Такое мы сохраняем

Я за свою жизнь прочитал не так много книг, особенно тех, что как-то связаны с кибербезопасностью. У меня как-то давно закралась и укоренилась мысль о том, что технологии развиваются сильно быстрее, чем пишутся (а тем более читаются) книги.

Именно поэтому я проводил достаточно много вечеров в ютубе со своими друзьями – индусами, ну или просто сидел в интернетах, читая очередную интересную статью, исследование или документацию (согласен, тут слово "интересная" не подходит). Ну и чаще всего я решал и изучал какие-то вопросы по мере поступления проблем, чтобы сразу закрепить полученные знания.

Своё мнение я не навязываю, тем более, что в книгах можно почерпнуть достаточно много той самой базы – фундамента, на котором строится не только ИБ, но и всё IT. Так что настало время составить и поделиться с вами подборкой достойных книг (на основе отзывов знакомых, коллег и одной нейросети), так что погнали 👇

📖 "Компьютерные сети" — Эндрю Таненбаум. Один из лучших учебников по сетям, охватывающий архитектуру и протоколы, начиная с простых основ и заканчивая более сложными аспектами. Другие книги автора тоже советую посмотреть.

📖 "Практическая криптография" — Брюс Шнайер. Основы шифрования и защиты данных от одного из ведущих экспертов в этой области.

📖 "Искусство тестирования на проникновение в сеть" — Ройс Дэвис. Тут всё и так очевидно.

📖 "Кибербезопасность для чайников" — Джозеф Штейнберг. Простая и понятная вводная по кибербезопасности, охватывающий основные аспекты защиты информации.

📖 "Социальная инженерия и социальные хакеры" — Максим Кузнецов, Игорь Симдянов. Как говорится, «Любители взламывают системы. Профессионалы взламывают людей».

Как-то так. Если вы знаете о книгах из мира информационной безопасности, которых нет в этом списке, но они должны в нём появиться – вэлкам в комментарии. И да, помните о том, что знания, не закрепленные практикой, очень быстро забываются 🤪

Твой Пакет Безопасности

Не одним опенсорсом едины

Да, порой бесплатных или условно-бесплатных инструментов становится недостаточно, особенно, когда дело касается энтерпрайза, сжатых сроков и резинового бюджета. Так что ловите подробнейший (боюсь представить, сколько на это ушло времени) обзор коммерческих решений по управлению уязвимостями – ссылка.

Полезно будет и начинающим ИБшникам кстати, так как все эти решения вы можете рано или поздно повстречать на своем карьерном пути. И нужно быть к этому готовыми. Ну и плюс ко всему, у вас явно должно расшириться восприятие всего Vulnerability Management после прочтения такой годноты. Читаем, сохраняем, рассылаем ⌨️

#BaseSecurity

🧠 Твой Пакет Знаний

Нападаем и защищаемся

Очень плотная книженция по содержанию – там кажется есть все необходимые в работе концепции как защиты, так и атаки – киллчейны, практики реагирования на инциденты, разведка, векторы атак и компрометаций, эскалации и горизонтальные перемещения, всевозможные секьюрити полиси, разборы вредоносов, и даже TI. Книжка пережила уже несколько изданий, а это значит, что спрос есть.

Лично я такого объема разной и полезной информации по кибербезопасности давно не видел в одном месте, если вообще и видел хоть раз – это вам не брошюрка по DevSecOps. Да, есть один нюанс – оно на английском, но я думаю, что в 2024 году вы сможете справиться с этим препятствием. По крайней мере, оно того действительно стоит. Качаем, читаем, сохраняем, пересылаем коллегам по цеху.

#BaseSecurity

🧠 Твой Пакет Знаний

Годная брошюрка по Secure by design (еще и с картиночками) 👍

Вводную часть про то, что это вообще такое, можно пропустить (быстрее будет почитать на эту тему ликбез с Хабра), а вот на разделе про защиту этой концепции перед бизнесом я бы вчитался поподробнее – там есть интересная формула, да и в целом концепт аргументации через подсчет денег и времени.

В общем, чтиво годно, советую полистать. Подрезал кстати у AppSec Journey

#BaseSecurity

🧠 Твой Пакет Знаний

Время приключений исследований

Тут ребята из одного сервиса по подбору вакансий поделились со мной результатами своего достаточно подробного исследования на тему бенефитов, мотивации и удерживающего фактора для специалистов в сфере кибербезопасности.

Там и про зарплаты, и про офферы, и про нематериальные бенефиты, и про онбординг, и про work-life balance, и про наш любимый стресс. В общем, отчет мне зашел, советую полистать – может натолкнуть на интересные мысли или темы для обсуждения с руководством.

🧠 Твой Пакет Знаний

Облачно 🌧

Забавная и легкая брошюрка с основными тезисами, посвященными облачным безопасникам. Облака мало чем отличаются от обычной инфры, да и по сути, все мы уже давно живем в хоть и прайват 😐, но облаках. Короче говоря, посидеть и полистать вечерком за чащечкой чая – самое то.

#CloudSecurity #BaseSecurity

🧠 Твой Пакет Знаний

В кибербезе есть огромное множество различных аббревиатур, особенно среди инструментов, их классов и категорий. Более того, каждый год появляются всё новые и модные названия, которые также зашиваются в аббревиатуры 💥

Ужасно? Ужасно!

Сейчас у меня все эти mXDR, SOAR, IGA и иже с ними уже уложились более менее в голове и я могу в них ориентироваться, но в самом начале пути это был сущий ад, среди которого что-то запомнить просто невозможно. И это учитывая то, что параллельно нужно было погружаться в нормативку (ФЗ ХХХ, ГОСТ ХХХХХ, Приказ ХХ и т.д.) и уязвимости (CSRF, IDOR, XXE и прочие) 🏥

В общем, к чему это я. Наткнулся тут на одну картинку, где выделены основные категории средств/инструментов защиты. Во-первых, тут есть основные представители этого зоопарка, во-вторых, они хоть как-то сгруппированы, что может вам помочь. Читаем, запоминаем, сохраняем, распространяем.

#BaseSecurity

🧠 Твой Пакет Знаний

Это база 🤓

Ловите годный альманах от CIS (Center for Internet Security) по основным контролям – по тому, за чем нужно следить в первую очередь, когда речь заходит о кибербезопасности любой системы, продукта или даже компании.

Там есть как вводная по каждому контролю, так и пояснительная бригада по инструментам и процессам. К прочтению прям обязательно. Вот тут можно открыть в браузере – ссылка

#BaseSecurity

🧠 Твой Пакет Знаний

Нас тут уже почти 1 000 человек, друзья, на часах 27 декабря, а это значит, что настало время подвести скромные итоги 2024 года.

Всех с наступающим ☺️

🧠 Твой Пакет Знаний

UPD: в комментариях есть гифка в нормальном качестве

На собеседованиях часто заходит речь о сетевых протоколах и иногда интервьюер может попросить вас углубиться в тот или иной. Да, модель OSI и TCP/IP – база, но нюанс в том, что сетевых протоколов сотни.

Собственно, ловите 12 самых популярных сетевых протоколов с небольшой группировкой по применимости. И да, этот вопрос касается как безопасников, так и ДевОпсов, так и разработчиков, так и тестировщиков.

𝐖𝐞𝐛 𝐂𝐨𝐦𝐦𝐮𝐧𝐢𝐜𝐚𝐭𝐢𝐨𝐧 𝐏𝐫𝐨𝐭𝐨𝐜𝐨𝐥𝐬
➥ 𝐇𝐓𝐓𝐏 & 𝐇𝐓𝐓𝐏𝐒
➸ 𝐇𝐓𝐓𝐏: Core protocol for web data transfer
➸ 𝐇𝐓𝐓𝐏𝐒: Encrypted version for secure communication
➸ Foundation of modern web interactions

➥ 𝐅𝐢𝐥𝐞 𝐓𝐫𝐚𝐧𝐬𝐟𝐞𝐫 𝐏𝐫𝐨𝐭𝐨𝐜𝐨𝐥𝐬
➸ 𝐅𝐓𝐏: Standard file transfer between client/server
➸ 𝐒𝐒𝐇: Secure channel for remote operations
➸ 𝐒𝐒𝐋/𝐓𝐋𝐒: Security layer for network communications

𝐂𝐨𝐫𝐞 𝐈𝐧𝐭𝐞𝐫𝐧𝐞𝐭 𝐏𝐫𝐨𝐭𝐨𝐜𝐨𝐥𝐬
➥ 𝐓𝐫𝐚𝐧𝐬𝐩𝐨𝐫𝐭 𝐋𝐚𝐲𝐞𝐫
➸ 𝐓𝐂𝐏: Reliable, ordered data delivery
➸ 𝐔𝐃𝐏: Fast, connectionless communication
➸ Essential for internet functionality

➥ 𝐍𝐞𝐭𝐰𝐨𝐫𝐤 𝐋𝐚𝐲𝐞𝐫
➸ 𝐈𝐏: Handles packet routing across networks
➸ 𝐃𝐇𝐂𝐏: Manages automatic IP addressing

𝐒𝐩𝐞𝐜𝐢𝐚𝐥𝐢𝐳𝐞𝐝 𝐏𝐫𝐨𝐭𝐨𝐜𝐨𝐥𝐬
➥ 𝐄𝐦𝐚𝐢𝐥 𝐂𝐨𝐦𝐦𝐮𝐧𝐢𝐜𝐚𝐭𝐢𝐨𝐧
➸ 𝐒𝐌𝐓𝐏: Handles email sending
➸ 𝐏𝐎𝐏3: Manages email retrieval

➥ 𝐍𝐞𝐭𝐰𝐨𝐫𝐤 𝐒𝐞𝐫𝐯𝐢𝐜𝐞𝐬
➸ 𝐍𝐓𝐏: Network time synchronization
➸ Critical for system coordination

#BaseSecurity #Network

🧠 Твой Пакет Знаний

Пару лет назад у меня на собеседовании спросили "А что происходит после того, как ты вводишь в браузер адрес сайта и нажимаешь Enter?". Мне этот вопрос тогда показался лёгким, поэтому я быстро на пальцах раскидал за 2 минуты, как мы стучимся в DNS, как у нас устанавливается HTTPS-соединение, как запрос улетает с фронта на бэкенд и т.д.

Но сразу же после этого меня попросили рассказать поподробнее про каждый этап и в какой-то момент я начал тонуть. По итогу этот вопрос вылился в получасовое расследование того, где там какие пакеты, при чем тут кэш, как мы связываемся с деревом DOM и прочие сложные штуки, о которых я раньше даже не задумывался. И да, оффер я тогда свой упустил, но сколько же опыта и знаний загрузилось в мою голову за эти 30 минут.

Так к чему же вся эта история? А к тому, что я наткнулся на гифку, на которой всё это не только описано, но и нарисовано. Советую посмотреть, осознать и сохранить – может пригодиться.

UPD: Телеграм по-классике решил съесть у гифки всё качество, поэтому заменил на картинку.

#BaseSecurity #Network

🧠 Твой Пакет Знаний

А что у вас всплывает в голове, когда речь заходит о безопасности API, а возможности загуглить или запромтить нет? А должно вот это 👇

1. Authentication
- Use Strong Passwords/Tokens (e.g., OAuth 2.0, JWT).
- Multi-Factor Authentication (MFA)

2. Authorization
- Role-Based Access Control (RBAC)
- Attribute-Based Access Control (ABAC)

3. Rate Limiting
- Limit the number of requests per user/IP address to protect against DDoS attacks.
- Tiered Access

4. Input Validation & Data Sanitization
- Validate All Input
- Parameterize Queries

5. Encryption
- Use HTTPS
- Encrypt Sensitive Data at Rest

6. Error Handling
- Avoid revealing sensitive information in error responses.
- Log Errors Securely

7. Logging & Monitoring
- Real-Time Monitoring
- Aggregate and analyze logs for threat detection.

8. Security Headers
- Content Security Policy (CSP), HTTP Strict Transport Security (HSTS), X-Frame-Options, etc.
- Ensure headers align with current security best practices.

9. Token Expiry
- Short-Lived Tokens: Minimize the window of opportunity for attackers.
- Refresh Tokens (if needed): Balance security with user experience.

10. IP Whitelisting
- Allow API calls only from trusted IP addresses.
Caution: Not ideal for dynamic IP environments or large user bases.

11. Web Application Firewall (WAF)
- Detect and block common web attacks at the application layer.
- Keep up with the latest threats.

12. API Versioning
- Allow older clients to continue using previous versions while introducing new features.
- Clearly communicate end-of-life for older versions.

13. Secure Dependencies
- Patch vulnerabilities promptly.
- Identify and address security risks in third-party components.

14. Intrusion Detection Systems (IDS)
- Monitor network traffic for suspicious patterns.
- Analyze logs and system events on individual servers.

15. Use of Security Standards & Frameworks
- Follow industry-recognized guidelines.
- Consider NIST Cybersecurity Framework, ISO 27001.

16. Data Redaction
- Mask Sensitive Data

#API #BaseSecurity

🧠 Твой Пакет Знаний

Ну что, готовы к крутой лекции по безопасности k8s от отца контейнеров @aleksey0xffd? OWASP k8s TOP 10, RBAC, security context для pod и контейнеров в нем, аутентификация и авторизация, безопасная конфигурация workloads, секреты, сегментация сети внутри кубера и многое другое.

В общем, вся база всего за час, а не за 10, как у практически всех площадок онлайн-образования. Смотрим, впитываем, образовываемся – ютуб и рутуб.

#BaseSecurity #DevSecOps

🧠 Твой Пакет Знаний

Устали доказывать бизнесу, что дешевле защититься от кибератаки, чем её пережить? – Тогда мы идём к вам

Ребята из ExtraHop выкатили интересное исследование на тему того, как кибератаки с утечками данных влияют на бизнес и как больно они бьют по кошельку. Отчет так и называется – True Cost of Security Breach.

Потеря доверия клиентов, уменьшение прибыли, падение стоимости акций, расходы на тушение пожаров после инцидентов, простои, судебные издержки, штрафы и прочие плоды халатного отношения к кибербезопасности.

Такое мы не только читаем, но и используем для аргументации.

🧠 Твой Пакет Знаний | 🛍 Другие каналы

Астрологи объявили неделю практики

Теория, это конечно хорошо, но все мы знаем, что если знания вовремя не подкрепить практикой, то они быстро выветрятся.

Однажды я уже выложил в этом канале вопросы с собеседований, которые я долго копил и собирал в архивах, ну а теперь заметил, что у меня в материалах с менторства накопилось уже достаточное количество площадок-тренажеров для оттачивания навыков.

Ну а это значит, что пора заопенсорсить и эту годноту. Их там правда очень много, поэтому будем делать это партиями. начнём с синей команды.

Тренажеры для Blue Team

- Cybersecurity Blue Team Labs & Training – [ссылка](https://cyberdefenders.org/blue-team-labs/)
- Blue Team Labs – [ссылка](https://blueteamlabs.online/)
- Security Blue Team – [ссылка](https://www.securityblue.team/)
- Blue Team Cybersecurity Lab – [ссылка](https://blueteamcybersecuritylabs.com/)
- LetsDefend- [ссылка](https://letsdefend.io/)
- Defbox - [ссылка](https://defbox.io/)
- Attack-Defense - [ссылка](https://attackdefense.com/)

#SOC #Practice

🧠 Твой Пакет Знаний | 🛍 Другие каналы

Продолжаем тренироваться, а это значит, что настало время самых популярных тренажёров и сервисов для Красной команды 🤬

Тренажеры и CTF для Red Team

- Две суперзвезды на арене практического тестирования на проникновение – [Hack The Box](https://app.hackthebox.com/machines) и [TryHackMe](https://tryhackme.com/)
- Красивый тренажер для эксплуатации всего самого популярного, включая рейтинги OWASP – [Kontra](https://application.security/free/owasp-top-10)
- Лабы от PortSwigger – [ссылка](https://portswigger.net/web-security/all-labs)
- Для любителей Линукс-дистрибутивов – [OverTheWire Bandit](https://overthewire.org/wargames/bandit/) и [Linux Journey](https://linuxjourney.com/)
- Для любителей реверс-инжиниринга – [Crackmes one](https://crackmes.one/) и [pwnable tw](https://pwnable.tw/)
- Standoff365 - [ссылка](https://range.standoff365.com/)
- Attack-Defense - [ссылка](https://attackdefense.com/)
- Alert to win - [ссылка](https://alf.nu/alert1)
- CryptoHack - [ссылка](https://cryptohack.org/)
- CMD Challenge - [ссылка](https://cmdchallenge.com/)
- Defend The Web - [ссылка](https://defendtheweb.net/)
- Exploitation Education - [ссылка](https://exploit.education/)
- Hacker101 - [ссылка](https://ctf.hacker101.com/)
- Hacking-Lab - [ссылка](https://hacking-lab.com/)
- ImmersiveLabs - [ссылка](https://immersivelabs.com/)
- Infinity Learning CWL - [ссылка](https://cyberwarfare.live/infinity-learning/)
- NewbieContest - [ссылка](https://www.newbiecontest.org/)
- OverTheWire - [ссылка](http://overthewire.org/)
- Pentesterlab - [ссылка](https://pentesterlab.com/)
- PentestIT LAB - [ссылка](https://lab.pentestit.ru/)
- PWNABLE - [ссылка](https://pwnable.kr/play.php)
- Root-Me - [ссылка](https://www.root-me.org/)
- SANS Holiday hack - [ссылка](https://www.sans.org/mlp/holiday-hack-challenge-2024)
- SmashTheStack - [ссылка](https://www.smashthestack.org/main.html)
- Vulnhub - [ссылка](https://www.vulnhub.com/)
- Vulnmachine - [ссылка](https://www.vulnmachines.com/)
- Websploit - [ссылка](https://websploit.org/)
- Zenk-Security - [ссылка](https://www.zenk-security.com/)

CTF

- Сборник различных CTF-ов в одном месте – [CTFtime](https://ctftime.org/) + отечественный аналог – [Codeby.games](https://codeby.games/)
- Google CTF - [ссылка](https://capturetheflag.withgoogle.com/)
- PicoCTF - [ссылка](https://picoctf.com/)

#Pentest #Practice

🧠 Твой Пакет Знаний | 🛍 Другие каналы

Ну а теперь плавно переходим практической безопасности в мире криптовалют web3 и блокчейнов. Да, такие тоже есть и их достаточно.

Тренажеры по web3

- CryptoZombies – [ссылка](https://cryptozombies.io/)
- The Cryptopals Crypto Challenges - [ссылка](https://cryptopals.com/)
- LearnWeb3 – [ссылка](https://www.learnweb3.io/)
- Smart Contract Engineer – [ссылка](https://www.smartcontract.engineer/)
- Solidity by Example – [ссылка](https://solidity-by-example.org/)
- Web3 University – [ссылка](https://www.web3.university/)
- useWeb3 – [ссылка](https://www.useweb3.xyz/)

CTF по web3

- Capture the Ether – [ссылка](https://capturetheether.com/)
- Security Innovation Blockchain CTF – [ссылка](https://blockchain-ctf.securityinnovation.com/#/)
- Damn Vulnerable DeFi – [ссылка](https://www.damnvulnerabledefi.xyz/)
- The Ethernaut – [ссылка](https://ethernaut.openzeppelin.com/)
- ONLYPWNER - EVM CTF Platform – [ссылка](https://onlypwner.xyz)
- GOAT Casino – [ссылка](https://github.com/nccgroup/GOATCasino)
- ciphershastra CTF – [ссылка](https://ciphershastra.com/)
- Paradigm CTF – [ссылка](https://github.com/paradigm-operations/paradigm-ctf-2021)
- Blocksec CTFs – [ссылка](https://github.com/blockthreat/blocksec-ctfs)
- DeFiVulnLabs – [ссылка](https://github.com/SunWeb3Sec/DeFiVulnLabs)
- Vulnmachines (Blockchain hacking) – [ссылка](https://www.vulnmachines.com/)
- QuillCTF – [ссылка](https://quillctf.super.site/)

#web3 #Practice

🧠 Твой Пакет Знаний | 🛍 Другие каналы

Для тех, у кого туговато идёт чтение литературы на иностранных языках – ловите нейросеть, которая умеет переводить целые книги – ссылка

Она частично бесплатная – до 20 000 слов, но платный тариф стоит всего $10/месяц. В нейронке зашито очень много языков и форматов (в том числе .doc, .docx, .xls, .xlsx, .pdf), которые она воспринимает.

Зарубежных книг, исследований и аналитических материалов очень много, так что точно пригодится.

🧠 Твой Пакет Знаний | 🛍 Другие каналы

Впитываем базу по протоколам и архитектуре API

Нашел тут красивую инфографику на тему API. Есть нюансы по REST и EDA, но в целом годно и объёмно, так что пробежаться и зафиксировать у себя в голове лишним не будет.

Да, тут не столько про безопасность, сколько про IT, но вы же помните, что мы не можем защищать и атаковать то, чего не понимаем. Ниже нотация на случай, если не можете разглядеть на картинке.

1. REST (Representational State Transfer)
- An architectural style for designing networked applications.
- It emphasizes stateless communication, the use of standard HTTP methods (GET, POST, PUT, DELETE), and resources identified by URLs.

2. GraphQL
- A query language for APIs that allows clients to request exactly the data they need, nothing more and nothing less.
- This efficiency is a major advantage over REST, where endpoints often return fixed data structures.

3. SOAP (Simple Object Access Protocol)
- A protocol for exchanging structured information in the form of XML messages over a network.

4. gRPC (Google Remote Procedure Call)
- A high-performance, open-source framework for remote procedure calls (RPCs).
- It uses Protocol Buffers (a compact binary format) for data serialization.

5. Webhooks
- A mechanism for real-time communication between applications.
- A webhook is essentially an HTTP callback triggered by a specific event in one system, which sends a notification to another system.

6. WebSockets
- A protocol providing full-duplex communication channels over a single TCP connection.
- WebSockets enable real-time data exchange between a client and a server.

7. MQTT (Message Queuing Telemetry Transport)
- A lightweight publish-subscribe messaging protocol designed for low-bandwidth, high-latency, or unreliable networks.
- It is commonly used in IoT (Internet of Things) applications.

8. AMQP (Advanced Message Queuing Protocol)
- An open standard protocol for message-oriented middleware.
- AMQP provides features like reliable message delivery, routing, and queuing, making it suitable for enterprise integration scenarios.

9. EDA (Event-Driven Architecture)
- A software architecture pattern where applications react to events (e.g., user actions, sensor readings).
- EDA promotes loose coupling and scalability.

10. EDI (Electronic Data Interchange)
- A set of standards for exchanging business documents (e.g., purchase orders, invoices) electronically between organizations.
- EDI is widely used in supply chain management and logistics.

11. SSE (Server-Sent Events)
- A server-push technology that allows a server to send updates to a client over an HTTP connection in a unidirectional manner.

#BaseSecurity #API

🧠 Твой Пакет Знаний | 🛍 Другие каналы

Ну а кто, если не они

OWASP выпустил свой Top 10 для LLM (Large Language Model) Applications. Если по-русски, то это всё тот же, всемирно признанный список самых опасных угроз безопасности, но не для веба, а для нейронок, LLM, ML и всего того, что пришло на смену web3.

В общем, такое уже надо знать много кому, поэтому читаем.

#AI

🧠 Твой Пакет Знаний | 🛍 Другие каналы

Харденинг

Есть такая область безопасности и ДевОпса под названием харденинг. Если коротко, то с помощью этого подхода можно обеспечить дополнительную безопасность чего-угодно (сервера, сети, БД, ОС) за счет уменьшения поверхности атаки = заколачивания окон досками.

Делается это обычно при помощи достаточно сурового затягивания болтов через конфигурации, отключения избыточных функций и доступов. Вещь в работе и на собесах нужная, так что забираем.

⚙ Целый сборник харденинг-годноты – раз и два
⚙ Чеклисты по харденингу всего и вся – ссылка

#BaseSecurity #DevSecOps #Network

🧠 Твой Пакет Знаний | 🛍 Другие каналы