Настало время опенсорса

Когда-то давно я начал собирать в своих закромах все вопросы, которые я периодически встречал на технических собеседованиях. Вопросы достаточно часто повторялись, хоть у них и менялись иногда формулировки, и в какой-то момент я осознал, что количество таких вопросов конечное и даже не очень большое.

По итогу я структурировал всё это добро, опубликовал для своих менти, а они сами периодически помогали мне дополнять этот раздел вопросами и кейсами со своих интервью или же какими-то полезными ссылками. Собственно настало время поделиться этим сокровищем с миром 🌈

Собеседования и так стрессовая штука, на которой некоторые запрещают гуглить (а это, я вам скажу, отдельный навык, который еще прокачать надо), давят психологически, не дают время на подумать и применяют другие техники для снижения когнитивных способностей (осуждаю 😡). Так что такой сборник вопросов точно лишним не будет, особенно для новичков.

Я не стал выгружать его PDF-кой, потому что эта страница постоянно пополняется и видоизменяется, и вам так будет проще сохранить ее в закладки и периодически поглядывать в нее.

Ну а вот и тот самый Список вопросов и кейсов на техническом интервью для ИБшников

#BaseSecurity

Твой Пакет Знаний | Кибербезопасность

В догонку к посту с вопросами с собеседований на разные специальности безопасников – ловите документ (уже добавил его в ноушен) с подобным контентом, но уже конкретно для тех, кто целится в SOC.

Там есть крутая разбивка по доменам и даже ответы с лайфхаками. А еще один герой (@maxutaaa) перевел для всех вас эту годноту, так что можете не сдерживать себя и отблагодарить его в личных сообщениях, если вам этот файл пригодился. В комментариях к посту скину оригинал на английском для любителей классики.

UPD: в комментариях обновленный перевод с оригинальными вопросами

#BaseSecurity #SOC

🧠 Твой Пакет Знаний

Похоже, у нас начался какой-то сезон SOCа – ловите еще одну крутую брошюрку, которая вам наверняка пригодится, если вы будете собеседоваться в SOC, TI или на инженера СЗИ.

Там подробно расписаны вопросы и ответы по теме анализа логов и событий. И эта годнота также бережно переведена нашим героем из прошлого поста – @maxutaaa 🤩

Если вы также что-то переводили или у вас просто есть ценные доки и ссылки для подготовки к собеседованиям – не сдерживайте себя и делитесь, с такими вещами жадничать точно не надо.

#BaseSecurity #SOC

🧠 Твой Пакет Знаний

Такое мы сохраняем

Я за свою жизнь прочитал не так много книг, особенно тех, что как-то связаны с кибербезопасностью. У меня как-то давно закралась и укоренилась мысль о том, что технологии развиваются сильно быстрее, чем пишутся (а тем более читаются) книги.

Именно поэтому я проводил достаточно много вечеров в ютубе со своими друзьями – индусами, ну или просто сидел в интернетах, читая очередную интересную статью, исследование или документацию (согласен, тут слово "интересная" не подходит). Ну и чаще всего я решал и изучал какие-то вопросы по мере поступления проблем, чтобы сразу закрепить полученные знания.

Своё мнение я не навязываю, тем более, что в книгах можно почерпнуть достаточно много той самой базы – фундамента, на котором строится не только ИБ, но и всё IT. Так что настало время составить и поделиться с вами подборкой достойных книг (на основе отзывов знакомых, коллег и одной нейросети), так что погнали 👇

📖 "Компьютерные сети" — Эндрю Таненбаум. Один из лучших учебников по сетям, охватывающий архитектуру и протоколы, начиная с простых основ и заканчивая более сложными аспектами. Другие книги автора тоже советую посмотреть.

📖 "Практическая криптография" — Брюс Шнайер. Основы шифрования и защиты данных от одного из ведущих экспертов в этой области.

📖 "Искусство тестирования на проникновение в сеть" — Ройс Дэвис. Тут всё и так очевидно.

📖 "Кибербезопасность для чайников" — Джозеф Штейнберг. Простая и понятная вводная по кибербезопасности, охватывающий основные аспекты защиты информации.

📖 "Социальная инженерия и социальные хакеры" — Максим Кузнецов, Игорь Симдянов. Как говорится, «Любители взламывают системы. Профессионалы взламывают людей».

Как-то так. Если вы знаете о книгах из мира информационной безопасности, которых нет в этом списке, но они должны в нём появиться – вэлкам в комментарии. И да, помните о том, что знания, не закрепленные практикой, очень быстро забываются 🤪

Твой Пакет Безопасности

Не одним опенсорсом едины

Да, порой бесплатных или условно-бесплатных инструментов становится недостаточно, особенно, когда дело касается энтерпрайза, сжатых сроков и резинового бюджета. Так что ловите подробнейший (боюсь представить, сколько на это ушло времени) обзор коммерческих решений по управлению уязвимостями – ссылка.

Полезно будет и начинающим ИБшникам кстати, так как все эти решения вы можете рано или поздно повстречать на своем карьерном пути. И нужно быть к этому готовыми. Ну и плюс ко всему, у вас явно должно расшириться восприятие всего Vulnerability Management после прочтения такой годноты. Читаем, сохраняем, рассылаем ⌨️

#BaseSecurity

🧠 Твой Пакет Знаний

Нападаем и защищаемся

Очень плотная книженция по содержанию – там кажется есть все необходимые в работе концепции как защиты, так и атаки – киллчейны, практики реагирования на инциденты, разведка, векторы атак и компрометаций, эскалации и горизонтальные перемещения, всевозможные секьюрити полиси, разборы вредоносов, и даже TI. Книжка пережила уже несколько изданий, а это значит, что спрос есть.

Лично я такого объема разной и полезной информации по кибербезопасности давно не видел в одном месте, если вообще и видел хоть раз – это вам не брошюрка по DevSecOps. Да, есть один нюанс – оно на английском, но я думаю, что в 2024 году вы сможете справиться с этим препятствием. По крайней мере, оно того действительно стоит. Качаем, читаем, сохраняем, пересылаем коллегам по цеху.

#BaseSecurity

🧠 Твой Пакет Знаний

Годная брошюрка по Secure by design (еще и с картиночками) 👍

Вводную часть про то, что это вообще такое, можно пропустить (быстрее будет почитать на эту тему ликбез с Хабра), а вот на разделе про защиту этой концепции перед бизнесом я бы вчитался поподробнее – там есть интересная формула, да и в целом концепт аргументации через подсчет денег и времени.

В общем, чтиво годно, советую полистать. Подрезал кстати у AppSec Journey

#BaseSecurity

🧠 Твой Пакет Знаний

Время приключений исследований

Тут ребята из одного сервиса по подбору вакансий поделились со мной результатами своего достаточно подробного исследования на тему бенефитов, мотивации и удерживающего фактора для специалистов в сфере кибербезопасности.

Там и про зарплаты, и про офферы, и про нематериальные бенефиты, и про онбординг, и про work-life balance, и про наш любимый стресс. В общем, отчет мне зашел, советую полистать – может натолкнуть на интересные мысли или темы для обсуждения с руководством.

🧠 Твой Пакет Знаний

Облачно 🌧

Забавная и легкая брошюрка с основными тезисами, посвященными облачным безопасникам. Облака мало чем отличаются от обычной инфры, да и по сути, все мы уже давно живем в хоть и прайват 😐, но облаках. Короче говоря, посидеть и полистать вечерком за чащечкой чая – самое то.

#CloudSecurity #BaseSecurity

🧠 Твой Пакет Знаний

В кибербезе есть огромное множество различных аббревиатур, особенно среди инструментов, их классов и категорий. Более того, каждый год появляются всё новые и модные названия, которые также зашиваются в аббревиатуры 💥

Ужасно? Ужасно!

Сейчас у меня все эти mXDR, SOAR, IGA и иже с ними уже уложились более менее в голове и я могу в них ориентироваться, но в самом начале пути это был сущий ад, среди которого что-то запомнить просто невозможно. И это учитывая то, что параллельно нужно было погружаться в нормативку (ФЗ ХХХ, ГОСТ ХХХХХ, Приказ ХХ и т.д.) и уязвимости (CSRF, IDOR, XXE и прочие) 🏥

В общем, к чему это я. Наткнулся тут на одну картинку, где выделены основные категории средств/инструментов защиты. Во-первых, тут есть основные представители этого зоопарка, во-вторых, они хоть как-то сгруппированы, что может вам помочь. Читаем, запоминаем, сохраняем, распространяем.

#BaseSecurity

🧠 Твой Пакет Знаний

Это база 🤓

Ловите годный альманах от CIS (Center for Internet Security) по основным контролям – по тому, за чем нужно следить в первую очередь, когда речь заходит о кибербезопасности любой системы, продукта или даже компании.

Там есть как вводная по каждому контролю, так и пояснительная бригада по инструментам и процессам. К прочтению прям обязательно. Вот тут можно открыть в браузере – ссылка

#BaseSecurity

🧠 Твой Пакет Знаний

Нас тут уже почти 1 000 человек, друзья, на часах 27 декабря, а это значит, что настало время подвести скромные итоги 2024 года.

Всех с наступающим ☺️

🧠 Твой Пакет Знаний

UPD: в комментариях есть гифка в нормальном качестве

На собеседованиях часто заходит речь о сетевых протоколах и иногда интервьюер может попросить вас углубиться в тот или иной. Да, модель OSI и TCP/IP – база, но нюанс в том, что сетевых протоколов сотни.

Собственно, ловите 12 самых популярных сетевых протоколов с небольшой группировкой по применимости. И да, этот вопрос касается как безопасников, так и ДевОпсов, так и разработчиков, так и тестировщиков.

𝐖𝐞𝐛 𝐂𝐨𝐦𝐦𝐮𝐧𝐢𝐜𝐚𝐭𝐢𝐨𝐧 𝐏𝐫𝐨𝐭𝐨𝐜𝐨𝐥𝐬
➥ 𝐇𝐓𝐓𝐏 & 𝐇𝐓𝐓𝐏𝐒
➸ 𝐇𝐓𝐓𝐏: Core protocol for web data transfer
➸ 𝐇𝐓𝐓𝐏𝐒: Encrypted version for secure communication
➸ Foundation of modern web interactions

➥ 𝐅𝐢𝐥𝐞 𝐓𝐫𝐚𝐧𝐬𝐟𝐞𝐫 𝐏𝐫𝐨𝐭𝐨𝐜𝐨𝐥𝐬
➸ 𝐅𝐓𝐏: Standard file transfer between client/server
➸ 𝐒𝐒𝐇: Secure channel for remote operations
➸ 𝐒𝐒𝐋/𝐓𝐋𝐒: Security layer for network communications

𝐂𝐨𝐫𝐞 𝐈𝐧𝐭𝐞𝐫𝐧𝐞𝐭 𝐏𝐫𝐨𝐭𝐨𝐜𝐨𝐥𝐬
➥ 𝐓𝐫𝐚𝐧𝐬𝐩𝐨𝐫𝐭 𝐋𝐚𝐲𝐞𝐫
➸ 𝐓𝐂𝐏: Reliable, ordered data delivery
➸ 𝐔𝐃𝐏: Fast, connectionless communication
➸ Essential for internet functionality

➥ 𝐍𝐞𝐭𝐰𝐨𝐫𝐤 𝐋𝐚𝐲𝐞𝐫
➸ 𝐈𝐏: Handles packet routing across networks
➸ 𝐃𝐇𝐂𝐏: Manages automatic IP addressing

𝐒𝐩𝐞𝐜𝐢𝐚𝐥𝐢𝐳𝐞𝐝 𝐏𝐫𝐨𝐭𝐨𝐜𝐨𝐥𝐬
➥ 𝐄𝐦𝐚𝐢𝐥 𝐂𝐨𝐦𝐦𝐮𝐧𝐢𝐜𝐚𝐭𝐢𝐨𝐧
➸ 𝐒𝐌𝐓𝐏: Handles email sending
➸ 𝐏𝐎𝐏3: Manages email retrieval

➥ 𝐍𝐞𝐭𝐰𝐨𝐫𝐤 𝐒𝐞𝐫𝐯𝐢𝐜𝐞𝐬
➸ 𝐍𝐓𝐏: Network time synchronization
➸ Critical for system coordination

#BaseSecurity #Network

🧠 Твой Пакет Знаний

Пару лет назад у меня на собеседовании спросили "А что происходит после того, как ты вводишь в браузер адрес сайта и нажимаешь Enter?". Мне этот вопрос тогда показался лёгким, поэтому я быстро на пальцах раскидал за 2 минуты, как мы стучимся в DNS, как у нас устанавливается HTTPS-соединение, как запрос улетает с фронта на бэкенд и т.д.

Но сразу же после этого меня попросили рассказать поподробнее про каждый этап и в какой-то момент я начал тонуть. По итогу этот вопрос вылился в получасовое расследование того, где там какие пакеты, при чем тут кэш, как мы связываемся с деревом DOM и прочие сложные штуки, о которых я раньше даже не задумывался. И да, оффер я тогда свой упустил, но сколько же опыта и знаний загрузилось в мою голову за эти 30 минут.

Так к чему же вся эта история? А к тому, что я наткнулся на гифку, на которой всё это не только описано, но и нарисовано. Советую посмотреть, осознать и сохранить – может пригодиться.

UPD: Телеграм по-классике решил съесть у гифки всё качество, поэтому заменил на картинку.

#BaseSecurity #Network

🧠 Твой Пакет Знаний

А что у вас всплывает в голове, когда речь заходит о безопасности API, а возможности загуглить или запромтить нет? А должно вот это 👇

1. Authentication
- Use Strong Passwords/Tokens (e.g., OAuth 2.0, JWT).
- Multi-Factor Authentication (MFA)

2. Authorization
- Role-Based Access Control (RBAC)
- Attribute-Based Access Control (ABAC)

3. Rate Limiting
- Limit the number of requests per user/IP address to protect against DDoS attacks.
- Tiered Access

4. Input Validation & Data Sanitization
- Validate All Input
- Parameterize Queries

5. Encryption
- Use HTTPS
- Encrypt Sensitive Data at Rest

6. Error Handling
- Avoid revealing sensitive information in error responses.
- Log Errors Securely

7. Logging & Monitoring
- Real-Time Monitoring
- Aggregate and analyze logs for threat detection.

8. Security Headers
- Content Security Policy (CSP), HTTP Strict Transport Security (HSTS), X-Frame-Options, etc.
- Ensure headers align with current security best practices.

9. Token Expiry
- Short-Lived Tokens: Minimize the window of opportunity for attackers.
- Refresh Tokens (if needed): Balance security with user experience.

10. IP Whitelisting
- Allow API calls only from trusted IP addresses.
Caution: Not ideal for dynamic IP environments or large user bases.

11. Web Application Firewall (WAF)
- Detect and block common web attacks at the application layer.
- Keep up with the latest threats.

12. API Versioning
- Allow older clients to continue using previous versions while introducing new features.
- Clearly communicate end-of-life for older versions.

13. Secure Dependencies
- Patch vulnerabilities promptly.
- Identify and address security risks in third-party components.

14. Intrusion Detection Systems (IDS)
- Monitor network traffic for suspicious patterns.
- Analyze logs and system events on individual servers.

15. Use of Security Standards & Frameworks
- Follow industry-recognized guidelines.
- Consider NIST Cybersecurity Framework, ISO 27001.

16. Data Redaction
- Mask Sensitive Data

#API #BaseSecurity

🧠 Твой Пакет Знаний

Ну что, готовы к крутой лекции по безопасности k8s от отца контейнеров @aleksey0xffd? OWASP k8s TOP 10, RBAC, security context для pod и контейнеров в нем, аутентификация и авторизация, безопасная конфигурация workloads, секреты, сегментация сети внутри кубера и многое другое.

В общем, вся база всего за час, а не за 10, как у практически всех площадок онлайн-образования. Смотрим, впитываем, образовываемся – ютуб и рутуб.

#BaseSecurity #DevSecOps

🧠 Твой Пакет Знаний

Устали доказывать бизнесу, что дешевле защититься от кибератаки, чем её пережить? – Тогда мы идём к вам

Ребята из ExtraHop выкатили интересное исследование на тему того, как кибератаки с утечками данных влияют на бизнес и как больно они бьют по кошельку. Отчет так и называется – True Cost of Security Breach.

Потеря доверия клиентов, уменьшение прибыли, падение стоимости акций, расходы на тушение пожаров после инцидентов, простои, судебные издержки, штрафы и прочие плоды халатного отношения к кибербезопасности.

Такое мы не только читаем, но и используем для аргументации.

🧠 Твой Пакет Знаний | 🛍 Другие каналы

Астрологи объявили неделю практики

Теория, это конечно хорошо, но все мы знаем, что если знания вовремя не подкрепить практикой, то они быстро выветрятся.

Однажды я уже выложил в этом канале вопросы с собеседований, которые я долго копил и собирал в архивах, ну а теперь заметил, что у меня в материалах с менторства накопилось уже достаточное количество площадок-тренажеров для оттачивания навыков.

Ну а это значит, что пора заопенсорсить и эту годноту. Их там правда очень много, поэтому будем делать это партиями. начнём с синей команды.

Тренажеры для Blue Team

- Cybersecurity Blue Team Labs & Training – [ссылка](https://cyberdefenders.org/blue-team-labs/)
- Blue Team Labs – [ссылка](https://blueteamlabs.online/)
- Security Blue Team – [ссылка](https://www.securityblue.team/)
- Blue Team Cybersecurity Lab – [ссылка](https://blueteamcybersecuritylabs.com/)
- LetsDefend- [ссылка](https://letsdefend.io/)
- Defbox - [ссылка](https://defbox.io/)
- Attack-Defense - [ссылка](https://attackdefense.com/)

#SOC #Practice

🧠 Твой Пакет Знаний | 🛍 Другие каналы

Продолжаем тренироваться, а это значит, что настало время самых популярных тренажёров и сервисов для Красной команды 🤬

Тренажеры и CTF для Red Team

- Две суперзвезды на арене практического тестирования на проникновение – [Hack The Box](https://app.hackthebox.com/machines) и [TryHackMe](https://tryhackme.com/)
- Красивый тренажер для эксплуатации всего самого популярного, включая рейтинги OWASP – [Kontra](https://application.security/free/owasp-top-10)
- Лабы от PortSwigger – [ссылка](https://portswigger.net/web-security/all-labs)
- Для любителей Линукс-дистрибутивов – [OverTheWire Bandit](https://overthewire.org/wargames/bandit/) и [Linux Journey](https://linuxjourney.com/)
- Для любителей реверс-инжиниринга – [Crackmes one](https://crackmes.one/) и [pwnable tw](https://pwnable.tw/)
- Standoff365 - [ссылка](https://range.standoff365.com/)
- Attack-Defense - [ссылка](https://attackdefense.com/)
- Alert to win - [ссылка](https://alf.nu/alert1)
- CryptoHack - [ссылка](https://cryptohack.org/)
- CMD Challenge - [ссылка](https://cmdchallenge.com/)
- Defend The Web - [ссылка](https://defendtheweb.net/)
- Exploitation Education - [ссылка](https://exploit.education/)
- Hacker101 - [ссылка](https://ctf.hacker101.com/)
- Hacking-Lab - [ссылка](https://hacking-lab.com/)
- ImmersiveLabs - [ссылка](https://immersivelabs.com/)
- Infinity Learning CWL - [ссылка](https://cyberwarfare.live/infinity-learning/)
- NewbieContest - [ссылка](https://www.newbiecontest.org/)
- OverTheWire - [ссылка](http://overthewire.org/)
- Pentesterlab - [ссылка](https://pentesterlab.com/)
- PentestIT LAB - [ссылка](https://lab.pentestit.ru/)
- PWNABLE - [ссылка](https://pwnable.kr/play.php)
- Root-Me - [ссылка](https://www.root-me.org/)
- SANS Holiday hack - [ссылка](https://www.sans.org/mlp/holiday-hack-challenge-2024)
- SmashTheStack - [ссылка](https://www.smashthestack.org/main.html)
- Vulnhub - [ссылка](https://www.vulnhub.com/)
- Vulnmachine - [ссылка](https://www.vulnmachines.com/)
- Websploit - [ссылка](https://websploit.org/)
- Zenk-Security - [ссылка](https://www.zenk-security.com/)

CTF

- Сборник различных CTF-ов в одном месте – [CTFtime](https://ctftime.org/) + отечественный аналог – [Codeby.games](https://codeby.games/)
- Google CTF - [ссылка](https://capturetheflag.withgoogle.com/)
- PicoCTF - [ссылка](https://picoctf.com/)

#Pentest #Practice

🧠 Твой Пакет Знаний | 🛍 Другие каналы