Базовые_принципы_и_инструменты_в_SSDLC_.pdf
2.2 MB
Доклад был про базовые принципы и инструменты в SSDLC.
Главные тезисы:
▪️ SSDLC, что внутри и для чего;
▪️ внедрение авто сканов и тестов на каждом этапе;
▪️как выжать максимум пользы из минимума инструментов.
Пока готовится запись выступления и наш roadmap, прикрепляем презентацию доклада. Ставьте + в комментариях, кому отправить roadmap первых шагов внедрения SSDLC.
Главные тезисы:
▪️ SSDLC, что внутри и для чего;
▪️ внедрение авто сканов и тестов на каждом этапе;
▪️как выжать максимум пользы из минимума инструментов.
Пока готовится запись выступления и наш roadmap, прикрепляем презентацию доклада. Ставьте + в комментариях, кому отправить roadmap первых шагов внедрения SSDLC.
👍8❤4🔥2
Сентябрь горит, а значит начинаются гастроли Awillix по конференциям страны с докладами о том, как сделать этот мир чуточку безопаснее.
Первая в списке — «Видео+Конференция 2023» мероприятие о технологиях видеоконференцсвязи и безопасности корпоративного общения. Александра Герасимова пригласили рассказать об уязвимостях и угрозах для ВКС-инфраструктуры в отечественных компаниях, с точки зрения хакера, дать профессиональные рекомендации по их устранению.
Готовим контент и приглашаем присоединиться всех заинтересованных!
🔔 5 октября в 10:00 по МСК
📌 Москва, Soluxe Hotel
➡️ Регистрация: https://2023.vcs.su/
Первая в списке — «Видео+Конференция 2023» мероприятие о технологиях видеоконференцсвязи и безопасности корпоративного общения. Александра Герасимова пригласили рассказать об уязвимостях и угрозах для ВКС-инфраструктуры в отечественных компаниях, с точки зрения хакера, дать профессиональные рекомендации по их устранению.
Готовим контент и приглашаем присоединиться всех заинтересованных!
Please open Telegram to view this post
VIEW IN TELEGRAM
👍9🔥4❤🔥2
В новой статье для Cyber Media разобрали возможности различных Open Source решений и способы их использования даже в большой энтерпрайз инфраструктуре.
Обычно про Open Source мы думаем, что это: нерабочие, небезопасное, неудобное решение, нет поддержки. Но на самом деле Open Source постоянно аудируется, его можно дорабатывать своими силами и под себя. А главное — Open Source не попадет под санкции.
Читайте разбор возможностей и решений для базовых процессов ИТ, защиты инфраструктуры и устройств, анализа защищенности. Мы даже привели сравнительные таблицы популярных инструментов для удобства. 👇
Обычно про Open Source мы думаем, что это: нерабочие, небезопасное, неудобное решение, нет поддержки. Но на самом деле Open Source постоянно аудируется, его можно дорабатывать своими силами и под себя. А главное — Open Source не попадет под санкции.
Читайте разбор возможностей и решений для базовых процессов ИТ, защиты инфраструктуры и устройств, анализа защищенности. Мы даже привели сравнительные таблицы популярных инструментов для удобства. 👇
securitymedia.org
Обзор Open Source продуктов для построения инфраструктуры, защиты и аудита
Александр ГерасимовДиректор по информационнойбезопасности и сооснователь Awillix.Экспертв области тестирования на проникновениеи анализа защищенности
👍11❤🔥3🔥3🆒2⚡1🥴1
Базовые принципы и инструменты в SSDLC — запись доклада Александра Герасимова на AGIMA Partners' Weekend'23.
Доклад для технческих специалистов, которые хотят начать построение процесса безопасной разработки.
Главные тезисы:
▪️ SSDLC, что внутри и для чего;
▪️ внедрение авто сканов и тестов на каждом этапе;
▪️как выжать максимум пользы из минимума инструментов.
После доклада мы дополнили контент и сделали ✨roadmap ✨первых шагов внедрения SSDLC. В прошлом посте, уже разослали его всем желающим. Если тоже хочешь получить roadmap от Awillix, ставь + в комментариях.
Доклад для технческих специалистов, которые хотят начать построение процесса безопасной разработки.
Главные тезисы:
▪️ SSDLC, что внутри и для чего;
▪️ внедрение авто сканов и тестов на каждом этапе;
▪️как выжать максимум пользы из минимума инструментов.
После доклада мы дополнили контент и сделали ✨roadmap ✨первых шагов внедрения SSDLC. В прошлом посте, уже разослали его всем желающим. Если тоже хочешь получить roadmap от Awillix, ставь + в комментариях.
🔥8❤5👍4🆒1
This media is not supported in your browser
VIEW IN TELEGRAM
][акер опубликовал призовые кейсы нашей премии Pentest award. Сохраняем их в одном посте, чтобы участникам в следующем году было достаточно референсов:
▪️Пробив периметра. Три райтапа победителя Pentest award в номинации «Пробив».
▪️Взлом Seedr. Райтап — победитель Pentest award в номинации «Пробив».
▪️Нескучные байпасы. Работы — победители Pentest award в номинации «Bypass».
▪️**ck the logic. Три исследования логических багов получившие Pentest award.
▪️LPE на казенном макбуке. Злоупотребляем установкой VS Code для локального повышения привелегий.
▪️ChatGPT на рыбалке. Выманиваем пароль при помощи QR-кода и чат-бота.
Еще раз благодарим всех авторов за качественный контент и смелость. Увидимся на Pentest award 2024 🫡
#pentestaward
▪️Пробив периметра. Три райтапа победителя Pentest award в номинации «Пробив».
▪️Взлом Seedr. Райтап — победитель Pentest award в номинации «Пробив».
▪️Нескучные байпасы. Работы — победители Pentest award в номинации «Bypass».
▪️**ck the logic. Три исследования логических багов получившие Pentest award.
▪️LPE на казенном макбуке. Злоупотребляем установкой VS Code для локального повышения привелегий.
▪️ChatGPT на рыбалке. Выманиваем пароль при помощи QR-кода и чат-бота.
Еще раз благодарим всех авторов за качественный контент и смелость. Увидимся на Pentest award 2024 🫡
#pentestaward
❤🔥10👍6🔥2😁2
История о том, как два блогера парализовали работу всех нелегальных колл-центров Индии🤪
В прошлом году случилось невероятное – пранкеры атаковали мошенников «изнутри». А точнее – вывели из строя сразу все крупные колл-центры в Индии, которые обманывали пенсионеров по всему миру. И хотя мошенники вернулись к звонкам спустя неделю, они успели потерять 2 млн долларов.
Прокомментировали пранк-операцию с точки зрения технической сложности такой атаки. Читайте в новой статье Cyber Media.
В прошлом году случилось невероятное – пранкеры атаковали мошенников «изнутри». А точнее – вывели из строя сразу все крупные колл-центры в Индии, которые обманывали пенсионеров по всему миру. И хотя мошенники вернулись к звонкам спустя неделю, они успели потерять 2 млн долларов.
Прокомментировали пранк-операцию с точки зрения технической сложности такой атаки. Читайте в новой статье Cyber Media.
Please open Telegram to view this post
VIEW IN TELEGRAM
👍9🔥6❤4🆒1
У всех сотрудников в Awillix есть история личного знакомства или его интересных обстоятельств. Так, например, Сережа aka @poxek подошел к нам на форуме после выступления с рядом интересных вопросов по теме.
«Такой молодой, а такой прокаченный парень» — подумали мы. Запомнили. А через время позвали в команду.
Его пример другим наука, как с помощью проактивности и упорства нестись по карьерной лестнице, обгоняя сверстников, получать разные бенефиты и полезные знакомства и успевать вести дюжину собственных проектов. Об этом он и дал интервью, спешите вдохновляться!
«Такой молодой, а такой прокаченный парень» — подумали мы. Запомнили. А через время позвали в команду.
Его пример другим наука, как с помощью проактивности и упорства нестись по карьерной лестнице, обгоняя сверстников, получать разные бенефиты и полезные знакомства и успевать вести дюжину собственных проектов. Об этом он и дал интервью, спешите вдохновляться!
❤13🔥11❤🔥6👍4💩4🤡2🤮1🆒1
Awillix ИБ-подписка.pdf
16.2 MB
Услуга, которую мы давно предоставляем, но ни разу не продавали.
За 5 лет работы с крупнейшими интернет-сервисами, финансовыми корпорациями и федеральными ритейл-сетями мы накопили огромный опыт и заслужили репутацию экспертов.
У нас есть клиенты, которые по разным причинам не имеют у себя в штате достаточное количество ИБ-специалистов. Они используют Awillix на постоянной основе, чтобы добирать нужные компетенции и ресурсы для обеспечения процессов информационной безопасности своих компаний.
С этими клиентами разовое сотрудничество переросло в полноценное управление ИБ-процессами. Мы несем полную ответственность за свою работу и решения, которые предлагаем принять компаниям в целях поддержания оптимального для них уровня защищенности. Такой «Security Team» на аутсорсе с разной сборкой и под разные нужды.
Сегодня мы решили, что ресурсы позволяют взять еще несколько клиентов на поддержку, поэтому вашему вниманию предлагается — «ИБ-подписка от Awillix».
🛡 ИБ-подписка — это аутсорс практической кибербезопасности и вопросов с документами. В рамках одного договора мы доводим до совершенства уровень защищенности внешнего и внутреннего ИТ-контура компании и берем на себя ответственность за развитие кибербезопасности в компании в целом.
Наши заказчики получают в свое распоряжение готовый отдел высококвалифицированных ИБ-специалистов по направлениям: анализ защищенности, AppSec, DevOps и DevSecOps. Те быстро и глубоко погружаются в архитектуру инфраструктуры и стек используемых технологий, а наши наработки в области ИБ, помогают существенно автоматизировать большинство процессов.
Мы создали оптимальные тарифные планы, позволяющие получить в свое распоряжение отдел сверхквалифицированных специалистов, по стоимости, сопоставимой с наймом в штат всего одного из них.
📎Подробнее об услугах, пакетах подписки и дополнительных опциях можно узнать в презентации, прилагаемой к посту. Количество мест ограничено.
За 5 лет работы с крупнейшими интернет-сервисами, финансовыми корпорациями и федеральными ритейл-сетями мы накопили огромный опыт и заслужили репутацию экспертов.
У нас есть клиенты, которые по разным причинам не имеют у себя в штате достаточное количество ИБ-специалистов. Они используют Awillix на постоянной основе, чтобы добирать нужные компетенции и ресурсы для обеспечения процессов информационной безопасности своих компаний.
С этими клиентами разовое сотрудничество переросло в полноценное управление ИБ-процессами. Мы несем полную ответственность за свою работу и решения, которые предлагаем принять компаниям в целях поддержания оптимального для них уровня защищенности. Такой «Security Team» на аутсорсе с разной сборкой и под разные нужды.
Сегодня мы решили, что ресурсы позволяют взять еще несколько клиентов на поддержку, поэтому вашему вниманию предлагается — «ИБ-подписка от Awillix».
Наши заказчики получают в свое распоряжение готовый отдел высококвалифицированных ИБ-специалистов по направлениям: анализ защищенности, AppSec, DevOps и DevSecOps. Те быстро и глубоко погружаются в архитектуру инфраструктуры и стек используемых технологий, а наши наработки в области ИБ, помогают существенно автоматизировать большинство процессов.
Мы создали оптимальные тарифные планы, позволяющие получить в свое распоряжение отдел сверхквалифицированных специалистов, по стоимости, сопоставимой с наймом в штат всего одного из них.
📎Подробнее об услугах, пакетах подписки и дополнительных опциях можно узнать в презентации, прилагаемой к посту. Количество мест ограничено.
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥8👍4❤🔥2⚡1❤1
Nuclei обновляет свои шаблоны
Всем привет! Наверное, уже многие слышали, что команда ProjectDiscovery заметно обновила свой сканер Nuclei. В последний месяц команда и сообщество выпустили много крутых шаблонов, в том числе для проверки актуальных октябрьскийх уязвимостей.
Основные моменты последних релизов:
- Добавлено 316 новых шаблонов.
- Добавлено 158 новых CVE.
В октябрьском выпуске Nuclei Templates Monthly Release особое внимание уделяется ряду критических уязвимостей, включая:
- Уязвимость F5 BIG-IP, позволяющая реализовать RCE без аутентификации через AJP Smuggling.
- Удаленное выполнение кода в NextGen Mirth Connect, Viessmann Vitogate 300 и других продуктах.
- Утечка сессионных токенов в Citrix Bleed.
- Уязвимости в JetBrains TeamCity, Sitecore, Microsoft SharePoint и Atlassian Confluence.
Эти уязвимости привлекли внимание из-за их новизны и сильного воздействия на безопасность систем.
Забираем, обновляем, сканируем свои системы. Источник: https://blog.projectdiscovery.io/nuclei-templates-monthly-october-2023-edition/
Всем привет! Наверное, уже многие слышали, что команда ProjectDiscovery заметно обновила свой сканер Nuclei. В последний месяц команда и сообщество выпустили много крутых шаблонов, в том числе для проверки актуальных октябрьскийх уязвимостей.
Основные моменты последних релизов:
- Добавлено 316 новых шаблонов.
- Добавлено 158 новых CVE.
В октябрьском выпуске Nuclei Templates Monthly Release особое внимание уделяется ряду критических уязвимостей, включая:
- Уязвимость F5 BIG-IP, позволяющая реализовать RCE без аутентификации через AJP Smuggling.
- Удаленное выполнение кода в NextGen Mirth Connect, Viessmann Vitogate 300 и других продуктах.
- Утечка сессионных токенов в Citrix Bleed.
- Уязвимости в JetBrains TeamCity, Sitecore, Microsoft SharePoint и Atlassian Confluence.
Эти уязвимости привлекли внимание из-за их новизны и сильного воздействия на безопасность систем.
Забираем, обновляем, сканируем свои системы. Источник: https://blog.projectdiscovery.io/nuclei-templates-monthly-october-2023-edition/
🔥7👍6❤4
Приняли участие в проекте «Не для галочки» — подкаст о приватности. При поддержке Российской ассоциации профессионалов в области приватности (RPPA). Спешите слушать👂
Telegram
Privacy GDPR Russia
#podcast #НеДляГалочки
Утечки или ночной кошмар DPO. Откуда берутся, в чем причины. Разбираем кейсы с этичным хакером😄
ОСТОРОЖНО! В этом выпуске много практических кейсов, конкретных рекомендаций и историй из жизни хакера.
💡Apple, Яндекс
🎤Ведущие выпуска:…
Утечки или ночной кошмар DPO. Откуда берутся, в чем причины. Разбираем кейсы с этичным хакером😄
ОСТОРОЖНО! В этом выпуске много практических кейсов, конкретных рекомендаций и историй из жизни хакера.
💡Apple, Яндекс
🎤Ведущие выпуска:…
Нашу команду и тут и там передают: Алексей Висторобский, пентестер Awillix, выступил и дал интервью на SOC Forum, а Алексей Чижов, наш руководитель проектов, на ежегодном профессиональном форуме «Безопасность бизнеса» в Екатеринбурге.
Доклад первого Алексея был посвящен актуальным уязвимостям для инфраструктур российских компаний и автоматизации рутинных проверок. Доклад второго — уровню зрелости информационной безопасности в компаниях и портретам злоумышленников при заказе пентеста.
Ставьте лайки, если хотите увидеть этот контент в записи👍
Доклад первого Алексея был посвящен актуальным уязвимостям для инфраструктур российских компаний и автоматизации рутинных проверок. Доклад второго — уровню зрелости информационной безопасности в компаниях и портретам злоумышленников при заказе пентеста.
Ставьте лайки, если хотите увидеть этот контент в записи
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
👍15🔥7❤5⚡1❤🔥1🆒1
Физический пентест похож на привидение: все о нем говорят, но мало кто его видел.
А мы записали подкаст с человеком, который не просто видел, но и тысячу раз его делал, преисполнился в познании фишек и инструментов настолько, что написал книгу «Хакерство. Физические атаки с использованием хакерских устройств». Гость этого выпуска — Андрей Жуков, lead pentester УЦСБ, автор канала @s0i37_channel.
Обсудили все самое интересное:
— Где заканчивается «обычный» пентест и начинается физическая атака, какие цели преследуются в физическом пентесте, какой скоуп, методика и инструменты используются в работе.
— Интересные кейсы из практики и актуальные вектора атак.
— Что чаще всего атакуется, а что редко. На что компаниям стоит обращать внимание при оценке своей уязвимости.
— Каким организациям необходим физический пентест. Какой уровень зрелости информационной безопасности у такой компании.
— Актуальные для всех рекомендации по защите компаний от физических векторов атак.
✌️Выйдет 2 части.
Ждем ваших лайков, комментов, пошэров. Инджой!
А мы записали подкаст с человеком, который не просто видел, но и тысячу раз его делал, преисполнился в познании фишек и инструментов настолько, что написал книгу «Хакерство. Физические атаки с использованием хакерских устройств». Гость этого выпуска — Андрей Жуков, lead pentester УЦСБ, автор канала @s0i37_channel.
Обсудили все самое интересное:
— Где заканчивается «обычный» пентест и начинается физическая атака, какие цели преследуются в физическом пентесте, какой скоуп, методика и инструменты используются в работе.
— Интересные кейсы из практики и актуальные вектора атак.
— Что чаще всего атакуется, а что редко. На что компаниям стоит обращать внимание при оценке своей уязвимости.
— Каким организациям необходим физический пентест. Какой уровень зрелости информационной безопасности у такой компании.
— Актуальные для всех рекомендации по защите компаний от физических векторов атак.
✌️Выйдет 2 части.
Ждем ваших лайков, комментов, пошэров. Инджой!
YouTube
Подкаст Just Security by Awillix #2. Физические пентесты.
Физический пентест похож на привидение: все о нем говорят, но мало кто его видел.
А мы записали подкаст с человеком, который не просто видел, но и тысячу раз его делал, преисполнился в познании фишек и инструментов настолько, что написал книгу «Хакерство.…
А мы записали подкаст с человеком, который не просто видел, но и тысячу раз его делал, преисполнился в познании фишек и инструментов настолько, что написал книгу «Хакерство.…
🔥16👍5❤🔥4❤1👏1🆒1
В субботу наш пентестер Сергей Зыбнев выступил на Standoff Talks с докладом про рivoting, или пивотинг — это набор техник, которые позволяют атакующему получить доступ к внутренним ресурсам, минуя сетевые средства защиты.
Сережа рассказал про инструменты пивотинга, про правила корреляции в SIEM-системе, про классические ошибки хакеров и красных команд при атаках, а также про политики безопасности, которые чаще всего срабатывают.
🔣 Запись доклада с наглядной видеодемонстрацией инструментов пивотинга из лаборатории.
🔣 Канал Сережи — «Похек».
Сережа рассказал про инструменты пивотинга, про правила корреляции в SIEM-системе, про классические ошибки хакеров и красных команд при атаках, а также про политики безопасности, которые чаще всего срабатывают.
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥11👍6❤🔥3🥴2❤1
Долгожданное продолжение подкаста про физические атаки.
В этом выпуске про уязвимости СКУД, атаки через холодную перезагрузку, несколько кейсов про физическое закрепление и социальную инженерию и, конечно же, рекомендации для бизнеса и для специалистов по тестированию на проникновение.
🏃♂️ Бежим смотреть?
В этом выпуске про уязвимости СКУД, атаки через холодную перезагрузку, несколько кейсов про физическое закрепление и социальную инженерию и, конечно же, рекомендации для бизнеса и для специалистов по тестированию на проникновение.
Please open Telegram to view this post
VIEW IN TELEGRAM
YouTube
Подкаст Just Security by Awillix #2. Физические пентесты (часть 2).
Продолжение разговора о физических атаках. Начало диалога — https://www.youtube.com/watch?v=J0d-fMNZqec&t
Гость этого выпуска — Андрей Жуков, lead pentester УЦСБ, автор канала @s0i37_channel. Ведущий — Александр Герасимов, CISO Awillix, этичный хакер, эксперт…
Гость этого выпуска — Андрей Жуков, lead pentester УЦСБ, автор канала @s0i37_channel. Ведущий — Александр Герасимов, CISO Awillix, этичный хакер, эксперт…
👍10🔥8❤🔥3🆒1
Подарите себе безопасность в новом году! С нашей ИБ-подпиской 🛡
В рамках одного договора мы доводим до совершенства уровень защищенности внешнего и внутреннего ИТ-контура компании и берем на себя ответственность за развитие кибербезопасности в компании в целом.
Вы получите готовый отдел высококвалифицированных ИБ-специалистов по направлениям: Анализ защищенности, AppSec, DevOps и DevSecOps, Compliance. Те быстро и глубоко погружаются в архитектуру инфраструктуры и стек используемых технологий, а наши наработки в области ИБ, помогут существенно автоматизировать большинство процессов.
✔️ Непрерывный мониторинг уязвимостей периметров.
✔️ Чат с проектной командой доступный в режиме 24/7, где можно получить компетентную консультацию по самым разным вопросам кибербезопасности.
✔️ SOC — гибкое, быстрое и недорогое
решение от Awillix.
✔️ DevSecOps — эффективный процесс
безопасной разработки.
✔️ DevOps.
✔️ ИБ Compliance.
Мы создали оптимальные тарифные планы, которые при желании можно кастомизировать. Подписка позволяет получить отдел сверхквалифицированных специалистов, по стоимости, сопоставимой с наймом в штат всего одного из них.
📌 Подробности об условиях.
В рамках одного договора мы доводим до совершенства уровень защищенности внешнего и внутреннего ИТ-контура компании и берем на себя ответственность за развитие кибербезопасности в компании в целом.
Вы получите готовый отдел высококвалифицированных ИБ-специалистов по направлениям: Анализ защищенности, AppSec, DevOps и DevSecOps, Compliance. Те быстро и глубоко погружаются в архитектуру инфраструктуры и стек используемых технологий, а наши наработки в области ИБ, помогут существенно автоматизировать большинство процессов.
решение от Awillix.
безопасной разработки.
Мы создали оптимальные тарифные планы, которые при желании можно кастомизировать. Подписка позволяет получить отдел сверхквалифицированных специалистов, по стоимости, сопоставимой с наймом в штат всего одного из них.
Please open Telegram to view this post
VIEW IN TELEGRAM
❤5🔥4❤🔥3🥴1
This media is not supported in your browser
VIEW IN TELEGRAM
Ураааааааааааа! Организаторы Pentest Award (это мы😍) получили первое место в премии «Киберпросвет» за продвижение этичного хакинга в стране.
Нам очень приятно и радостно, ведь именно этого мы добиваемся проектом — развития сообщества пентестеров, признание выдающихся результатов и талантов специалистов, обмен опытом и повышение общих компетенций этичных хакеров.
Мы вложили много ресурсов и сил, чтобы премия для пентестеров увидела свет и очень рады тому, как сообщество отреагировало на это. Надеемся, что награда «Киберпросвет» привлечет больше внимания и доверия к Pentest Award, чтобы в будущем году мы смогли увидеть еще больше отпадных кейсов и наградить еще больше топовых пентестеров!
Нам очень приятно и радостно, ведь именно этого мы добиваемся проектом — развития сообщества пентестеров, признание выдающихся результатов и талантов специалистов, обмен опытом и повышение общих компетенций этичных хакеров.
Мы вложили много ресурсов и сил, чтобы премия для пентестеров увидела свет и очень рады тому, как сообщество отреагировало на это. Надеемся, что награда «Киберпросвет» привлечет больше внимания и доверия к Pentest Award, чтобы в будущем году мы смогли увидеть еще больше отпадных кейсов и наградить еще больше топовых пентестеров!
🔥25❤8👍4👏3❤🔥1👎1🏆1🆒1💘1
Коллеги из Rad Cop провели внушительную аналитическую работу, чтобы сравнить Кибердеревню с нынешнем состоянием аграрного сектора и заодно развлечь читателя. Оказалось, многое из сериала уже применяется сейчас, причем не только за границей, но и в России. Современное сельскохозяйственное производство — это системы искусственного интеллекта, IoT, роботизация и другие ИТ-технологии.
Особое внимание в тексте уделили проблеме информационной безопасности в этом новом инновационном сельском хозяйстве, подсветили технические и организационные меры защиты.
🔗 Советуем прочитать, даже если вы не аграрий!
Please open Telegram to view this post
VIEW IN TELEGRAM
👍9❤🔥2🔥2❤1👎1😁1💊1