Полезное и бесплатное

Ловите подборку годного образовательного контента для погружения в мир кибербезопасности – как со стороны атаки, так и защиты 👇

Для синих (защищающих) ребят:
- Введение в информационную безопасность от Selectel
- С нуля до аналитика DevSecOps | Введение в кибербезопасность
- КИБЕРБЕЗОПАСНОСТЬ 2024 | ТЕОРЕТИЧЕСКИЙ КУРС - ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ
- Мастер-классы по кибербезопасности от кафедры №42 "Криптология и кибербезопасность"

Для красных (атакующих) ребят:
- Полный учебный курс по этичному хакингу 2023 от нуля до мастерства
- Взлом Android приложений | Проверка приложений на уязвимость
- Взлом серверов и сетей | Международная сертификация OSCP
- Тестирования сайтов на уязвимость
- Практическое руководство по взлому веб-приложений
- Kali Linux для начинающих: основы, администрирование, взлом

Для всех сразу:
- Хакинг и кибербезопасность. Обучение от Skillbox

#DevSecOps #Pentest #AppSec #BaseSecurity

Твой Пакет Знаний | Кибербезопасность

Пэйлоад тайм

Что такое payload (в двух словах) можно почитать вот тут – ссылка. Ну а для тех, кто в курсе, ловите аж несколько сборников таких пэйлоадов. Для АппСеков и пентестеров – мастхэв 👇

🔒 Payloads All The Things (фаворит всего списка) – раз и два

🔒 Payload для XSS (Payload Box) – ссылка

🔒 Payload для SQLi (Payload Box) – ссылка

🔒 Payload для XXE (Payload Box) – ссылка

🔒 Payload для LFI | RFI (Payload Box) – ссылка

🔒 Payload для Command Injection (Payload Box) – ссылка

#AppSec #Pentest

Твой Пакет Знаний | Кибербезопасность

Безопасность API

Как сказал однажды один умный человек, "Надо знать прошлое, чтобы понимать настоящее и предвидеть будущее", так что сегодня делюсь с вами полезными историческими данными по безопасности API от некой Escape Security Research team – ссылка

Там есть информация по инцидентам, векторам атак и уязвимостям API. На настольную книгу не тянет, но разок пробежаться точно будет полезно. Ну и в дополнение ловите модель угроз для всё тех же API (а вот такого я еще не видел) – ссылка

#SecArch #AppSec #Pentest

🧠 Твой Пакет Знаний | Кибербезопасность

Больше визуала

Не знаю, кто изобрёл майндмапы, но то, что они упрощают поглощение полезного контента – знаю точно. Собственно, ловите целую коллекцию структурированной и визуализированной годноты по кибербезопасности – ссылка

Там и про безопасность API, и про тестирование 2FA, и даже роадмап общий есть (к которому конечно много вопросов). В общем, сохраняем.

#AppSec #Pentest #BaseSecurity

🧠 Твой Пакет Знаний | Кибербезопасность

Подборок много не бывает

Три подборки со сканерами и анализаторами (статическими и динамическими) всего, чего только можно – от бинарей и облаков до API и кода практически на любом попсовом языке.

Есть как платные инструменты (помним про триальные версии, кряки и манибэки), так и бесплатные.

✍️ Подборка раз (статика) – ссылка
✍️ Подборка два (динамика) – ссылка
✍️ Поборка три (веб) – ссылка

#AppSec #Pentest #DevSecOps

🧠 Твой Пакет Знаний | Кибербезопасность

Так вот, какие они бывают

Закинул в архив и забыл опубликовать 🤦‍♂️ Но, как говорится, лучше поздно, чем никогда, поэтому ловите схемку с ролями в кибербезопасности. В целом, расписано достаточно подробно, нарисовано достаточно симпатично, есть почти все роли – даже чемпиона по безопасности решили сюда засунуть. Больше всего конечно радует подпись практически на всех карточках "Есть в Инфосистемы Джет" 😀

Я кстати так и не понял, где там карьерные пути неисповедимы – карточки как-то связаны цветом и (возможно) нумерацией, но, из-за отсутствия какой-то пояснительной бригады легенды, так и не ясно – как. В любом случае, это точно будет отличным подспорьем для тех, кто свой карьерный путь только начинает, ну и остальным явно не помешает поглядеть. Джетам – респект.

#BaseSecurity

Твой Пакет Знаний | Кибербезопасность

Настало время опенсорса

Когда-то давно я начал собирать в своих закромах все вопросы, которые я периодически встречал на технических собеседованиях. Вопросы достаточно часто повторялись, хоть у них и менялись иногда формулировки, и в какой-то момент я осознал, что количество таких вопросов конечное и даже не очень большое.

По итогу я структурировал всё это добро, опубликовал для своих менти, а они сами периодически помогали мне дополнять этот раздел вопросами и кейсами со своих интервью или же какими-то полезными ссылками. Собственно настало время поделиться этим сокровищем с миром 🌈

Собеседования и так стрессовая штука, на которой некоторые запрещают гуглить (а это, я вам скажу, отдельный навык, который еще прокачать надо), давят психологически, не дают время на подумать и применяют другие техники для снижения когнитивных способностей (осуждаю 😡). Так что такой сборник вопросов точно лишним не будет, особенно для новичков.

Я не стал выгружать его PDF-кой, потому что эта страница постоянно пополняется и видоизменяется, и вам так будет проще сохранить ее в закладки и периодически поглядывать в нее.

Ну а вот и тот самый Список вопросов и кейсов на техническом интервью для ИБшников

#BaseSecurity

Твой Пакет Знаний | Кибербезопасность

В догонку к посту с вопросами с собеседований на разные специальности безопасников – ловите документ (уже добавил его в ноушен) с подобным контентом, но уже конкретно для тех, кто целится в SOC.

Там есть крутая разбивка по доменам и даже ответы с лайфхаками. А еще один герой (@maxutaaa) перевел для всех вас эту годноту, так что можете не сдерживать себя и отблагодарить его в личных сообщениях, если вам этот файл пригодился. В комментариях к посту скину оригинал на английском для любителей классики.

UPD: в комментариях обновленный перевод с оригинальными вопросами

#BaseSecurity #SOC

🧠 Твой Пакет Знаний

Похоже, у нас начался какой-то сезон SOCа – ловите еще одну крутую брошюрку, которая вам наверняка пригодится, если вы будете собеседоваться в SOC, TI или на инженера СЗИ.

Там подробно расписаны вопросы и ответы по теме анализа логов и событий. И эта годнота также бережно переведена нашим героем из прошлого поста – @maxutaaa 🤩

Если вы также что-то переводили или у вас просто есть ценные доки и ссылки для подготовки к собеседованиям – не сдерживайте себя и делитесь, с такими вещами жадничать точно не надо.

#BaseSecurity #SOC

🧠 Твой Пакет Знаний

Такое мы сохраняем

Я за свою жизнь прочитал не так много книг, особенно тех, что как-то связаны с кибербезопасностью. У меня как-то давно закралась и укоренилась мысль о том, что технологии развиваются сильно быстрее, чем пишутся (а тем более читаются) книги.

Именно поэтому я проводил достаточно много вечеров в ютубе со своими друзьями – индусами, ну или просто сидел в интернетах, читая очередную интересную статью, исследование или документацию (согласен, тут слово "интересная" не подходит). Ну и чаще всего я решал и изучал какие-то вопросы по мере поступления проблем, чтобы сразу закрепить полученные знания.

Своё мнение я не навязываю, тем более, что в книгах можно почерпнуть достаточно много той самой базы – фундамента, на котором строится не только ИБ, но и всё IT. Так что настало время составить и поделиться с вами подборкой достойных книг (на основе отзывов знакомых, коллег и одной нейросети), так что погнали 👇

📖 "Компьютерные сети" — Эндрю Таненбаум. Один из лучших учебников по сетям, охватывающий архитектуру и протоколы, начиная с простых основ и заканчивая более сложными аспектами. Другие книги автора тоже советую посмотреть.

📖 "Практическая криптография" — Брюс Шнайер. Основы шифрования и защиты данных от одного из ведущих экспертов в этой области.

📖 "Искусство тестирования на проникновение в сеть" — Ройс Дэвис. Тут всё и так очевидно.

📖 "Кибербезопасность для чайников" — Джозеф Штейнберг. Простая и понятная вводная по кибербезопасности, охватывающий основные аспекты защиты информации.

📖 "Социальная инженерия и социальные хакеры" — Максим Кузнецов, Игорь Симдянов. Как говорится, «Любители взламывают системы. Профессионалы взламывают людей».

Как-то так. Если вы знаете о книгах из мира информационной безопасности, которых нет в этом списке, но они должны в нём появиться – вэлкам в комментарии. И да, помните о том, что знания, не закрепленные практикой, очень быстро забываются 🤪

Твой Пакет Безопасности

Не одним опенсорсом едины

Да, порой бесплатных или условно-бесплатных инструментов становится недостаточно, особенно, когда дело касается энтерпрайза, сжатых сроков и резинового бюджета. Так что ловите подробнейший (боюсь представить, сколько на это ушло времени) обзор коммерческих решений по управлению уязвимостями – ссылка.

Полезно будет и начинающим ИБшникам кстати, так как все эти решения вы можете рано или поздно повстречать на своем карьерном пути. И нужно быть к этому готовыми. Ну и плюс ко всему, у вас явно должно расшириться восприятие всего Vulnerability Management после прочтения такой годноты. Читаем, сохраняем, рассылаем ⌨️

#BaseSecurity

🧠 Твой Пакет Знаний

Нападаем и защищаемся

Очень плотная книженция по содержанию – там кажется есть все необходимые в работе концепции как защиты, так и атаки – киллчейны, практики реагирования на инциденты, разведка, векторы атак и компрометаций, эскалации и горизонтальные перемещения, всевозможные секьюрити полиси, разборы вредоносов, и даже TI. Книжка пережила уже несколько изданий, а это значит, что спрос есть.

Лично я такого объема разной и полезной информации по кибербезопасности давно не видел в одном месте, если вообще и видел хоть раз – это вам не брошюрка по DevSecOps. Да, есть один нюанс – оно на английском, но я думаю, что в 2024 году вы сможете справиться с этим препятствием. По крайней мере, оно того действительно стоит. Качаем, читаем, сохраняем, пересылаем коллегам по цеху.

#BaseSecurity

🧠 Твой Пакет Знаний

Годная брошюрка по Secure by design (еще и с картиночками) 👍

Вводную часть про то, что это вообще такое, можно пропустить (быстрее будет почитать на эту тему ликбез с Хабра), а вот на разделе про защиту этой концепции перед бизнесом я бы вчитался поподробнее – там есть интересная формула, да и в целом концепт аргументации через подсчет денег и времени.

В общем, чтиво годно, советую полистать. Подрезал кстати у AppSec Journey

#BaseSecurity

🧠 Твой Пакет Знаний