Если убрать технические детали из нашего руководства по ценообразованию пентестов, но оставить суть, получится колонка для Forbes ✨

Рассказываем на языке бизнеса, как численность, оснащенность, подготовленность, осведомленность и действия потенциальных злоумышленников должны влиять на проведение пентестов.

🔗Статья в Forbes

У нас с вами сейчас появляется много новых коллег, которые хотят ворваться в мир кибербеза. Они задаются вопросами, как обучаться и где брать практический опыт. Поэтому мы сделали подборку площадок, на которых можно учиться, тренироваться, и конечно же, ломать актуальные сервисы.

1️⃣Hack The Box: Известная платформа, которая представляет песочницу для пентестеров. Позволяет применять свои навыки в реальных условиях. Платформа предлагает широкий диапазон уязвимых машин, от самых простых до продвинутых, требуя от пользователей творческого подхода и глубокого понимания техник.
🛑Достоинства: Реальные сценарии, активное и поддерживающее сообщество, постоянное обновление заданий.

2️⃣VulnHub: Уникальная площадка, предоставляющая специально подготовленные уязвимые образы для практической работы и изучения техник взлома и защиты.
🛑Достоинства: Бесплатный доступ, подходит для всех уровней, большая коллекция уязвимых образов.

3️⃣HackXpert: Богатая библиотека бесплатных лабораторных работ и тренировочных сессий, ориентированных на джунов и мидлов, желающих улучшить свои знания в определенных областях кибербезопасности.
🛑Достоинства: Бесплатный доступ к ресурсам, разнообразие лабораторий по актуальным темам.

4️⃣TryHackMe: Выделяется своим динамичным подходом к обучению кибербезопасности, предлагая пользователям «обучение через действие». С помощью виртуальных лаб и практических заданий пользователи могут развивать свои навыки в реальных условиях.
🛑Достоинства: Подходит как новичкам, так и профессионалам, интерактивные и геймифицированные элементы обучения.

5️⃣Cybrary: Предоставляет обширную коллекцию видеоуроков, лабораторных работ и практических тестов, созданных для того, чтобы пользователи могли освоить концепции и практики кибербезопасности.
🛑Достоинства: Обширная библиотека учебных материалов, активное сообщество экспертов и возможность обучения на реальных кейсах.

6️⃣LetsDefend: Платформа LetsDefend специализируется на подготовке специалистов в области защиты информации. Она предлагает симуляции реальных инцидентов безопасности, где пользователи могут разрабатывать и тестировать стратегии, повышая свои навыки в обнаружении угроз и реагировании на инциденты.
🛑Достоинства: Фокус на практическом применении знаний в области защиты информации, реалистичные сценарии с использованием актуальных инструментов и методик.

7️⃣Root Me: База более чем с 400 разнообразными задачами. Root Me представляет собой обширную платформу для тех, кто хочет проверить и улучшить свои навыки во всех аспектах кибербезопасности. Задания покрывают широкий спектр тем от криптографии до веб-безопасности.
🛑Достоинства: Поддержка множества языков, большое количество заданий для разных уровней сложности.

8️⃣Try2Hack: Сочетает элементы игры и обучения, предлагая пользователам ряд испытаний, имитирующих реальные кибератаки. Это не только позволяет развить технические навыки, но и учит стратегическому мышлению и анализу уязвимостей.
🛑Достоинства: Игровой подход к обучению, подходит для развития как технических, так и стратегических навыков в кибербезопасности.

⚡️Дополняйте список своими вариантами в комментариях, добавим их и обогатим подборку!
Делитесь своим опытом использования площадок и лайфхаками 🫶

❤ @justsecurity

🔝 Когда угрозы кибербезопасности эволюционируют каждый день, важно иметь надежные инструменты для анализа данных и защиты информационных активов. Представляем вашему вниманию 1️⃣0️⃣ мощных и нужных поисковых систем в сфере кибербезопасности. Эти платформы станут надёжными союзниками в выявлении, анализе и нейтрализации угроз.

🔍Shodan: поисковая система, позволяет исследователям находить устройства, подключенные к интернету, веб-камеры, принтеры, веб-сервисы и многое другое. Это мощный инструмент для анализа поверхности атаки и оценки уязвимостей.
Особенности: охватывает миллиарды устройств, детализированный поиск по параметрам и типам устройств.

🔍Censys: сканирует интернет, собирая данные обо всех подключенных устройствах и службах, предоставляя ценную информацию о поверхности атаки.
Особенности: визуализация данных, аналитика безопасности и оценка уязвимостей, бесплатный доступ до 250 запросов.

🔍IntelligenceX: поисковая система, которая предлагает поиск по Tor, I2P, криптовалютыным адресам, утечкам данных, доменам и электронным адресам.
Достоинства: поиск по уникальным источникам, включая скрытые службы и утечки данных.

🔍SecurityTrails: позволяет исследователям собирать обширные данные DNS, истории доменов и другую информацию, полезную для киберразведки и анализа угроз.
Особенности: обширные данные о доменах и DNS, исторические данные, API для интеграции.

🔍Binary Edge: еще одна платформа, которая сканирует интернет в поисках информации о подключенных устройствах и уязвимостях, предлагая комплексный анализ атакующей поверхности.
Особенности: масштабное сканирование интернета, аналитика уязвимостей, бесплатный доступ до 250 запросов.

🔍Pulsedive: платформа для поиска угроз, которая предоставляет данные о последних киберугрозах, индикаторах компрометации (IoC) и другой разведывательной информации.
Особенности: актуальная информация об угрозах, индикаторы компрометации, интеграция с другими сервисами.

🔍GreyNoise: фильтрует и анализирует "фоновый шум" интернета, позволяя отличить потенциально вредоносную активность от обычного трафика.
Особенности: идентификация сканирующих и атакующих устройств, анализ интернет-шума.

🔍LeakIX: специализируется на поиске и индексации утечек данных и открытых баз данных, предоставляя ценную информацию о потенциально уязвимых системах.
Особенности: обнаружение утечек данных, индексация открытых баз данных и систем.

🔍ExploitDB: архив эксплойтов и уязвимостей, позволяющий исследователям в области безопасности находить и использовать данные для защиты своих сервисов.
Особенности: регулярные обновления, большая база данных уязвимостей и эксплойтов.

🔍Vulners: обширная база данных уязвимостей, которая предлагает поиск по множеству источников, включая базы данных эксплойтов и бюллетени безопасности.
Особенности: обширный поиск по уязвимостям, интеграция с другими инструментами безопасности.

💬Поделитесь движками, которые вы используете в своей работе и почему именно они?

❤ @justsecurity

Судя по всему, статуэтка победителя #pentestaward не только радует глаз, но и пригождается в хозяйстве у наших призеров. Если хотите также, не пропустите анонс нового сезона премии для этичных хакеров!

Уже скоро опубликуем подробности 😉
* обязательно со звуком

Успех требует публичности, даже в такой махровой отрасли как информационная безопасность. Или напротив, инфоБЕЗ стал инфоБИЗом и все лидеры мнений больше не тру?

Сергей Зыбнев пентестер Awillix, автор канала «Похек» и Роман Панин руководитель направления Архитектуры ИБ в МТС и автор канала «Пакет Безопасности» — два успешных блогера и не менее успешных специалиста, постарались разобраться в этом вопросе.

Обсудили, как презентовать себя на публике, как использовать нетворкинг, как проходить собеседования и как строить карьеру без собеседований вообще. Об этих и многих других темах, связанных с работой в ИБ, новый выпуск подкаста Just security.

📺 Youtube
™ VK
🔈 Яндекс Музыка
🎵Apple podcast
〰️Mave

❤ @justsecurity

Наши партнеры из RPPA.pro запустили линейку образовательных продуктов, нацеленных на прокачку технических скиллов для спецов из смежных отраслей.

Например, Privacy Engineering, чтобы уже наконец, разобраться в технологиях обработки данных и рисках приватности.

Или курс AI Governance, который сориентирует в области регулирования искусственного интеллекта, а также даст понимание ИИ-технологий.

Еще есть образовательные продукты и бесплатные материалы в канале.

Ребята решили прокачать отрасль, поэтому рекомендуем 😉
Их программы строятся на опыте 1300 экспертов, собственных баз знаний и исследованиях.

Майские праздники — повод досмотреть недосмотренные выпуски подкаста Just Security!

У нас их уже целая коллекция:

🔘Физический пентест с Андреем Жуковым

🔘Путь исследователя на примере Павла Топоркова

🔘Красно-синяя карьера с Антоном Лопаницыным

🔘Заработок багхантингом с Антоном Грицкевичем

🔘Личный бренд в ИБ с Романом Паниным

А скоро выйдет выпуск про безопасность мобильных приложений. Угадайте с кем?

❤ @justsecurity

Ежегодная независимая премия для пентестеров — Pentest award возвращается!

Раз в году у этичных хакеров появляется шанс громко заявить о своих достижениях, показать свой вклад в развитие российского рынка ИБ и обменяться лучшими историями из практики на церемонии награждения Pentest award.

В этот раз вас ждут 6 номинаций, по три призовых места в каждой:

— Пробив WEB 🆕
— Пробив инфраструктуры🆕
— Девайс 🆕
— Hack the logic
— Раз bypass, два bypass
— Ловись рыбка

Главный приз — тяжеленная стеклянная именная статуэтка за первое место. Не менее главные призы: макбуки, айфоны, смарт-часы, умные колонки, а также бесценные подарки от партнеров проекта BI.ZONE Bug Bounty и VK Bug Bounty.

Сбор заявок уже открыт на сайте — https://award.awillix.ru/
Давайте покажем, на что способны этичные хакеры!
#pentestaward

Позвали Юру Шабалина на подкаст, а получили, пожалуй, самое полное собрание информации и полезных ссылок про безопасность мобильных приложений на просторах рунета.

Да, выпуск идет два часа, зато его можно использовать как энциклопедию по тайм-кодам или как сериал, просматривая по кусочкам всю неделю 👍

Выпуск уже на канале и аудио платформах.
Инджой!

📺 Youtube
™ VK
🔈 Яндекс Музыка
🎵Apple podcast
〰️Mave

❤ @justsecurity

Наверное вы заметили, что в этом году номинация «Пробив» разделилась на две?!

«Пробив WEB» — это номинация, в которой соревнуются за мастерство идентификации и эксплуатации уязвимостей в веб-сервисах, API и других компонентах веб-приложений. Оценивается глубина анализа, сложность обнаруженных технических и логических уязвимостей. Особое внимание уделяется уникальным и ранее не известным уязвимостям.

Курирует номинацию BI.ZONE Bug Bounty во главе с членом жюри Сергеем Кузминовым — руководителем отдела тестирования на проникновение и RedTeam. Все вы знаете платформу BI.ZONE Bug Bounty, где собираются более 6000 багхантеров, поэтому мы гордо презентуем вам такого мощного партнера проекта, который проследит за объективностью всех оценок работ этой категории :)

➡️ Подавайте свои райтапы в «Пробив WEB» на сайте.

Вдохновляйтесь примерами финалистов прошлого года:

— Пробив периметра. Три райтапа победителя Pentest award в номинации «Пробив».
— Взлом Seedr. Райтап — победитель Pentest award в номинации «Пробив».

Ждем ваших заявок!

Новая номинация «Пробив ИНФРАСТРУКТУРЫ»

Пробив инфраструктуры — отдельная номинация этого года, за выдающиеся достижения в тестировании на проникновение и эксплуатации уязвимостей сетевой инфраструктуры, включая, но не ограничиваясь, сетевыми устройствами, сетевыми сервисами и IoT-устройствами.

В фокусе — сложность и оригинальность подходов к обнаружению уязвимостей, приводящих к компрометации сетевой инфраструктуры с незначительным взаимодействием веб-компонентов.

Курирует номинацию VK Bug Bounty! Оцените насколько крутой партнер в этот раз поддерживает Pentest award — VK одна из первых компаний в России начала платить внешним исследователям безопасности за найденные уязвимости. В 2024 году VK переосмыслили общепринятый в индустрии подход к выплатам, отказавшись от фиксированных максимальных сумм и внедрив механизм Bounty Pass.

Помимо техники Apple, финалисты номинации от VK Bug Bounty получат комплект мерча, колонку Марусю и экскурсию в офис VK, по местам где еще не ступала нога внешнего пентестера.

Подавайте работы на сайте 🍎
#pentestaward

Новая номинация «Девайс» 🦾

За выдающиеся достижения в области анализа уязвимостей и исследования технических недостатков, обнаруженных в разнообразных устройствах, прошивках и окружении.

Основное внимание уделяется устройствам, которые активно задействованы в ИТ-процессах организаций, включая, но не ограничиваясь, контроллерами, мобильными устройствами, банкоматами, камерами, МФУ и так далее.

Подавайте заявки на сайте👈
#pentestaward