Очень забавная и легкая статейка по основам MLSecOps. Еще и с визуализацией в виде котов.
Структурированные таблицы, красивые кастомные схемы и даже мини-модель угроз входят в комплектацию.
Так что если вы собирались начать погружаться в эту область кибербеза, то рекомендую почитать – ссылка
#DevSecOps #AI #BaseSecurity
🧠 Твой Пакет Знаний | 👨🏫 Менторство ИБ
📂 Другие каналы
Структурированные таблицы, красивые кастомные схемы и даже мини-модель угроз входят в комплектацию.
Так что если вы собирались начать погружаться в эту область кибербеза, то рекомендую почитать – ссылка
#DevSecOps #AI #BaseSecurity
Please open Telegram to view this post
VIEW IN TELEGRAM
Хабр
MLSecOps: почему, зачем и кому это нужно?
Всем привет! Меня зовут Никита , я работаю в центре машинного обучения «Инфосистемы Джет». Сейчас я учусь в своей второй магистратуре в ВШЭ ФКН на программе «Современные компьютерные науки» и в Школе...
👍6❤2🔥2
Механизмы аутентификации для микросервисной архитектуры
"Что такое микросервисы" мы на собеседованиях уже научились отвечать, поэтому такие базовые вопросы встречаются всё реже. Но лично меня все чаще просят рассказать о безопасных и эффективных способах аутентификации между теми самыми микросервисами.
Погнали разбираться. Будет тезисно + я нашел для вас картиночку на просторах ЛинкедИна.
#BaseSecurity #SecArch
🧠 Твой Пакет Знаний | 👨🏫 Менторство ИБ
📂 Другие каналы
"Что такое микросервисы" мы на собеседованиях уже научились отвечать, поэтому такие базовые вопросы встречаются всё реже. Но лично меня все чаще просят рассказать о безопасных и эффективных способах аутентификации между теми самыми микросервисами.
Погнали разбираться. Будет тезисно + я нашел для вас картиночку на просторах ЛинкедИна.
1. API-ключи
◾️ Простые уникальные идентификаторы, назначаемые каждому клиенту или сервису.
◾️ Передаются в заголовке или параметре запроса при каждом обращении.
◾️ Подходят для внутренних сервисов, API с низкими требованиями к безопасности или для предоставления доступа к определённым функциям.
◾️ Легко внедрять и управлять ими.
◾️ Менее безопасны, чем методы на основе токенов. Ключи могут быть легко украдены или скомпрометированы.
2. Базовая аутентификация (Basic Auth)
◾️ Логин и пароль отправляются в заголовке `Authorization` в виде строки, закодированной в base64.
◾️ Простая реализация, но требует использования HTTPS для безопасности.
◾️ Подходит для сценариев с низкими требованиями к защите.
◾️ Широко поддерживается и проста для понимания.
◾️ Уязвима к атакам «человек посередине» без HTTPS.
◾️ Пароли передаются в открытом виде (даже в закодированной форме).
3. JSON Web Tokens (JWT)
◾️ Самостоятельные токены, содержащие информацию о пользователе и параметры (claims) в формате JSON.
◾️ Выдаются сервером аутентификации после успешного входа, затем клиент отправляет их в заголовке `Authorization`.
◾️ Часто используются для статусной аутентификации в микросервисах, едином входе (SSO) и авторизации.
◾️ Без состояния, безопасны, компактны и могут включать дополнительные данные.
◾️ Требуют правильного управления ключами для подписи и проверки.
4. OAuth 2.0
◾️ Фреймворк авторизации, позволяющий сторонним приложениям получать ограниченный доступ к ресурсам от имени пользователя без передачи его учётных данных.
◾️ Использует типы разрешений (authorization code, implicit, client credentials и др.) для получения токенов доступа и токенов обновления.
◾️ Широко применяется для делегированного доступа к API.
◾️ Стандартизированный способ защиты ресурсов без раскрытия паролей.
◾️ Сложен в реализации, требует учёта уязвимостей (например, CSRF).
5. OpenID Connect (OIDC)
◾️ Слой идентификации поверх OAuth 2.0, добавляющий аутентификацию и данные профиля пользователя.
◾️ Использует ID-токен вместе с токеном доступа для подтверждения личности.
◾️ Комбинируется с OAuth 2.0: аутентификация через OIDC, авторизация через OAuth.
◾️ Упрощает аутентификацию благодаря стандартизированному формату.
◾️ Требует интеграции с провайдером OIDC (например, Google, Okta).
6. Mutual TLS (mTLS)
◾️ Клиент и сервер аутентифицируют друг друга с помощью сертификатов X.509.
◾️ Требует центра сертификации (CA) для выпуска и управления сертификатами.
◾️ Идеален для защиты коммуникации между внутренними сервисами или API с высокой секретностью.
◾️ Высокая безопасность за счёт взаимной аутентификации и шифрования.
◾️ Сложнее в настройке и управлении по сравнению с другими методами.
#BaseSecurity #SecArch
Please open Telegram to view this post
VIEW IN TELEGRAM
👍11🔥5🙏2🤣2❤1🐳1
Стэнфордский курс без регистрации и СМС
Я тут на одной из страниц по стажировке в ИБ заметил в подготовительных материалах курс одного из ведущих мировых университетов. Собственно, делюсь – ссылка
Это курс Стэнфорда по веб-безопасности со всеми материалами, ссылками и презентациями. Я бы не сказал, что там вау как интересно, но и глубоко не всматривался. Для базового уровня точно сойдет.
#BaseSecurity
🧠 Твой Пакет Знаний | 👨🏫 Менторство ИБ
📂 Другие каналы
Я тут на одной из страниц по стажировке в ИБ заметил в подготовительных материалах курс одного из ведущих мировых университетов. Собственно, делюсь – ссылка
Это курс Стэнфорда по веб-безопасности со всеми материалами, ссылками и презентациями. Я бы не сказал, что там вау как интересно, но и глубоко не всматривался. Для базового уровня точно сойдет.
#BaseSecurity
Please open Telegram to view this post
VIEW IN TELEGRAM
web.stanford.edu
CS253 - Web Security
Principles of web security. The fundamentals and state-of-the-art in web security. Attacks and countermeasures. Topics include: the browser security model, web app vulnerabilities, injection, denial-of-service, TLS attacks, privacy, fingerprinting, same-origin…
❤6🐳3👍2
Продолжаем тему безопасности микросервисной архитектуры. Сегодня у нас на очереди годная статья от одного известного в узких кругах безопасника про Service Mesh и про то, как его приручить – ссылка
Там и про Istio, и про mTLS, и про то, как все это провернуть в реальной жизни.
#DevSecOps #BaseSecurity
🧠 Твой Пакет Знаний | 👨🏫 Менторство ИБ
📂 Другие каналы
Там и про Istio, и про mTLS, и про то, как все это провернуть в реальной жизни.
#DevSecOps #BaseSecurity
Please open Telegram to view this post
VIEW IN TELEGRAM
Хабр
Service Mesh в дикой природе или как не стать жертвой атак
Введение Угрозы безопасности в Service Mesh 1. Ошибки конфигурации и человеческий фактор 2. Атаки на контрольную плоскость (control plane) 3. Обход sidecar-прокси (атаки на data plane) 4....
👍6🔥2🕊1
Обзор_рынка_ИБ_2024.pdf
6.8 MB
Обзор рынка ИБ
Инфосистемы Джет выпустили "Обзор рынка информационной безопасности за 2024 год". Букв конечно много, но если читать по-диагонали, то самое то.
Во-первых, там на 5-ой странице красивая схемка. Во-вторых, отчет действительно крутой, так как там разобраны практически все домены ИБ, как оно реализовано в существующих компаниях, и на каких решениях это все строится.
Будет полезно как новичкам для наработки насмотренности, так и прожженным менеджерам, которым все это ИБ еще надо строить.
#BaseSecurity
🧠 Твой Пакет Знаний | 👨🏫 Менторство ИБ
📂 Другие каналы
Инфосистемы Джет выпустили "Обзор рынка информационной безопасности за 2024 год". Букв конечно много, но если читать по-диагонали, то самое то.
Во-первых, там на 5-ой странице красивая схемка. Во-вторых, отчет действительно крутой, так как там разобраны практически все домены ИБ, как оно реализовано в существующих компаниях, и на каких решениях это все строится.
Будет полезно как новичкам для наработки насмотренности, так и прожженным менеджерам, которым все это ИБ еще надо строить.
#BaseSecurity
Please open Telegram to view this post
VIEW IN TELEGRAM
👍4❤1🔥1🕊1
Nmap здорового человека
Наконец-то кто-то сел и сделал это – красивую и функциональную оболочку для Nmap-а, которым все еще продолжает пользоваться вся планета. Ну вы только посмотрите, как это красиво и удобно.
Да, придется запариться и поставить себе комбайн из SQLite и Графаны, но на долгосрок оно того точно стоит. Нюанс заключается в том, что это лишает инструмент его ключевой особенности в виде легковесности, но выглядит то красиво!
Называется эта годнота nmap-did-what, а пощупать ее можно вот тут – ссылка
#BaseSecurity #Network #Pentest
🧠 Твой Пакет Знаний | 👨🏫 Менторство ИБ
📂 Другие каналы
Наконец-то кто-то сел и сделал это – красивую и функциональную оболочку для Nmap-а, которым все еще продолжает пользоваться вся планета. Ну вы только посмотрите, как это красиво и удобно.
Да, придется запариться и поставить себе комбайн из SQLite и Графаны, но на долгосрок оно того точно стоит. Нюанс заключается в том, что это лишает инструмент его ключевой особенности в виде легковесности, но выглядит то красиво!
Называется эта годнота nmap-did-what, а пощупать ее можно вот тут – ссылка
#BaseSecurity #Network #Pentest
Please open Telegram to view this post
VIEW IN TELEGRAM
👍6🤯3🔥2⚡1💋1
Как OSINT-еры телеграм-каналы исследуют
Тема полутехническая, а OSINT и форензику мы в этом канале вообще затрагиваем крайне редко, но доклад правда достойный. Так что советую глянуть, особенно если у вас есть свой Телеграм-канал.
Америку Игорь Бедеров тут не открыл, но точно собрал все в одном месте и принес вам на блюдечке. В общем, смотрим – ссылка
#BaseSecurity
🧠 Твой Пакет Знаний | 👨🏫 Менторство ИБ
📂 Другие каналы
Тема полутехническая, а OSINT и форензику мы в этом канале вообще затрагиваем крайне редко, но доклад правда достойный. Так что советую глянуть, особенно если у вас есть свой Телеграм-канал.
Америку Игорь Бедеров тут не открыл, но точно собрал все в одном месте и принес вам на блюдечке. В общем, смотрим – ссылка
#BaseSecurity
Please open Telegram to view this post
VIEW IN TELEGRAM
YouTube
Криминалистическое исследование Telegram-каналов
Игорь Бедеров в ходе своего выступления на Moscow Forensics Day 2024 рассказал о том, как проводится анализ Telegram-каналов и чатов, а также представил примеры инструментов для мониторинга и поиска данных в Telegram. Бедеров также подчеркнул важность выявления…
❤4🙏1🕊1
Пакет Знаний | Кибербезопасность
Чуть поменял закрепленный пост и добавил туда напоминание о предложке. Поэтому, если у вас есть что-то интересное, чем вы бы хотели поделиться с миром через этот канал – смело пишите @romanpnn
🫡3⚡1🤝1
Ловите сборник бесплатных лабораторных – ссылка
Там и NGFW потыкать можно, и кое что из CCNA Security. Советую еще поковырять этот сайт, там много годноты.
#BaseSecurity #Network #Practice
🧠 Твой Пакет Знаний | 👨🏫 Менторство ИБ
📂 Другие каналы
Там и NGFW потыкать можно, и кое что из CCNA Security. Советую еще поковырять этот сайт, там много годноты.
#BaseSecurity #Network #Practice
Please open Telegram to view this post
VIEW IN TELEGRAM
⚡8👍6🔥4❤1🤩1
На GitHub не так много звездных ИБшных репозиториев, и это как раз один из них – ссылка
Собственно, это очередной агрегатор всего, что можно от AppSec и DevSecOps до пентеста и фишинга. Там и чеклисты, и инструменты, и фреймворки, и тактики, и даже лабораторные.
#AppSec #Pentest #DevSecOps #BaseSecurity #Network #web3
🧠 Твой Пакет Знаний | 👨🏫 Менторство ИБ
📂 Другие каналы
Собственно, это очередной агрегатор всего, что можно от AppSec и DevSecOps до пентеста и фишинга. Там и чеклисты, и инструменты, и фреймворки, и тактики, и даже лабораторные.
#AppSec #Pentest #DevSecOps #BaseSecurity #Network #web3
Please open Telegram to view this post
VIEW IN TELEGRAM
❤🔥7👍5🔥4😍1🤝1