Друзья, ну конечно же!
И из этого утюга должны трубить про PHDays!
Потому что в отличие от какого-то крошечного GISEC, тут построен город в городе!
Обязательно загляните на наш стенд, и изучите первую в России сертификацию белых хакеров! С меня немного фоток.
Конференция будет идти до субботы, и это лучший способ познакомить младшие поколения с миром кибербезопасности, всем рекомендую провести этот день тут с семьёй.
И из этого утюга должны трубить про PHDays!
Потому что в отличие от какого-то крошечного GISEC, тут построен город в городе!
Обязательно загляните на наш стенд, и изучите первую в России сертификацию белых хакеров! С меня немного фоток.
Конференция будет идти до субботы, и это лучший способ познакомить младшие поколения с миром кибербезопасности, всем рекомендую провести этот день тут с семьёй.
❤4👍3🤡1
Результаты по Standoff, как они есть
Я знаю, вы этого ждали :D
В целом, можно только похвалить себя, план выполнен - соснули за обе щечки!
Топ 20 результат оч. средний, не худший, но и не топ 10, которых бы я хотел.
Оправдания? Конечно да!
Что ни говори, хотелось бы, конечно, чтобы один человек из команды садился и выносил турнир в соло, но в Standoff побеждают много рук, а еще лучше, если эти руки уже наскилялись играть в Standoff.
Если по серьезному, то как я сказал ранее: рекомендую каждой команде, чтобы у них случалось подобное событие, хотя бы раз в год. Очень многие из команды высказались банально: что надо было просто больше тренить Standoff и нужно больше народу. Но я уверен, что ребятам удалось взглянуть на себя в моменте, посмотреть на соседа и подхватить пару хороших идей.
Я, честно говоря, прилично так завидовал ребятам, т.к. сам впервые за последние годы не участвовал и провел время на самом PHD в роли представителя компании, общающегося с клиентами и партнерами. Оказывается на PHD можно совершить 200+ рукопожатий в день и заключить пару сделок, а не просто отсидеть 10 часов на попе в шумном помещении :D *шутка*.
Братишкам из True0xA3, Привет! Надеюсь мы однажды еще соберемся сыграть “под пивко” ;D
Я знаю, вы этого ждали :D
В целом, можно только похвалить себя, план выполнен - соснули за обе щечки!
Топ 20 результат оч. средний, не худший, но и не топ 10, которых бы я хотел.
Оправдания? Конечно да!
Что ни говори, хотелось бы, конечно, чтобы один человек из команды садился и выносил турнир в соло, но в Standoff побеждают много рук, а еще лучше, если эти руки уже наскилялись играть в Standoff.
Если по серьезному, то как я сказал ранее: рекомендую каждой команде, чтобы у них случалось подобное событие, хотя бы раз в год. Очень многие из команды высказались банально: что надо было просто больше тренить Standoff и нужно больше народу. Но я уверен, что ребятам удалось взглянуть на себя в моменте, посмотреть на соседа и подхватить пару хороших идей.
Я, честно говоря, прилично так завидовал ребятам, т.к. сам впервые за последние годы не участвовал и провел время на самом PHD в роли представителя компании, общающегося с клиентами и партнерами.
Братишкам из True0xA3, Привет! Надеюсь мы однажды еще соберемся сыграть “под пивко” ;D
❤20🔥12🤡6🫡6👍1
Как цепочка классических багов может привести к полной компрометации
Мой коллега из Singleton Security, старший спец. по анализу защищенности @baksist выкатил на Хакере прикольный разбор пентеста интернет-провайдера.
Типичная грустная ситуация для пентестеров, которым достался маленький скоуп (всего 9 IP), переросла в неплохешную цепочку багов, приведших к компрометации серверов провайдера.
Внутри — полный сборник трешовых ошибок разрабов, которые классно склеились во что-то единое:
— LFR через кривой rewrite
— MD5-хеши без соли
— повторы паролей
— самописная ERP с PTRAV при аплоаде
— отсутствие нормальной изоляции между сервисами
🧂 Про соль отдельно. Когда хранят MD5 без соли, это как хранить ключи в конверте с подписью «ключи от дома». Нравоучать не буду, разрабов которые в 2025 юзают MD5 для хранения паролей проще просто пристрелить и купить подписку на ChatGPT за 20$.
Рекомендую, кайфово почитать прохладную про блуждания хакера в PHP сервисах:
https://xakep.ru/2025/05/22/provider-case/
baksist, респект 💪
Мой коллега из Singleton Security, старший спец. по анализу защищенности @baksist выкатил на Хакере прикольный разбор пентеста интернет-провайдера.
Типичная грустная ситуация для пентестеров, которым достался маленький скоуп (всего 9 IP), переросла в неплохешную цепочку багов, приведших к компрометации серверов провайдера.
Внутри — полный сборник трешовых ошибок разрабов, которые классно склеились во что-то единое:
— LFR через кривой rewrite
— MD5-хеши без соли
— повторы паролей
— самописная ERP с PTRAV при аплоаде
— отсутствие нормальной изоляции между сервисами
🧂 Про соль отдельно. Когда хранят MD5 без соли, это как хранить ключи в конверте с подписью «ключи от дома». Нравоучать не буду, разрабов которые в 2025 юзают MD5 для хранения паролей проще просто пристрелить и купить подписку на ChatGPT за 20$.
Рекомендую, кайфово почитать прохладную про блуждания хакера в PHP сервисах:
https://xakep.ru/2025/05/22/provider-case/
baksist, респект 💪
🔥33👍2😁1🤡1
Forwarded from CyberED
Ваш ключ к успешной карьере в кибербезопасности - сертификация по курсу "Белый хакер"🔑
CyberED представляет CEWH - практическую сертификацию в области наступательной кибербезопасности. Сертификат CEWH подтверждает владение базовыми навыками тестирования на проникновение и приверженность кодексу этики Белых Хакеров.
Для кого?
✔ для уже текущих специалистов в ИБ
✔ для пентестеров it-инфраструктуры, которые хотят подтвердить свои навыки
✔ для корпоративных клиентов.
Как проходит сертификационное испытание?
1⃣ В формате онлайн
2⃣ Через практическое испытание
3⃣ Длительностью 24 часа
4⃣ Сложность - базовая.
Для подготовки к сертификации достаточно пройти бесплатный курс "Профессия - Белый Хакер"
⚪️ Подробнее о сертификации читайте на сайте
CyberED представляет CEWH - практическую сертификацию в области наступательной кибербезопасности. Сертификат CEWH подтверждает владение базовыми навыками тестирования на проникновение и приверженность кодексу этики Белых Хакеров.
Для кого?
Как проходит сертификационное испытание?
Please open Telegram to view this post
VIEW IN TELEGRAM
👍16🤡14🔥6💩5🎉4❤1
N8N Experience
На выходных получил удовольствие от игр c N8N и создания персонального агента, имеющего доступ к моим таск-трекерам, показателям работы бизнеса, почте и пр.
С этой штукой все мои “Я потом посмотрю в данные и позже скажу”, превращаются в один войс или текст в телегу, который быстро анализирует источник, и возвращает мне информацию о работе компаний, мое расписание на неделю, приоритетные задачи или может что-то добавить мне в интегрированные системы.
Дополнительно, становится возможным подключать к нему близких и предлагать пользоваться моим расписанием\задачником\календарем, чтобы не нагружать их интеграциями, а просто записать войс моему ассистенту и он поставит мне задачку на нужное время.
Особенно удобно для РФ, т.к. это дает доступ к AI через тележку, для которой не нужен VPN и прочие приблуды.
Сразу скажу, что придется чутка разобраться и попотеть, но за день это легко освоить и дальше уже сложно остановиться, чтобы не делать из этого интерфейс одного окна, куда захочется запихнуть весь интернет и все свои сервисы.
Для тех кто любит подобные игрушки, особенно рекомендую, хотя и не уверен, что это приживется надолго. Тем более что AI сервисы удивляют нас чем-то новым каждый месяц.
Мысли: Будущее наступило и сразу превратилось в весьма заурядный процесс душной настройки AI ботов :D
Если помните, была шутка у Louis CK про WiFi в самолете: один мудаковатый пассажир жалуется что это дерьмо снова не работает, не осознавая, что он сидит на высоте 10 000 метров, летит над океаном с коктейлем в руке, и еще и умудряется выебываться, что ему недостаточно чудес.
Вот и я чувствую, что очень быстро хочется большего от AI, и то, что вчера было невозможным, сегодня выглядит “Недостаточно хорошим”. Видимо, это и есть двигатель прогресса, хе-хе.
На выходных получил удовольствие от игр c N8N и создания персонального агента, имеющего доступ к моим таск-трекерам, показателям работы бизнеса, почте и пр.
С этой штукой все мои “Я потом посмотрю в данные и позже скажу”, превращаются в один войс или текст в телегу, который быстро анализирует источник, и возвращает мне информацию о работе компаний, мое расписание на неделю, приоритетные задачи или может что-то добавить мне в интегрированные системы.
Дополнительно, становится возможным подключать к нему близких и предлагать пользоваться моим расписанием\задачником\календарем, чтобы не нагружать их интеграциями, а просто записать войс моему ассистенту и он поставит мне задачку на нужное время.
Особенно удобно для РФ, т.к. это дает доступ к AI через тележку, для которой не нужен VPN и прочие приблуды.
Сразу скажу, что придется чутка разобраться и попотеть, но за день это легко освоить и дальше уже сложно остановиться, чтобы не делать из этого интерфейс одного окна, куда захочется запихнуть весь интернет и все свои сервисы.
Для тех кто любит подобные игрушки, особенно рекомендую, хотя и не уверен, что это приживется надолго. Тем более что AI сервисы удивляют нас чем-то новым каждый месяц.
Мысли: Будущее наступило и сразу превратилось в весьма заурядный процесс душной настройки AI ботов :D
Если помните, была шутка у Louis CK про WiFi в самолете: один мудаковатый пассажир жалуется что это дерьмо снова не работает, не осознавая, что он сидит на высоте 10 000 метров, летит над океаном с коктейлем в руке, и еще и умудряется выебываться, что ему недостаточно чудес.
Вот и я чувствую, что очень быстро хочется большего от AI, и то, что вчера было невозможным, сегодня выглядит “Недостаточно хорошим”. Видимо, это и есть двигатель прогресса, хе-хе.
👍23🔥14👏3❤2🤡2😁1
Привет, это канал Yet Another Hacker
Пост для всех, с кем ещё незнакомы.
Меня зовут Егор Богомолов. Я белый хакер со стажем 10+ лет, основатель Singleton Security, команды, которая делает пентесты, Red Team-оценки и обучает бизнес находить уязвимости до того, как это сделают другие. Сооснователь CyberED — главной специализированной образовательной платформы для кибербезопасников в РФ.
Здесь я пишу:
— про кибербезопасность,
— про наблюдение за миром технологий,
— про бизнес и рынок,
— и иногда — про личное и просто, что в голову придёт. Потому что канал личный и могу себе позволить.
Пригласить выступить, вызвать на дуэль, позвать на треню или обменяться мыслями — @empty_jack
Пост для всех, с кем ещё незнакомы.
Меня зовут Егор Богомолов. Я белый хакер со стажем 10+ лет, основатель Singleton Security, команды, которая делает пентесты, Red Team-оценки и обучает бизнес находить уязвимости до того, как это сделают другие. Сооснователь CyberED — главной специализированной образовательной платформы для кибербезопасников в РФ.
Здесь я пишу:
— про кибербезопасность,
— про наблюдение за миром технологий,
— про бизнес и рынок,
— и иногда — про личное и просто, что в голову придёт. Потому что канал личный и могу себе позволить.
Пригласить выступить, вызвать на дуэль, позвать на треню или обменяться мыслями — @empty_jack
1🔥37🤡9👏6👍2🏆2❤1
У моего сокомандника есть крутой свеженький канал, обделенный публикой. Давайте это исправим!
Вы только посмотрите сколько там годноты!
Вы только посмотрите сколько там годноты!
👍3❤1🔥1🤡1
Forwarded from Bagley's 📚 Diary
Всем 👋 ! Это Bagley
🔺 Оффтоп🔺
❓ Что нужно, чтобы начать реализовывать НС (недопустимые события) на Standoff Hackbase?
🔘 Если ты новенький, и хочешь погрузиться в мир кибербитвы Standoff - следующий список обязателен для ознакомления.
🔘 Если ты достаточно крутой специалист, тебе всё же придется познакомиться с механикой "игры" на Standoff, чтобы максимально быстро начать выполнять НС'ы.
1⃣ Официальный гайд от Standoff (внимательно изучи этот материал, можно и видосики посмотреть)
2⃣ Разбор заданий с полигона для новичков - ссыль (поймешь базовую механику, найдешь полезный скрипт для фиша)
3⃣ Разбор одного из банковских рисков от Top1 24 года - хабр
4⃣ Разборы рисков от команды @taipanbyte (первый, второй)
5⃣ Пять способов сломать SCADA-систему - статья журнала Positive Research.
6⃣ Ну и мой видеоразбор кейсов с кибербитвы Standoff 14:
📺 Rutube 📺 VK Видео
⛏ Обучение без практики бесполезно! Поэтому, после ознакомления, настоятельно рекомендую порешать полигон!
👑 (а если ты только начинаешь, повторюсь, очень рекомендую пройти бесплатный курс "Профессия - Белый Хакер" от Cyber-ED)
P.S. Если будет что-то появляться новое и полезное по этой теме, буду дописывать в этот пост
#learning #Standoff #HackBase #StandoffStories
P.S. Если будет что-то появляться новое и полезное по этой теме, буду дописывать в этот пост
#learning #Standoff #HackBase #StandoffStories
Please open Telegram to view this post
VIEW IN TELEGRAM
👍15❤3🤡2😁1
Forwarded from CyberED
Совсем скоро стартует легендарное событие в мире кибербезопасности — Cyber Space Quest 2025!
📆 Соревнование пройдёт: с 27 июня (14:00 по мск) по 29 июня (20:00 по мск)
Жми сюда и регистрируйся
Наш квест — это результат кропотливой работы профессионалов в области кибербезопасности. Мы создали для вас настоящую галактику испытаний!
Особая благодарность команде разработчиков заданий, а именно:
FEFU Cybersecurity Center – Центр информационной безопасности ДВФУ
DUCKERZ — Команда ctf'еров, объединенных страстью к кибербезопасности
AUTHORITY – Сообщество независимых исследователей ИБ
o1d_bu7_go1d – Команда Колледжа программирования и кибербезопасности МИРЭА
MIPT Love CTF - сообщество CTF на Физтехе
Победителей турнира ждут призы от наших космических партнёров-топовых компаний сферы ИБ.
🚀 Присоединяйся к нашему телеграм-каналу, во время квеста все обсуждения, новости и хинты будут именно там
Жми сюда и регистрируйся
🚀 Cyber Space Quest 2025 — серия увлекательных chain-case заданий разной сложности, с индивидуальным форматом участия. Это возможность проявить свои навыки в разных направлениях информационной безопасности.
Наш квест — это результат кропотливой работы профессионалов в области кибербезопасности. Мы создали для вас настоящую галактику испытаний!
Особая благодарность команде разработчиков заданий, а именно:
FEFU Cybersecurity Center – Центр информационной безопасности ДВФУ
DUCKERZ — Команда ctf'еров, объединенных страстью к кибербезопасности
AUTHORITY – Сообщество независимых исследователей ИБ
o1d_bu7_go1d – Команда Колледжа программирования и кибербезопасности МИРЭА
MIPT Love CTF - сообщество CTF на Физтехе
Победителей турнира ждут призы от наших космических партнёров-топовых компаний сферы ИБ.
Please open Telegram to view this post
VIEW IN TELEGRAM
❤7🤡2🔥1
AI заместит хакеров
Вопрос — попса попсой, согласен, конечно. Но это не значит, что я могу перестать об этом думать.
Я, само собой, спросил, что думает об этом сам ИИ, и он подтвердил мои измышления. Далее они.
Абсолютно точно ИИ поменяет нашу сферу. Об этом, в том числе, говорят все эти прекрасные статьи:
- как AI выигрывает CTF
- как AI захватывает TOP 1 BB
и прочие из этой серии.
Хоть это пока что только «отчасти правда», это очень важные сигналы к переоценке ситуации.
Мое предположение в том, что мастера тонкой настройки, эксперты глубочайшего опыта станут безмерно сильнее с AI. А также, станут еще дороже в борьбе за компетенции между лидерами рынка. Специалисты по наступательной кибербезопасности, криминалисты, спецы по противодействию и пр., которые могут сращивать контекст, происходящий в реальном мире, с событиями в виртуальном, и, применяя инструменты ускоряющие проверку гепотез, анализ и реализацию задуманных идей, станут самым главным звеном любой зрелой в вопросах кибербезопасности организации.
AI серьезно надавит на сегмент начинающих специалистов и мидлов, но это не значит, что их станет сильно меньше. Т.к. мастера же должны появляться из кого-то. Более того, есть основания полагать, что ситуация в подразделениях останется той же самой: Да, всем нужны только синьоры, но где их взять? А что, если ваш хваленый синьор уйдет? Кто его подменит?
Из-за этих сложностей и появляется целая цепочка диверсификации компетенций в подразделении со стажерами, джунами, мидлами. Преемственность опыта невероятно болезненно потерять, особенно когда это касается понимания контекста происходящего в организации.
А на самом деле, специалистов по кибербезопасности может стать гораздо больше, чем раньше, что я считаю более вероятным. Порог входа в обучение направлению и получение практических знаний существенно снижается с наличием идеального наставника в лице AI.
Недостаток кадров в индустрии не будет закрыт AI агентом еще достаточно долго, потому что их проникновение в сложные процессы идет не так гладко, как может показаться. И на недавние 50 000 мест недостающих кибербезопасников может позариться почти любой достаточно усердный новичок, не оставляющий в покое Chat GPT и продолжающий задавать ему вопросы: «Как это работает? Как этим можно воспользоваться? Как мог бы выглядеть эксплойт для этого участка кода?»
Все будет только интереснее, ребята. Что думаете вы?
Вопрос — попса попсой, согласен, конечно. Но это не значит, что я могу перестать об этом думать.
Я, само собой, спросил, что думает об этом сам ИИ, и он подтвердил мои измышления. Далее они.
Абсолютно точно ИИ поменяет нашу сферу. Об этом, в том числе, говорят все эти прекрасные статьи:
- как AI выигрывает CTF
- как AI захватывает TOP 1 BB
и прочие из этой серии.
Хоть это пока что только «отчасти правда», это очень важные сигналы к переоценке ситуации.
Мое предположение в том, что мастера тонкой настройки, эксперты глубочайшего опыта станут безмерно сильнее с AI. А также, станут еще дороже в борьбе за компетенции между лидерами рынка. Специалисты по наступательной кибербезопасности, криминалисты, спецы по противодействию и пр., которые могут сращивать контекст, происходящий в реальном мире, с событиями в виртуальном, и, применяя инструменты ускоряющие проверку гепотез, анализ и реализацию задуманных идей, станут самым главным звеном любой зрелой в вопросах кибербезопасности организации.
AI серьезно надавит на сегмент начинающих специалистов и мидлов, но это не значит, что их станет сильно меньше. Т.к. мастера же должны появляться из кого-то. Более того, есть основания полагать, что ситуация в подразделениях останется той же самой: Да, всем нужны только синьоры, но где их взять? А что, если ваш хваленый синьор уйдет? Кто его подменит?
Из-за этих сложностей и появляется целая цепочка диверсификации компетенций в подразделении со стажерами, джунами, мидлами. Преемственность опыта невероятно болезненно потерять, особенно когда это касается понимания контекста происходящего в организации.
А на самом деле, специалистов по кибербезопасности может стать гораздо больше, чем раньше, что я считаю более вероятным. Порог входа в обучение направлению и получение практических знаний существенно снижается с наличием идеального наставника в лице AI.
Недостаток кадров в индустрии не будет закрыт AI агентом еще достаточно долго, потому что их проникновение в сложные процессы идет не так гладко, как может показаться. И на недавние 50 000 мест недостающих кибербезопасников может позариться почти любой достаточно усердный новичок, не оставляющий в покое Chat GPT и продолжающий задавать ему вопросы: «Как это работает? Как этим можно воспользоваться? Как мог бы выглядеть эксплойт для этого участка кода?»
Все будет только интереснее, ребята. Что думаете вы?
❤20🔥11🤔7🤡3💯3
Forwarded from OFFZONE
This media is not supported in your browser
VIEW IN TELEGRAM
Но это будет через неделю. А пока — ждем вас и ваши темы докладов.
Напоминаем, что можно податься сразу на несколько треков. А еще напоминаем, что мы написали подробный гайд о том, как правильно оформить заявку. Хорошая заявка повысит ваш шанс пройти отбор.
Дерзайте :)
Please open Telegram to view this post
VIEW IN TELEGRAM
❤1🤡1
И снова OFFZONE будет радовать нас в этом августе! Давайте отдадим долг ребятам, которые радуют нас сальной техниной уже который год, и отгрузим годноты в сообщество!
OFFZONE принимает заявки на доклады до 10 июля – настоятельно рекоменду вам вписаться, если у вас есть что-то годное.
Дерзайте 👆🏻
OFFZONE принимает заявки на доклады до 10 июля – настоятельно рекоменду вам вписаться, если у вас есть что-то годное.
Дерзайте 👆🏻
🤡8❤3🖕2
2025: Как режут бюджеты на ИБ
При ключевой ставке 20% бизнесу крайне сложно развиваться и даже мысли дистанцией в год не приносят облегчения — а значит всё, что не даёт прибыль здесь и сейчас идёт под нож.
Честно говоря, я не так много бизнесов знаю, которые приносят стабильные 20% рентабельности в год. Проще любые бабки положить на депозит, чем вообще бизнесом заниматься.
Как вы вообще можете просить делать бизнес безопасным, когда бизнес сам по себе то не делается?! :D
Где у безопасности нет цены – так это в государственных вопросах: энергетическая, продовольственная, информационная безопасность на уровне населения. Там в любом случае надо продолжать работать, довольствуйтесь
Что происходит в ИБ крупных компаний
1. Найм замораживают. Не все и не везде, но в ряде гигантов отечественного бизнеса на паузу поставлены десятки вакансий ИБ-блока. Особенно это касается джуновских позиций. Мотивация простая: «Не до обучения, нужны те, кто умеет тушить пожары».
2. Фичи, не направленные напрямую на рост прибыли, урезают. В 2023-24-м компании смело пробовали SASE, Zero Trust, лили бюджеты в R&D. Теперь любая инициатива должна быть предельно конкретно описана с точки зрения: «А сколько мы с этого сэкономим или заработаем?».
Недавно в паблике мелькала шуточная книжка «На*уй Безопасность: Как игнорировать весь этот бред и зарелизить проект» - это становится реальным девизом бизнеса в след 365 дней :D
Что останется
1. Добивание «последней мили» импортозамещения, т.к. никто не отменял.
2. Выполнения регуляторных требований (По принципу «каши из топора»)
3. Содержание команд реагирования и инженеров безопасности с замораживанием подбора на ближайший квартал.
В общем, времена сложные, но не забывайте, что в «хорошие времена», мы говорили тоже самое, а значит, наслаждайтесь «хорошими временами», пока они у нас есть!
При ключевой ставке 20% бизнесу крайне сложно развиваться и даже мысли дистанцией в год не приносят облегчения — а значит всё, что не даёт прибыль здесь и сейчас идёт под нож.
Честно говоря, я не так много бизнесов знаю, которые приносят стабильные 20% рентабельности в год. Проще любые бабки положить на депозит, чем вообще бизнесом заниматься.
Как вы вообще можете просить делать бизнес безопасным, когда бизнес сам по себе то не делается?! :D
Где у безопасности нет цены – так это в государственных вопросах: энергетическая, продовольственная, информационная безопасность на уровне населения. Там в любом случае надо продолжать работать, довольствуйтесь
Что происходит в ИБ крупных компаний
1. Найм замораживают. Не все и не везде, но в ряде гигантов отечественного бизнеса на паузу поставлены десятки вакансий ИБ-блока. Особенно это касается джуновских позиций. Мотивация простая: «Не до обучения, нужны те, кто умеет тушить пожары».
2. Фичи, не направленные напрямую на рост прибыли, урезают. В 2023-24-м компании смело пробовали SASE, Zero Trust, лили бюджеты в R&D. Теперь любая инициатива должна быть предельно конкретно описана с точки зрения: «А сколько мы с этого сэкономим или заработаем?».
Недавно в паблике мелькала шуточная книжка «На*уй Безопасность: Как игнорировать весь этот бред и зарелизить проект» - это становится реальным девизом бизнеса в след 365 дней :D
Что останется
1. Добивание «последней мили» импортозамещения, т.к. никто не отменял.
2. Выполнения регуляторных требований (По принципу «каши из топора»)
3. Содержание команд реагирования и инженеров безопасности с замораживанием подбора на ближайший квартал.
В общем, времена сложные, но не забывайте, что в «хорошие времена», мы говорили тоже самое, а значит, наслаждайтесь «хорошими временами», пока они у нас есть!
👍22🤡5❤4😢4💯3😁1
Зачем тебе пентест?
Встречаешься ты с заказчиком, и он говорит тебе случайно, а может быть и нет, «О, у нас тут продукт овнер ( или любая другаясутулая собака роль) захотел пентест провести, давайте сделаем?». И тут, как бы ты не потирал ручки в предвкушении того как сейчас ты с ноги разнесешь им лицо дверь в инфру и все будут счастливы и довольны, нельзя бездумно срываться в обсуждение деталей проекта.
Любой уважающий себя консалтер знает, что если дорожить репутацией, надо делать то, что действительно ценно. Поэтому правильный ответ: «А зачем вам?». Далее не буду расписывать вам весь Тарантиновский диалог, а просто расскажу, что я обычно стараюсь понять в клиенте.
Сделав сотни тестов на проникновение, я понимаю, что результат может по-разному удовлетворять заказчика. Лучший случай и самый идеальный — это когда у заказчика есть гипотеза, которую он хочет проверить. Без понимания «Зачем ты делаешь тестирование?» ни один результат не принесет облегчения. Т.к. 2 или 5 млн рублей будут потрачены, а удовлетворенности отбумажки-подтирашки профессионально составленного отчета так и не будет получено.
Чтобы сделать такую проверку, надо сначала что-то сделать в своей безопасности. Иметь гипотезу, которую вы проверяете. Например, мы считаем что мы защищены; хотим выявить недостатки в нашем платежном API; мы сделали изолированную архитектуру сети и считаем, что из нее нас не сломать; мы построили типовое рабочее место, и наш сотрудник не сможет устроить с него саботаж в домене…
В первую очередь, если вы делаете этот пентест для себя! Если вам он нужен для выполнения регуляторных требований, постарайтесь просто получить побольше выгод во время тестирования: проверьте гипотезы; соберите лог атак для прокачивания ваших детектов; посадите свой мониторинг изучать происходящее и учиться; запросите у хакеров инвентаризацию активов и т.д. Будет стоить лишнюю копейку, зато пользы как от отдельной услуги.
📍Пентестер, не торопись крушить инфру и аппки — пойми, чего хочет заказчик! Или заставь его это понять…
Встречаешься ты с заказчиком, и он говорит тебе случайно, а может быть и нет, «О, у нас тут продукт овнер ( или любая другая
Любой уважающий себя консалтер знает, что если дорожить репутацией, надо делать то, что действительно ценно. Поэтому правильный ответ: «А зачем вам?». Далее не буду расписывать вам весь Тарантиновский диалог, а просто расскажу, что я обычно стараюсь понять в клиенте.
Сделав сотни тестов на проникновение, я понимаю, что результат может по-разному удовлетворять заказчика. Лучший случай и самый идеальный — это когда у заказчика есть гипотеза, которую он хочет проверить. Без понимания «Зачем ты делаешь тестирование?» ни один результат не принесет облегчения. Т.к. 2 или 5 млн рублей будут потрачены, а удовлетворенности от
Чтобы сделать такую проверку, надо сначала что-то сделать в своей безопасности. Иметь гипотезу, которую вы проверяете. Например, мы считаем что мы защищены; хотим выявить недостатки в нашем платежном API; мы сделали изолированную архитектуру сети и считаем, что из нее нас не сломать; мы построили типовое рабочее место, и наш сотрудник не сможет устроить с него саботаж в домене…
В первую очередь, если вы делаете этот пентест для себя! Если вам он нужен для выполнения регуляторных требований, постарайтесь просто получить побольше выгод во время тестирования: проверьте гипотезы; соберите лог атак для прокачивания ваших детектов; посадите свой мониторинг изучать происходящее и учиться; запросите у хакеров инвентаризацию активов и т.д. Будет стоить лишнюю копейку, зато пользы как от отдельной услуги.
📍Пентестер, не торопись крушить инфру и аппки — пойми, чего хочет заказчик! Или заставь его это понять…
👍22❤4👏3🤡3💯3