8
3. Gary Ruddell
4. Gralhix - Sofia Santos
5. Bendobrown - Benjamin S.
7. Cody Bernardy
8. Social Links
9. OSINT Dojo
10. Forensic OSINT
11. SANS Institute
12. LISA Institute - Seguridad, Inteligencia, Ciberseguridad y Geopolítica
13. IntelCon by GINSEG
14. Manuel Bot - Manuel Travezaño
15. Alvaro Chirou

📣 Новости и блоги:

1. Cyber Detective
2. Secjuice
3. Sector035
4. IntelTechniques
5. Hatless1der
6. Maltego Technologies Blog
7. Skopenow Blog
8. Nixintel
9. Offensive OSINT
10. OSINT Combine
11. VEEXH Medium
12. Social Links Blog
13. WebBreacher - Micah Hoffman
14. Trace Labs
15. CQcore
16. SANS Institute
17. LISA Institute
18. osintme.com
19. The OSINT Curious Project
20. Blackdot Solutions
21. Nico Dekens (Dutch_OsintGuy)
22. Authentic8 Blog
23. Bellingcat
24. Knowmad
25. OH SHINT Blog
26. The SEINT
27. Shadow Dragon Blog
28. ESPY - OSINT Fraud Prevention

⚙ Виртуалки, инструменты и ОС:

1. Inteltechniques VM
2. Sherlock Linux VM
3. Kali Linux VM
4. Trace Labs OSINT VM
5. CSI Linux VM
6. Tsurugi VM
7. OSINTUX VM
8. Silo by Authentic8
9. Kasm
10. Debian OS
11. Tails OS

✈️ Telegram-каналы/чаты:

1. Cyber Detective
2. OSIntOPS News
3. Bellingcat EN
4. Brigada Osint
5. Soxoj Insides - Dmitry Danilov
6. Osint Losena
7. OSINT Anatomy
8. OSINT Teame
9. OsintTV
10. Cyber Hunter Academy
11. OSINT Israel
12. GINSEG
13. Ciberpatrulla
14. OSINT Español

⚡️ Новостные рассылки:

1. Cyber Detective
2. Sector035
3. The Sunday Download
4. Digital Investigations
5. My OSINT News
6. OSINT Ambition
7. The OSINT Newsletter
8. Digital Digging
9. OSINT Jobs
10. Forensic OSINT
11. Fog of Influence
12. OSINT Team
13. OSINT Insider
14. OSINT Excellence

P.S. Информацию стянул у какого-то накаченного испанского CEO киберстартапа в LinkedIn-е

#OSINT

🧠 Твой Пакет Знаний | 👨‍🏫 Менторство ИБ
📂 Другие каналы

Ну что, все готовы?

Напоминаю, что уже завтра в это же время состоится стрим на тему безопасности Kerberos. Готовьте попкорн и свои вопросы.

🧠 Твой Пакет Знаний | 👨‍🏫 Менторство ИБ
📂 Другие каналы

Мы начинаем

Ваши вопросы, комментарии и пожаления можете изливать в этот чат, ну или в комментарии к этому посту 👇

Время опенсорса

Тут один хороший человек, ищущий свой путь в сфере кибербеза, потратил свое время и сделал для этого мира вот такую крутую штуку – Учебный план для самостоятельного изучения Информационной Безопасности на основе программ ведущих ВУЗов (спойлер – не только отечественных).

Сделал он это при помощи ChatGPT, публичных учебных планов образовательных учреждений и работ признанных экспертов в области ИБ. А вот отрывок из предисловия автора для раскрытия мотивации:

"Многие люди, изучающие ИБ на курсах или самостоятельно, наверняка хотели бы иметь представление о том, как данную дисциплину преподают на профильных кафедрах высших учебных заведений. В целях ответа на этот вопрос для себя, я в
соавторстве с доброй ИИ-подругой Корис, подготовил данную шпаргалку, - Д. Хайнун”

“Этот учебный план был создан с целью дать тем, кто хочет освоить информационную безопасность, но не учился в ВУЗе по этой специальности, структурированное представление о том, как строится обучение в академической среде."

Автор – Кариаев Роман (@R0ut3_4O4)

🧠 Твой Пакет Знаний | 👨‍🏫 Менторство ИБ
📂 Другие каналы

Запись стрима

Тема: Три атаки на Цербера | Безопасность Kerberos
Автор: Миронов Валерий (@Valerka321)

А вот и ссылки:
- 📹 Youtube
- 📺 VK Video
- 📺 Rutube

Всем еще раз спасибо за то, что зашли послушать и за вашу обратную связь.

🧠 Твой Пакет Знаний | 👨‍🏫 Менторство ИБ
📂 Другие каналы

Продолжаем тему безопасности микросервисной архитектуры. Сегодня у нас на очереди годная статья от одного известного в узких кругах безопасника про Service Mesh и про то, как его приручить – ссылка

Там и про Istio, и про mTLS, и про то, как все это провернуть в реальной жизни.

#DevSecOps #BaseSecurity

🧠 Твой Пакет Знаний | 👨‍🏫 Менторство ИБ
📂 Другие каналы

Обзор рынка ИБ

Инфосистемы Джет выпустили "Обзор рынка информационной безопасности за 2024 год". Букв конечно много, но если читать по-диагонали, то самое то.

Во-первых, там на 5-ой странице красивая схемка. Во-вторых, отчет действительно крутой, так как там разобраны практически все домены ИБ, как оно реализовано в существующих компаниях, и на каких решениях это все строится.

Будет полезно как новичкам для наработки насмотренности, так и прожженным менеджерам, которым все это ИБ еще надо строить.

#BaseSecurity

🧠 Твой Пакет Знаний | 👨‍🏫 Менторство ИБ
📂 Другие каналы

Nmap здорового человека

Наконец-то кто-то сел и сделал это – красивую и функциональную оболочку для Nmap-а, которым все еще продолжает пользоваться вся планета. Ну вы только посмотрите, как это красиво и удобно.

Да, придется запариться и поставить себе комбайн из SQLite и Графаны, но на долгосрок оно того точно стоит. Нюанс заключается в том, что это лишает инструмент его ключевой особенности в виде легковесности, но выглядит то красиво!

Называется эта годнота nmap-did-what, а пощупать ее можно вот тут – ссылка

#BaseSecurity #Network #Pentest

🧠 Твой Пакет Знаний | 👨‍🏫 Менторство ИБ
📂 Другие каналы

Как OSINT-еры телеграм-каналы исследуют

Тема полутехническая, а OSINT и форензику мы в этом канале вообще затрагиваем крайне редко, но доклад правда достойный. Так что советую глянуть, особенно если у вас есть свой Телеграм-канал.

Америку Игорь Бедеров тут не открыл, но точно собрал все в одном месте и принес вам на блюдечке. В общем, смотрим – ссылка

#BaseSecurity

🧠 Твой Пакет Знаний | 👨‍🏫 Менторство ИБ
📂 Другие каналы

Не одним htb едины

Гонял тут меня недавно один крутой АппСек на собеседовании по антипаттернам в коде, которые могут привести к эксплуатации типовых уязвимостей в продакшене. Психика конечно пострадала (не только моя), но зато потом я сел и начал искать способы тренировки этого навыка. А то кажется, что делать это вдали от реального Git-а и SAST-а не так уж и просто. И я нашел.

В общем, это почти как Hack The Box или Try Hack Me, но для АппСек-ов. Заходим, выбираем челлендж и ищем уязвимости в коде. А вот и сам сервис – ссылка

#AppSec

🧠 Твой Пакет Знаний | 👨‍🏫 Менторство ИБ
📂 Другие каналы

Вот и настало время анонса нового стрима. В этот раз тема не настолько техническая, но от этого не менее интересная.

Тут один из менти по направлению пентеста хочет рассказать вам, "Почему вы пишете заметки неправильно". Он в этом гуру, и именно поэтому ни одна пройденная им машина на Hack The Box или TryHackMe никогда не будет забыта, в приобретенный опыт навсегда останется в его багаже.

Умение правильно фиксировать и структурировать информацию в наше время правда очень важно, потому что этой информации становится все больше. И касается это далеко не только мира кибербезопасности или образования в целом.

Ну а тайны мироздания вам поведает в этот раз Костя (@AloshkaCigan).

🗓 Когда: 16 апреля в 19:00 по мск
📍 Где: прямо в этом канале в формате стрима

🧠 Твой Пакет Знаний | 👨‍🏫 Менторство ИБ
📂 Другие каналы

Дамы и господа, уже сегодня в 19:00 нас ждет стрим с разбором того, как правильно писать заметки. Так что не забываем, ставим себе напоминание и зовём друзей. До встречи 🕺