DevSecOps checklist.pdf
11.2 MB
Просто и лаконично. Делаем безопасным всё, что есть у нас в инфраструктуре, архитектуре и пайплайне. Основные сервисы – на месте, домены, которые нужно обезопасить – на месте, даже команды прописаны.
Ребятам из Hadess (в очередной раз) большое спасибо.
P.S. Если у кого-то есть Part 2, то поделитесь, пожалуйста.
#DevSecOps #SecArch
Твой Пакет Знаний | Кибербезопасность
Ребятам из Hadess (в очередной раз) большое спасибо.
#DevSecOps #SecArch
Твой Пакет Знаний | Кибербезопасность
❤5🔥2⚡1
Тут на днях вышло обновление DAF (DevSecOps Assessment Framework) – ссылка
Думаю, что не много, кто о нём вообще слышал, поэтому в двух словах о том, что это за зверь такой. DAF – фреймворк, который описывает, что конкретно и в какой последовательности нужно делать, чтобы выстроить процесс безопасной разработки, а также чтобы объективно оценить существующий уровень зрелости безопасной разработки и понять, куда двигаться дальше.
В общем, в руках людей, которые занимаются комплексной безопасностью разработки, это настоящий швейцарский нож и абсолютный мастхэв. Так что сохраняем, форкаем, следим и ставим звёзды.
#DevSecOps
Твой Пакет Знаний | Кибербезопасность
Думаю, что не много, кто о нём вообще слышал, поэтому в двух словах о том, что это за зверь такой. DAF – фреймворк, который описывает, что конкретно и в какой последовательности нужно делать, чтобы выстроить процесс безопасной разработки, а также чтобы объективно оценить существующий уровень зрелости безопасной разработки и понять, куда двигаться дальше.
В общем, в руках людей, которые занимаются комплексной безопасностью разработки, это настоящий швейцарский нож и абсолютный мастхэв. Так что сохраняем, форкаем, следим и ставим звёзды.
#DevSecOps
Твой Пакет Знаний | Кибербезопасность
GitHub
GitHub - Jet-Security-Team/DevSecOps-Assessment-Framework: DevSecOps Assessment Framework
DevSecOps Assessment Framework. Contribute to Jet-Security-Team/DevSecOps-Assessment-Framework development by creating an account on GitHub.
🦄4⚡2❤1
Целая коллекция полезных материалов для всех кибербезопасников, как со стороны защиты, так и нападения – ссылка
#AppSec #Pentest #DevSecOps #BaseSecurity
Твой Пакет Знаний | Кибербезопасность
#AppSec #Pentest #DevSecOps #BaseSecurity
Твой Пакет Знаний | Кибербезопасность
GitHub
GitHub - Hack-with-Github/Awesome-Hacking: A collection of various awesome lists for hackers, pentesters and security researchers
A collection of various awesome lists for hackers, pentesters and security researchers - Hack-with-Github/Awesome-Hacking
❤3🍓2⚡1
DevSecOps Reference Architecture.pdf
4.2 MB
Вот это я понимаю схема
Ребята из Sonatype тут решили потратить колоссальное количество времени и сил – они умудрились засунуть в одну схему по DevSecOps всё, что только можно – от классов решений и ролей до самих инструментов и их вендоров. А еще всё это обмазано бесконечным количеством стрелочек и связей.
В общем, очень сложное, но полезное и красивое. Забираем – полезно будет практически всем безопасникам.
#DevSecOps #AppSec #BaseSecurity
Твой Пакет Знаний | Кибербезопасность
Ребята из Sonatype тут решили потратить колоссальное количество времени и сил – они умудрились засунуть в одну схему по DevSecOps всё, что только можно – от классов решений и ролей до самих инструментов и их вендоров. А еще всё это обмазано бесконечным количеством стрелочек и связей.
В общем, очень сложное, но полезное и красивое. Забираем – полезно будет практически всем безопасникам.
#DevSecOps #AppSec #BaseSecurity
Твой Пакет Знаний | Кибербезопасность
❤8👎1🔥1😱1💩1
Полезное и бесплатное
Ловите подборку годного образовательного контента для погружения в мир кибербезопасности – как со стороны атаки, так и защиты👇
Для синих (защищающих) ребят:
- Введение в информационную безопасность от Selectel
- С нуля до аналитика DevSecOps | Введение в кибербезопасность
- КИБЕРБЕЗОПАСНОСТЬ 2024 | ТЕОРЕТИЧЕСКИЙ КУРС - ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ
- Мастер-классы по кибербезопасности от кафедры №42 "Криптология и кибербезопасность"
Для красных (атакующих) ребят:
- Полный учебный курс по этичному хакингу 2023 от нуля до мастерства
- Взлом Android приложений | Проверка приложений на уязвимость
- Взлом серверов и сетей | Международная сертификация OSCP
- Тестирования сайтов на уязвимость
- Практическое руководство по взлому веб-приложений
- Kali Linux для начинающих: основы, администрирование, взлом
Для всех сразу:
- Хакинг и кибербезопасность. Обучение от Skillbox
#DevSecOps #Pentest #AppSec #BaseSecurity
Твой Пакет Знаний | Кибербезопасность
Ловите подборку годного образовательного контента для погружения в мир кибербезопасности – как со стороны атаки, так и защиты
Для синих (защищающих) ребят:
- Введение в информационную безопасность от Selectel
- С нуля до аналитика DevSecOps | Введение в кибербезопасность
- КИБЕРБЕЗОПАСНОСТЬ 2024 | ТЕОРЕТИЧЕСКИЙ КУРС - ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ
- Мастер-классы по кибербезопасности от кафедры №42 "Криптология и кибербезопасность"
Для красных (атакующих) ребят:
- Полный учебный курс по этичному хакингу 2023 от нуля до мастерства
- Взлом Android приложений | Проверка приложений на уязвимость
- Взлом серверов и сетей | Международная сертификация OSCP
- Тестирования сайтов на уязвимость
- Практическое руководство по взлому веб-приложений
- Kali Linux для начинающих: основы, администрирование, взлом
Для всех сразу:
- Хакинг и кибербезопасность. Обучение от Skillbox
#DevSecOps #Pentest #AppSec #BaseSecurity
Твой Пакет Знаний | Кибербезопасность
Please open Telegram to view this post
VIEW IN TELEGRAM
👍7❤2🔥1👏1
Подборок много не бывает
Три подборки со сканерами и анализаторами (статическими и динамическими) всего, чего только можно – от бинарей и облаков до API и кода практически на любом попсовом языке.
Есть как платные инструменты (помним про триальные версии, кряки и манибэки), так и бесплатные.
✍️ Подборка раз (статика) – ссылка
✍️ Подборка два (динамика) – ссылка
✍️ Поборка три (веб) – ссылка
#AppSec #Pentest #DevSecOps
🧠 Твой Пакет Знаний | Кибербезопасность
Три подборки со сканерами и анализаторами (статическими и динамическими) всего, чего только можно – от бинарей и облаков до API и кода практически на любом попсовом языке.
Есть как платные инструменты (помним про триальные версии, кряки и манибэки), так и бесплатные.
#AppSec #Pentest #DevSecOps
Please open Telegram to view this post
VIEW IN TELEGRAM
❤4🔥2🙏1🤓1
Автоботы, сегментируемся
Это вам не ванильный систем-дизайн с собеседований на архитектора. Ловите годный пример (а точнее даже 4 примера) по правильному распилу инфраструктуры на сетевые сегменты, да еще и с обоснованием – ссылка
Можете брать как референс, а можете попробовать приложить к тому, что есть уже сейчас, осознать, насколько всё плохо/хорошо и понять, что нужно делать дальше.
#SecArch #DevSecOps #BaseSecurity
Твой Пакет Знаний | Кибербезопасность
Это вам не ванильный систем-дизайн с собеседований на архитектора. Ловите годный пример (а точнее даже 4 примера) по правильному распилу инфраструктуры на сетевые сегменты, да еще и с обоснованием – ссылка
Можете брать как референс, а можете попробовать приложить к тому, что есть уже сейчас, осознать, насколько всё плохо/хорошо и понять, что нужно делать дальше.
#SecArch #DevSecOps #BaseSecurity
Твой Пакет Знаний | Кибербезопасность
GitHub
GitHub - sergiomarotco/Network-segmentation-cheat-sheet: Best practices for segmentation of the corporate network of any company
Best practices for segmentation of the corporate network of any company - sergiomarotco/Network-segmentation-cheat-sheet
👍6❤2👏1
Ну что, готовы к крутой лекции по безопасности k8s от отца контейнеров @aleksey0xffd? OWASP k8s TOP 10, RBAC, security context для pod и контейнеров в нем, аутентификация и авторизация, безопасная конфигурация workloads, секреты, сегментация сети внутри кубера и многое другое.
В общем, вся база всего за час, а не за 10, как у практически всех площадок онлайн-образования. Смотрим, впитываем, образовываемся – ютуб и рутуб.
#BaseSecurity #DevSecOps
🧠 Твой Пакет Знаний
В общем, вся база всего за час, а не за 10, как у практически всех площадок онлайн-образования. Смотрим, впитываем, образовываемся – ютуб и рутуб.
#BaseSecurity #DevSecOps
Please open Telegram to view this post
VIEW IN TELEGRAM
👍15❤3👨💻2
Харденинг
Есть такая область безопасности и ДевОпса под названием харденинг. Если коротко, то с помощью этого подхода можно обеспечить дополнительную безопасность чего-угодно (сервера, сети, БД, ОС) за счет уменьшения поверхности атаки = заколачивания окон досками.
Делается это обычно при помощи достаточно сурового затягивания болтов через конфигурации, отключения избыточных функций и доступов. Вещь в работе и на собесах нужная, так что забираем.
⚙ Целый сборник харденинг-годноты – раз и два
⚙ Чеклисты по харденингу всего и вся – ссылка
#BaseSecurity #DevSecOps #Network
🧠 Твой Пакет Знаний | 🛍 Другие каналы
Есть такая область безопасности и ДевОпса под названием харденинг. Если коротко, то с помощью этого подхода можно обеспечить дополнительную безопасность чего-угодно (сервера, сети, БД, ОС) за счет уменьшения поверхности атаки = заколачивания окон досками.
Делается это обычно при помощи достаточно сурового затягивания болтов через конфигурации, отключения избыточных функций и доступов. Вещь в работе и на собесах нужная, так что забираем.
#BaseSecurity #DevSecOps #Network
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥7👍6🤩2✍1
Настало время уязвимостей
Что-то модно (как уязвимости Next.js и GraphQL), что-то вышло из моды (как уязвимости для Adobe Flash Player), а что-то вечно (привет, Битрикс).
Как вы уже догадались, сегодня мы поговорим про уязвимости. А точнее про то, как безопасники вообще следят за их трендами и тем, что сейчас их всего скопления CVE стоит их внимания, а что из этого уже можно забыть.
Человечество уже давно подумало об этой проблеме, ведь новые уязвимости появляются каждый день, а актуальными они остаются разные периоды времени. Часть из них охватывает большие ландшафты (как было с log4j), а некоторые, хоть и критичные, не так страшны, из-за того, что уязвимые элементы не так распространены.
Так вот, существуют специализированные платформы или сервисы, которые собирают, анализируют и предоставляют информацию о наиболее актуальных и опасных уязвимостях в сфере кибербезопасности. И да, к ним также подключаются решения класса TI, чтобы мониторить обстановку.
Ну а вот и эти платформы-агрегаторы👇
📂 CVE Crowd – один из самых популярных сервисов
📂 CVE Shield – один из самых старых агрегаторов
📂 Vulmon Vulnerability Trends – хороший агрегатор с историей за прошлые дни
📂 CVE Trends – топ10 обсуждаемых в интернетах уязвимостей за сутки
📂 Vulners – целый портал кибербезопасных инфоповодов, включая эксплойты, безопасность AI, BugBounty и прочее
Их на самом деле намного больше, но половина из этих сервисов дублирует друг друга, да и я не уверен, что стоит пользоваться всеми. Что-то себе по вкусу вы из этого списка найти точно сможете.
#BaseSecurity #AppSec #DevSecOps #Pentest
🧠 Твой Пакет Знаний | 🛍 Другие каналы
Что-то модно (как уязвимости Next.js и GraphQL), что-то вышло из моды (как уязвимости для Adobe Flash Player), а что-то вечно (привет, Битрикс).
Как вы уже догадались, сегодня мы поговорим про уязвимости. А точнее про то, как безопасники вообще следят за их трендами и тем, что сейчас их всего скопления CVE стоит их внимания, а что из этого уже можно забыть.
Человечество уже давно подумало об этой проблеме, ведь новые уязвимости появляются каждый день, а актуальными они остаются разные периоды времени. Часть из них охватывает большие ландшафты (как было с log4j), а некоторые, хоть и критичные, не так страшны, из-за того, что уязвимые элементы не так распространены.
Так вот, существуют специализированные платформы или сервисы, которые собирают, анализируют и предоставляют информацию о наиболее актуальных и опасных уязвимостях в сфере кибербезопасности. И да, к ним также подключаются решения класса TI, чтобы мониторить обстановку.
Ну а вот и эти платформы-агрегаторы
Их на самом деле намного больше, но половина из этих сервисов дублирует друг друга, да и я не уверен, что стоит пользоваться всеми. Что-то себе по вкусу вы из этого списка найти точно сможете.
#BaseSecurity #AppSec #DevSecOps #Pentest
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥12👍3⚡1🕊1
Да кто такой, этот ваш mTLS
На собеседованиях все еще продолжают спрашивать про mTLS, его отличие от TLS, зачем оно надо, как оно работает и от чего защищает.
Собственно, ловите пару статеек на эту тему – там и про рукопожатия, и про конфиги в k8s, и про Ambient Mesh, и даже картиночки есть.
✅ Статья раз – ссылка
✅ Статья два – ссылка
#BaseSecurity #DevSecOps #Network
🧠 Твой Пакет Знаний | 🛍 Другие каналы
На собеседованиях все еще продолжают спрашивать про mTLS, его отличие от TLS, зачем оно надо, как оно работает и от чего защищает.
Собственно, ловите пару статеек на эту тему – там и про рукопожатия, и про конфиги в k8s, и про Ambient Mesh, и даже картиночки есть.
#BaseSecurity #DevSecOps #Network
Please open Telegram to view this post
VIEW IN TELEGRAM
👍4❤3🤔2🔥1🙏1🤝1
DevSecOps Reference Architecture.pdf
4.2 MB
Давай мясо
Не помню, скидывал ли я эту визуальную мясорубку сюда или нет, но держите – ссылка
Здесь наглядно показано, почему ребята из DevSecOps зарабатывают больше среднего по больнице. В целом, можно брать эту референсную схему и накладывать ее на ваш ландшафт, процессы и технологии.
Да, потом придется все это строить, но это уже совсем другая история.
#DevSecOps
🧠 Твой Пакет Знаний | 👨🏫 Менторство ИБ
📂 Другие каналы
Не помню, скидывал ли я эту визуальную мясорубку сюда или нет, но держите – ссылка
Здесь наглядно показано, почему ребята из DevSecOps зарабатывают больше среднего по больнице. В целом, можно брать эту референсную схему и накладывать ее на ваш ландшафт, процессы и технологии.
Да, потом придется все это строить, но это уже совсем другая история.
#DevSecOps
Please open Telegram to view this post
VIEW IN TELEGRAM
👍7❤2🔥1
KubeSecCrowd.pdf
1.2 MB
Безопасность куберов
Наткнулся на комплексный гайд от ребят из CrowdStrike (помните их, да? ну ладно, с кем не бывает) про то, как атакуют и защищают кластера Kubernetes.
В целом, ничего нового, помимо хорошо расписанных векторов атак. Ну а если вы только погружаетесь в безопасность k8s, то для начала советую почитать старую-добрую базу от ребят из QIWI – ссылка
#DevSecOps #BaseSecurity #CloudSecurity
🧠 Твой Пакет Знаний | 👨🏫 Менторство ИБ
📂 Другие каналы
Наткнулся на комплексный гайд от ребят из CrowdStrike (помните их, да? ну ладно, с кем не бывает) про то, как атакуют и защищают кластера Kubernetes.
В целом, ничего нового, помимо хорошо расписанных векторов атак. Ну а если вы только погружаетесь в безопасность k8s, то для начала советую почитать старую-добрую базу от ребят из QIWI – ссылка
#DevSecOps #BaseSecurity #CloudSecurity
Please open Telegram to view this post
VIEW IN TELEGRAM
❤8🔥2🤝2🦄1
Врум-врум, коллеги по цеху. Настало время попробовать стримы на технические темы и разборы чего-то хардкорного, за которые вы голосовали вот здесь.
В этот раз обсудим достаточно попсовую, но всё еще болезненную для многих тему харденинга k8s. Это спрашивают на собеседованиях, это пригождается в работе. Да и в целом, полезно будет узнать, как защищать то, на чем держится 80% энтерпрайза в наши дни.
Ну а расскажет вам об этом самый настоящий кибербезопасник и автор канала s3c4rch – @tembitt
🗓 Когда: 16 марта в 16:00 по мск
📍 Где: прямо в этом канале в формате стрима
Честно не знаю, что из этого получится, но если вам зайдет, то будем продолжать.
#DevSecOps #BaseSecurity #CloudSecurity
🧠 Твой Пакет Знаний | 👨🏫 Менторство ИБ
📂 Другие каналы
В этот раз обсудим достаточно попсовую, но всё еще болезненную для многих тему харденинга k8s. Это спрашивают на собеседованиях, это пригождается в работе. Да и в целом, полезно будет узнать, как защищать то, на чем держится 80% энтерпрайза в наши дни.
Ну а расскажет вам об этом самый настоящий кибербезопасник и автор канала s3c4rch – @tembitt
Честно не знаю, что из этого получится, но если вам зайдет, то будем продолжать.
#DevSecOps #BaseSecurity #CloudSecurity
Please open Telegram to view this post
VIEW IN TELEGRAM
👍9🔥6❤2