Не одним htb едины
Гонял тут меня недавно один крутой АппСек на собеседовании по антипаттернам в коде, которые могут привести к эксплуатации типовых уязвимостей в продакшене. Психика конечно пострадала (не только моя), но зато потом я сел и начал искать способы тренировки этого навыка. А то кажется, что делать это вдали от реального Git-а и SAST-а не так уж и просто. И я нашел.
В общем, это почти как Hack The Box или Try Hack Me, но для АппСек-ов. Заходим, выбираем челлендж и ищем уязвимости в коде. А вот и сам сервис – ссылка
#AppSec
🧠 Твой Пакет Знаний | 👨🏫 Менторство ИБ
📂 Другие каналы
Гонял тут меня недавно один крутой АппСек на собеседовании по антипаттернам в коде, которые могут привести к эксплуатации типовых уязвимостей в продакшене. Психика конечно пострадала (не только моя), но зато потом я сел и начал искать способы тренировки этого навыка. А то кажется, что делать это вдали от реального Git-а и SAST-а не так уж и просто. И я нашел.
В общем, это почти как Hack The Box или Try Hack Me, но для АппСек-ов. Заходим, выбираем челлендж и ищем уязвимости в коде. А вот и сам сервис – ссылка
#AppSec
Please open Telegram to view this post
VIEW IN TELEGRAM
1❤12🤝3⚡2👍1
Вот и настало время анонса нового стрима. В этот раз тема не настолько техническая, но от этого не менее интересная.
Тут один из менти по направлению пентеста хочет рассказать вам, "Почему вы пишете заметки неправильно". Он в этом гуру, и именно поэтому ни одна пройденная им машина на Hack The Box или TryHackMe никогда не будет забыта, в приобретенный опыт навсегда останется в его багаже.
Умение правильно фиксировать и структурировать информацию в наше время правда очень важно, потому что этой информации становится все больше. И касается это далеко не только мира кибербезопасности или образования в целом.
Ну а тайны мироздания вам поведает в этот раз Костя (@AloshkaCigan).
🗓 Когда: 16 апреля в 19:00 по мск
📍 Где: прямо в этом канале в формате стрима
🧠 Твой Пакет Знаний | 👨🏫 Менторство ИБ
📂 Другие каналы
Тут один из менти по направлению пентеста хочет рассказать вам, "Почему вы пишете заметки неправильно". Он в этом гуру, и именно поэтому ни одна пройденная им машина на Hack The Box или TryHackMe никогда не будет забыта, в приобретенный опыт навсегда останется в его багаже.
Умение правильно фиксировать и структурировать информацию в наше время правда очень важно, потому что этой информации становится все больше. И касается это далеко не только мира кибербезопасности или образования в целом.
Ну а тайны мироздания вам поведает в этот раз Костя (@AloshkaCigan).
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥21🤝4🤩3
Пакет Знаний | Кибербезопасность
Чуть поменял закрепленный пост и добавил туда напоминание о предложке. Поэтому, если у вас есть что-то интересное, чем вы бы хотели поделиться с миром через этот канал – смело пишите @romanpnn
🫡3⚡1🤝1
Дамы и господа, уже сегодня в 19:00 нас ждет стрим с разбором того, как правильно писать заметки. Так что не забываем, ставим себе напоминание и зовём друзей. До встречи 🕺
Please open Telegram to view this post
VIEW IN TELEGRAM
Telegram
Пакет Знаний | Кибербезопасность
Вот и настало время анонса нового стрима. В этот раз тема не настолько техническая, но от этого не менее интересная.
Тут один из менти по направлению пентеста хочет рассказать вам, "Почему вы пишите заметки неправильно". Он в этом гуру, и именно поэтому…
Тут один из менти по направлению пентеста хочет рассказать вам, "Почему вы пишите заметки неправильно". Он в этом гуру, и именно поэтому…
❤10🔥6👏6
А вот и пост для ваших вопросов и обратной связи. Можете либо писать в комментах под ним, либо сразу прыгать в этот чат
Telegram
Чат Знаний | Кибербезопасность
Роман Панин invites you to join this group on Telegram.
Запись стрима
Тема: Почему вы пишете заметки неправильно
Автор: Ахманов Константин (@AloshkaCigan)
А вот и ссылки:
-📹 Youtube
-📺 VK Video
-📺 Rutube
Всем еще раз спасибо за то, что зашли послушать и за вашу обратную связь.
🧠 Твой Пакет Знаний | 👨🏫 Менторство ИБ
📂 Другие каналы
Тема: Почему вы пишете заметки неправильно
Автор: Ахманов Константин (@AloshkaCigan)
А вот и ссылки:
-
-
-
Всем еще раз спасибо за то, что зашли послушать и за вашу обратную связь.
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥15👍4🏆4🆒1
Не одним кибербезом едины, как говорится. Ловите достаточно неплохую подборку нейросетевых сервисов, которые решают узко-прикладные задачи.
Половина, как и всегда, работает через пень-колоду, но некоторые правда показывают себя лучше, чем попсовый ЧатГПТ. Если качество сильно пожмёт, то пишите, пришлю исходник.
🧠 Твой Пакет Знаний | 👨🏫 Менторство ИБ
📂 Другие каналы
Половина, как и всегда, работает через пень-колоду, но некоторые правда показывают себя лучше, чем попсовый ЧатГПТ. Если качество сильно пожмёт, то пишите, пришлю исходник.
Please open Telegram to view this post
VIEW IN TELEGRAM
👍7⚡2🫡2❤1🔥1🤩1
Please open Telegram to view this post
VIEW IN TELEGRAM
👍7👏2❤1🤝1
Ловите сборник бесплатных лабораторных – ссылка
Там и NGFW потыкать можно, и кое что из CCNA Security. Советую еще поковырять этот сайт, там много годноты.
#BaseSecurity #Network #Practice
🧠 Твой Пакет Знаний | 👨🏫 Менторство ИБ
📂 Другие каналы
Там и NGFW потыкать можно, и кое что из CCNA Security. Советую еще поковырять этот сайт, там много годноты.
#BaseSecurity #Network #Practice
Please open Telegram to view this post
VIEW IN TELEGRAM
⚡8👍6🔥4❤1🤩1
Forwarded from Пакет Безопасности
Бот для ваших вопросов
Я тут в рамках менторства решил сделать бота, с помощью которого любой желающий абсолютно бесплатно сможет задать свой вопрос по кибербезопасности или карьере в ИБ.
Ну а мы с менторами, по ту сторону бота, будем на эти вопросы отвечать. Чем точнее и конкретнее будет сформулирован вопрос, тем вероятнее мы сможем с ним помочь.
В чем смысл? Да в том, что:
1. Не у всех есть деньги на менторство или консультации, а далеко не все вопросы гуглятся и ресерчатся с помощью ChatGPT (особенно когда нет опыта и насмотренности).
2. В нашем чате или в комментариях к постам многие задать свой вопрос банально стесняются.
3. Да просто потому что эта мысль пришла мне в голову и потому что могу.
В общем, мы с менторами ждем ваших вопросов – @cybersec_help_bot
И помните самую главную пацанскую цитату из пабликов ВК – "Глупых вопросов не бывает. Глуп тот вопрос, который не был задан."🐺
Я тут в рамках менторства решил сделать бота, с помощью которого любой желающий абсолютно бесплатно сможет задать свой вопрос по кибербезопасности или карьере в ИБ.
Ну а мы с менторами, по ту сторону бота, будем на эти вопросы отвечать. Чем точнее и конкретнее будет сформулирован вопрос, тем вероятнее мы сможем с ним помочь.
В чем смысл? Да в том, что:
1. Не у всех есть деньги на менторство или консультации, а далеко не все вопросы гуглятся и ресерчатся с помощью ChatGPT (особенно когда нет опыта и насмотренности).
2. В нашем чате или в комментариях к постам многие задать свой вопрос банально стесняются.
3. Да просто потому что эта мысль пришла мне в голову и потому что могу.
В общем, мы с менторами ждем ваших вопросов – @cybersec_help_bot
И помните самую главную пацанскую цитату из пабликов ВК – "Глупых вопросов не бывает. Глуп тот вопрос, который не был задан."
Please open Telegram to view this post
VIEW IN TELEGRAM
Telegram
Кибербот | Пакет Безопасности
Этому боту ты можешь задавать несложные вопросы по ИБ и карьере, а мы с менторами будем пытаться тебе с ними помочь.
🔥9👍5🤩2⚡1
Я там в канале по менторству начал постить разборы ключевых направлений в кибербезе – роли, кто чем занимается, какие обязанности, почему та или иная роль важна, как может выглядеть рабочий день такого-то специалиста, как им стать и т.д.
Но тот канал закрытый и ссылки работать для большинства из вас не будут. Поэтому я решил, что буду сюда пересылать это добро, а потом соберу это все в одну статью и навигационный пост для удобства.
Как-то так.
🔥 – крутая идея!
🐳 – да я и так всё знаю!
Но тот канал закрытый и ссылки работать для большинства из вас не будут. Поэтому я решил, что буду сюда пересылать это добро, а потом соберу это все в одну статью и навигационный пост для удобства.
Как-то так.
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥33❤2🐳2🍓1
Начнем с АппСек-ов
Я тут недавно зацепился в чате с одним крутым безопасником на тему того, как вообще должен выглядеть Application Security инженер и кем он является на самом деле.
Его позиция заключалась в том, что АппСек должен брать на себя всё, что касается безопасности кода, компонентов и приложений, начиная от ревью фичей, заканчивая несложным пентестом. В общем, покрывать почти весь Secure SDLC.
Я же стоял на том, что на рынке сейчас подавляющее большинство ребят, которые умеют только уязвимости от SAST-ов триажить, антипаттерны в коде вылавливать и с безопасностью компонентов работать. И если брать шире, то начнет страдать качество и глубина погружения.
Ах да, и в его, и в моем случае им надо еще успевать общаться с разработчиками и пояснять им за безопасность.
Победителя, как понимаете, тут нет. Но на рынке сейчас правда существует две концепции АппСек-ов. Но я все еще остаюсь приверженцем подхода, в котором надо делать хоть и узко, но качественно. Либо учиться всему и сразу, но садиться за безопасность какого-нибудь одного продукта. Брать денег при этом надо сильно больше, как по мне.
Вот кстати можете еще глянуть доклад на эту тему – ссылка. Тут круто то, что девушка затронула вопрос того, что AppSec – это не только про мобилку и веб. Это еще и про такие специфики, как IoT, операционки и всё то, что могут производить на свет инженеры и разработчики.
В общем, смотрим и читаем разбор того самого направления👇
🧠 Твой Пакет Знаний | 👨🏫 Менторство ИБ
📂 Другие каналы
Я тут недавно зацепился в чате с одним крутым безопасником на тему того, как вообще должен выглядеть Application Security инженер и кем он является на самом деле.
Его позиция заключалась в том, что АппСек должен брать на себя всё, что касается безопасности кода, компонентов и приложений, начиная от ревью фичей, заканчивая несложным пентестом. В общем, покрывать почти весь Secure SDLC.
Я же стоял на том, что на рынке сейчас подавляющее большинство ребят, которые умеют только уязвимости от SAST-ов триажить, антипаттерны в коде вылавливать и с безопасностью компонентов работать. И если брать шире, то начнет страдать качество и глубина погружения.
Ах да, и в его, и в моем случае им надо еще успевать общаться с разработчиками и пояснять им за безопасность.
Победителя, как понимаете, тут нет. Но на рынке сейчас правда существует две концепции АппСек-ов. Но я все еще остаюсь приверженцем подхода, в котором надо делать хоть и узко, но качественно. Либо учиться всему и сразу, но садиться за безопасность какого-нибудь одного продукта. Брать денег при этом надо сильно больше, как по мне.
Вот кстати можете еще глянуть доклад на эту тему – ссылка. Тут круто то, что девушка затронула вопрос того, что AppSec – это не только про мобилку и веб. Это еще и про такие специфики, как IoT, операционки и всё то, что могут производить на свет инженеры и разработчики.
В общем, смотрим и читаем разбор того самого направления
Please open Telegram to view this post
VIEW IN TELEGRAM
❤7👍4🔥1
Forwarded from Менторство ИБ | Пакет Безопасности
AppSec
AppSec (Application Security) — это направление кибербезопасности, которое фокусируется на защите приложений (веб, мобильных, десктопных) от уязвимостей и атак.
AppSec-инженер — это специалист, который встраивает и отвечает за безопасность в процессе разработки программного обеспечения (ПО), чтобы предотвратить появление уязвимостей до того, как они станут проблемой и смогут быть проэксплуатированы плохими ребятами.
Чем занимается AppSec-инженер
Его главная задача — сделать так, чтобы приложение было/стало безопасным на этапе проектирования, разработки и тестирования. В отличие от пентестеров или этичных хакеров (которые ищут уже существующие дыры), AppSec-инженер старается предотвратить их появление.
Основные обязанности
1. Статический анализ кода (SAST) – автоматизированная проверка исходного кода на уязвимости (SQL-инъекции, XSS, десериализация и т. д.).
2. Динамический анализ (DAST) – тестирование работающего приложения (например, через сканеры вроде OWASP ZAP или Burp Suite).
3. Проверка зависимостей (SCA) – поиск уязвимых библиотек (например, через Dependency Track или Snyk).
4. Участие в Code Review – ручной анализ кода с точки зрения безопасности.
5. Консультации разработчиков – объяснение уязвимостей и способов (и что самое главное – ценности) их исправления.
6. (иногда) Настройка DevSecOps-процессов – интеграция инструментов безопасности в CI/CD (например, проверки в GitLab CI/GitHub Actions).
7. (иногда) Threat Modeling – анализ архитектуры приложения на потенциальные угрозы.
8. (иногда) Обучение команды – проведение тренингов по безопасной разработке (Secure Coding).
---
Почему AppSec важен
- Большинство атак начинаются с уязвимостей в приложениях (OWASP Top 10), которые можно предотвратить еще до того, как завершена разработка.
- Безопасность "на поздних этапах" дороже – проще исправить код до релиза, чем латать дыры в продакшене.
- Комплаенс и законы – многие стандарты (ГОСТы, PCI DSS, ISO 27001) требуют безопасной разработки.
---
Как может выглядеть рабочий день AppSec-инженера
1. Разбор отчетов со сканеров (SAST/DAST/SCA), приоритизация найденных уязвимостей.
2. Встреча с разработчиками – обсуждение критичных проблем (например, найденной SQL-инъекции).
3. Code Review (редко) – проверка merge/pull request’ов в Git.
4. Написание скриптов/правил – автоматизация проверок (например, кастомные правила для Semgrep).
5. Threat Modeling нового функционала – оценка рисков перед началом разработки.
6. Исследование новых инструментов – например, тестирование ShiftLeft или Checkmarx.
7. Документирование – обновление политик безопасности, написание гайдов для разработчиков.
---
Как стать AppSec-инженером
1. Базовые знания:
- Понимание OWASP Top 10.
- Опыт в разработке (хотя бы на базовом уровне, чтобы читать код).
- Знание сетевой безопасности (HTTP, TLS, аутентификация).
2. Инструменты:
- SAST: Semgrep, SonarQube, Checkmarx.
- DAST: OWASP ZAP, Burp Suite.
- SCA: Snyk, Dependency Track.
3. Практика:
- Участие в bug bounty.
- Лаборатории типа PortSwigger Web Security Academy.
4. Сертификации (не обязательны, но полезны на первых порах):
- Offensive Security Certified Professional (OSCP) – для углубленного понимания атак.
- Certified Secure Software Lifecycle Professional (CSSLP) – фокус на безопасную разработку.
---
Суммируем
AppSec — это мост между разработкой и безопасностью. Хороший AppSec-инженер не только ищет баги, но и помогает команде писать более безопасный код с самого начала. Нужно также учитывать, что разработчиков и самого кода становится все больше, а нейронки пока не научились заменять АппСек-ов, да и вакансий на рынке хватает.
В AppSec можно спокойно заходить тем, кто до этого занимался разработкой и тестированием. После освоения этой роли и получения некоторого опыта, можно смело двигаться в сторону уже более высокооплачиваемых DevSecOps-ов или AppSec Business Partner-ов.
#ликбез
👨🏫 Менторство ИБ | Чат
AppSec (Application Security) — это направление кибербезопасности, которое фокусируется на защите приложений (веб, мобильных, десктопных) от уязвимостей и атак.
AppSec-инженер — это специалист, который встраивает и отвечает за безопасность в процессе разработки программного обеспечения (ПО), чтобы предотвратить появление уязвимостей до того, как они станут проблемой и смогут быть проэксплуатированы плохими ребятами.
Чем занимается AppSec-инженер
Его главная задача — сделать так, чтобы приложение было/стало безопасным на этапе проектирования, разработки и тестирования. В отличие от пентестеров или этичных хакеров (которые ищут уже существующие дыры), AppSec-инженер старается предотвратить их появление.
Основные обязанности
1. Статический анализ кода (SAST) – автоматизированная проверка исходного кода на уязвимости (SQL-инъекции, XSS, десериализация и т. д.).
2. Динамический анализ (DAST) – тестирование работающего приложения (например, через сканеры вроде OWASP ZAP или Burp Suite).
3. Проверка зависимостей (SCA) – поиск уязвимых библиотек (например, через Dependency Track или Snyk).
4. Участие в Code Review – ручной анализ кода с точки зрения безопасности.
5. Консультации разработчиков – объяснение уязвимостей и способов (и что самое главное – ценности) их исправления.
6. (иногда) Настройка DevSecOps-процессов – интеграция инструментов безопасности в CI/CD (например, проверки в GitLab CI/GitHub Actions).
7. (иногда) Threat Modeling – анализ архитектуры приложения на потенциальные угрозы.
8. (иногда) Обучение команды – проведение тренингов по безопасной разработке (Secure Coding).
---
Почему AppSec важен
- Большинство атак начинаются с уязвимостей в приложениях (OWASP Top 10), которые можно предотвратить еще до того, как завершена разработка.
- Безопасность "на поздних этапах" дороже – проще исправить код до релиза, чем латать дыры в продакшене.
- Комплаенс и законы – многие стандарты (ГОСТы, PCI DSS, ISO 27001) требуют безопасной разработки.
---
Как может выглядеть рабочий день AppSec-инженера
1. Разбор отчетов со сканеров (SAST/DAST/SCA), приоритизация найденных уязвимостей.
2. Встреча с разработчиками – обсуждение критичных проблем (например, найденной SQL-инъекции).
3. Code Review (редко) – проверка merge/pull request’ов в Git.
4. Написание скриптов/правил – автоматизация проверок (например, кастомные правила для Semgrep).
5. Threat Modeling нового функционала – оценка рисков перед началом разработки.
6. Исследование новых инструментов – например, тестирование ShiftLeft или Checkmarx.
7. Документирование – обновление политик безопасности, написание гайдов для разработчиков.
---
Как стать AppSec-инженером
1. Базовые знания:
- Понимание OWASP Top 10.
- Опыт в разработке (хотя бы на базовом уровне, чтобы читать код).
- Знание сетевой безопасности (HTTP, TLS, аутентификация).
2. Инструменты:
- SAST: Semgrep, SonarQube, Checkmarx.
- DAST: OWASP ZAP, Burp Suite.
- SCA: Snyk, Dependency Track.
3. Практика:
- Участие в bug bounty.
- Лаборатории типа PortSwigger Web Security Academy.
4. Сертификации (не обязательны, но полезны на первых порах):
- Offensive Security Certified Professional (OSCP) – для углубленного понимания атак.
- Certified Secure Software Lifecycle Professional (CSSLP) – фокус на безопасную разработку.
---
Суммируем
AppSec — это мост между разработкой и безопасностью. Хороший AppSec-инженер не только ищет баги, но и помогает команде писать более безопасный код с самого начала. Нужно также учитывать, что разработчиков и самого кода становится все больше, а нейронки пока не научились заменять АппСек-ов, да и вакансий на рынке хватает.
В AppSec можно спокойно заходить тем, кто до этого занимался разработкой и тестированием. После освоения этой роли и получения некоторого опыта, можно смело двигаться в сторону уже более высокооплачиваемых DevSecOps-ов или AppSec Business Partner-ов.
#ликбез
Please open Telegram to view this post
VIEW IN TELEGRAM
❤6👍4🔥2💩2🤡1
Forwarded from Пакет Безопасности
Поиск работы в ИБ
Написал тут для вас (и не только) новую статейку о том, какие этапы ждут того, кто планирует начать искать работу в ИБ. Чтиво подойдет как для матерых специалистов, так и для тех, кто только заглядывает в этот чудный мир кибербезопасности.
Жестокие блиц-скрининги, торги за оффер, детектор лжи и всё в этом духе. Статья логично дополняет и продолжает тему прошлой про написание лучшего резюме в галактике.
Ну а вот и сама статья – ссылка
Лайк, шер, репост, как говорится👍
⚡ Пакет Безопасности | 💬 Чат
🛍 Другие каналы
Написал тут для вас (и не только) новую статейку о том, какие этапы ждут того, кто планирует начать искать работу в ИБ. Чтиво подойдет как для матерых специалистов, так и для тех, кто только заглядывает в этот чудный мир кибербезопасности.
Жестокие блиц-скрининги, торги за оффер, детектор лжи и всё в этом духе. Статья логично дополняет и продолжает тему прошлой про написание лучшего резюме в галактике.
Ну а вот и сама статья – ссылка
Лайк, шер, репост, как говорится
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥9❤🔥2🤝2🤡1
А давайте потыкаем, кто чем занимается в кибербезе (и занимается ли вообще)
Anonymous Poll
13%
AppSec или DevSecOps
10%
Архитектор ИБ или Security Business Partner
7%
SOC (L1, L2. L3) или Форензик
4%
Аудитор ИБ
14%
Инженер/администратор СЗИ
11%
Pentest/BugHunter/RedTeam
4%
Методолог/Комплаенс/DPO
1%
Антифрод
23%
Другое (IT)
12%
Другое (не IT)
Ну что, продолжаем наш разбор ролей и направлений в мире ИБ. В этот раз на очереди одни из самых обеспеченных ребят – DevSecOps 👇
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from Менторство ИБ | Пакет Безопасности
DevSecOps
DevSecOps (Development + Security + Operations) — это подход, при котором безопасность (Sec) интегрируется в процессы разработки (Dev) и эксплуатации (Ops) на всех этапах жизненного цикла ПО.
DevSecOps-инженер — это специалист, который автоматизирует и внедряет практики безопасности в CI/CD-конвейер, обеспечивая защиту инфраструктуры, кода и данных без замедления процессов доставки ПО.
Чем занимается DevSecOps-инженер
Его главная задача — сделать безопасность неотъемлемой частью DevOps, а не отдельным этапом. В отличие от классических security-специалистов, DevSecOps работает с автоматизированными пайплайнами и инфраструктурой как код (IaC).
Основные обязанности
1. Интеграция security-инструментов в CI/CD:
- SAST/DAST/SCA (аналогично AppSec, но с упором на автоматизацию в сборках).
- Проверки инфраструктурного кода (Terraform, Ansible) на уязвимости (например, с помощью Checkov или Terrascan).
2. Защита облачной инфраструктуры:
- Настройка CSPM (Cloud Security Posture Management) — например, Prisma Cloud или AWS Security Hub.
- Мониторинг конфигураций облачных сервисов (AWS S3 buckets, IAM-ролей) на соответствие best practices.
3. Secrets Management:
- Контроль утечек данных (токены, пароли) через GitLeaks или HashiCorp Vault.
4. Контейнерная безопасность:
- Сканирование образов Docker на уязвимости (Trivy, Clair).
- Проверка Kubernetes-кластеров (Kube-bench, Falco).
5. Автоматизация комплаенса:
- Генерация отчетов для стандартов (GDPR, PCI DSS) с помощью OpenSCAP или Chef InSpec.
6. Мониторинг и реагирование:
- Настройка SIEM (Splunk, ELK) для детектирования аномалий в реальном времени.
- Интеграция с SOAR (например, TheHive) для автоматизированного реагирования.
---
Почему DevSecOps важен
Здесь думаю все очевидно, так как на этих ребятах порой держится вся безопасность в компаниях.
---
Как может выглядеть рабочий день DevSecOps-инженера
1. Проверка алертов от CSPM/SIEM, анализ ночных сканирований (например, уязвимостей в новых Docker-образах).
2. Работа с CI/CD:
- Доработка pipeline (например, добавление шага с Trivy для сканирования контейнеров).
- Разбор ложных срабатываний в SAST-отчетах (редко).
3. Облачная безопасность:
- Исправление мисконфигураций в AWS/GCP (например, публичный S3 bucket).
- Настройка политик доступа через IAM или Kubernetes RBAC.
4. Совместные задачи с DevOps:
- Внедрение принципа наименьших привилегий (PoLP) для сервисных аккаунтов.
- Оптимизация работы инструментов безопасности, чтобы не увеличивать время сборки.
5. Документирование:
- Обновление playbook-ов для реагирования на инциденты.
- Запись метрик (например, % уязвимых зависимостей в проектах).
---
Как стать DevSecOps-инженером
1. Базовые навыки:
- Опыт в DevOps (Docker, Kubernetes, Terraform, CI/CD).
- Понимание облачных платформ (AWS/GCP/Azure) и их нативных инструментов безопасности.
- Знание всего того, что было у AppSec-ов.
2. Инструменты:
- Сканирование кода: Semgrep, SonarQube.
- Cloud Security: Prisma Cloud, AWS GuardDuty.
- Контейнеры: Trivy, Anchore.
3. Практика:
- Развернуть небезопасный CI/CD (например, в GitLab) и защитить его.
- Пройти лабы от Pentester Academy (CloudSec, DevSecOps).
4. Сертификации:
- Certified DevSecOps Professional (CDP) — практический фокус.
- AWS Certified Security – Specialty — для облачных специалистов.
---
Суммируем
DevSecOps — это эволюция DevOps, где безопасность становится частью культуры. Если сравнивать с АппСек-ом и пытаться найти отличия, то чаще всего они заключаются в том, что DevSecOps встраивает и автоматизирует инструменты, а AppSec ими пользуется.
Также можно заметить, что на DevSecOps намного больше ответственности (инфраструктура, облака, продакшен). Чаще всего DevSecOps выступает в роли швейцарского ножа, который может закрыть практически любую потребности в ИБ. Отсюда такие зарплаты и спрос.
#ликбез
👨🏫 Менторство ИБ | Чат
DevSecOps (Development + Security + Operations) — это подход, при котором безопасность (Sec) интегрируется в процессы разработки (Dev) и эксплуатации (Ops) на всех этапах жизненного цикла ПО.
DevSecOps-инженер — это специалист, который автоматизирует и внедряет практики безопасности в CI/CD-конвейер, обеспечивая защиту инфраструктуры, кода и данных без замедления процессов доставки ПО.
Чем занимается DevSecOps-инженер
Его главная задача — сделать безопасность неотъемлемой частью DevOps, а не отдельным этапом. В отличие от классических security-специалистов, DevSecOps работает с автоматизированными пайплайнами и инфраструктурой как код (IaC).
Основные обязанности
1. Интеграция security-инструментов в CI/CD:
- SAST/DAST/SCA (аналогично AppSec, но с упором на автоматизацию в сборках).
- Проверки инфраструктурного кода (Terraform, Ansible) на уязвимости (например, с помощью Checkov или Terrascan).
2. Защита облачной инфраструктуры:
- Настройка CSPM (Cloud Security Posture Management) — например, Prisma Cloud или AWS Security Hub.
- Мониторинг конфигураций облачных сервисов (AWS S3 buckets, IAM-ролей) на соответствие best practices.
3. Secrets Management:
- Контроль утечек данных (токены, пароли) через GitLeaks или HashiCorp Vault.
4. Контейнерная безопасность:
- Сканирование образов Docker на уязвимости (Trivy, Clair).
- Проверка Kubernetes-кластеров (Kube-bench, Falco).
5. Автоматизация комплаенса:
- Генерация отчетов для стандартов (GDPR, PCI DSS) с помощью OpenSCAP или Chef InSpec.
6. Мониторинг и реагирование:
- Настройка SIEM (Splunk, ELK) для детектирования аномалий в реальном времени.
- Интеграция с SOAR (например, TheHive) для автоматизированного реагирования.
---
Почему DevSecOps важен
Здесь думаю все очевидно, так как на этих ребятах порой держится вся безопасность в компаниях.
---
Как может выглядеть рабочий день DevSecOps-инженера
1. Проверка алертов от CSPM/SIEM, анализ ночных сканирований (например, уязвимостей в новых Docker-образах).
2. Работа с CI/CD:
- Доработка pipeline (например, добавление шага с Trivy для сканирования контейнеров).
- Разбор ложных срабатываний в SAST-отчетах (редко).
3. Облачная безопасность:
- Исправление мисконфигураций в AWS/GCP (например, публичный S3 bucket).
- Настройка политик доступа через IAM или Kubernetes RBAC.
4. Совместные задачи с DevOps:
- Внедрение принципа наименьших привилегий (PoLP) для сервисных аккаунтов.
- Оптимизация работы инструментов безопасности, чтобы не увеличивать время сборки.
5. Документирование:
- Обновление playbook-ов для реагирования на инциденты.
- Запись метрик (например, % уязвимых зависимостей в проектах).
---
Как стать DevSecOps-инженером
1. Базовые навыки:
- Опыт в DevOps (Docker, Kubernetes, Terraform, CI/CD).
- Понимание облачных платформ (AWS/GCP/Azure) и их нативных инструментов безопасности.
- Знание всего того, что было у AppSec-ов.
2. Инструменты:
- Сканирование кода: Semgrep, SonarQube.
- Cloud Security: Prisma Cloud, AWS GuardDuty.
- Контейнеры: Trivy, Anchore.
3. Практика:
- Развернуть небезопасный CI/CD (например, в GitLab) и защитить его.
- Пройти лабы от Pentester Academy (CloudSec, DevSecOps).
4. Сертификации:
- Certified DevSecOps Professional (CDP) — практический фокус.
- AWS Certified Security – Specialty — для облачных специалистов.
---
Суммируем
DevSecOps — это эволюция DevOps, где безопасность становится частью культуры. Если сравнивать с АппСек-ом и пытаться найти отличия, то чаще всего они заключаются в том, что DevSecOps встраивает и автоматизирует инструменты, а AppSec ими пользуется.
Также можно заметить, что на DevSecOps намного больше ответственности (инфраструктура, облака, продакшен). Чаще всего DevSecOps выступает в роли швейцарского ножа, который может закрыть практически любую потребности в ИБ. Отсюда такие зарплаты и спрос.
#ликбез
Please open Telegram to view this post
VIEW IN TELEGRAM
⚡5🔥5❤1