Друзья, коллеги, дорогие подписчики, все кто давно с @w2hack, для активного обмена данными (архивы, видео, ссылки, диструбитвы ПО, голосовые месседжи, свой личный контент и т.д.) что бы разгрузить чат с сегодняшнего дня создана отдельная группа w2hack storage @w2h_storage, где вы можете свободно временно или постоянно размещать свой контент без ограничений на модерацию, самостоятельно его тегировать, а так же делиться новостями и предлагать посты к размещению в основной паблик. Если предложение интересно – welcome, вход свободный!

#info

Друзья, олды @w2hack@w2hack и все вновь прибывшие в наше комьюнити, как обещал, анонс летнего стрима (https://t.me/w2hack/479) – на этой неделе в четверг, 09 июля в 19.30 msk time zone, ответы на ваши вопросы, которые вы задавали в форме и которые у меня накопились оффлайн за все предыдущее время с чата и лички, мой взгляд на индустрию ИБ на текущий момент, небольшие инсайды и архив доков которые я готовил на закрытый стрим по Cyber Security Job (https://t.me/w2hack/385), и который не состоялся, а так же свободное общение в эфире.

В качестве платформы для трансляции будет выбран YouTube, ссылку на эвент я закину чуть позже, участие свободное, регистрация не требуется. Все, кому интересно, кто желает пообщаться – приходите! Без обид, на эфире - за дичь, неадекват, рекламу, ругать, мат без оснований и т.п. – бан.

Все кто будет - see you!

Друзья, сегодня в 19.30 msk открытый стрим

Ссылка-приглашение
https://youtu.be/KATyQk2TRis

Пак материалов для участников стрима w2hack summer 2020 (будет доступен 7 дней)
https://transfiles.ru/sty4l

Password:  tsrmcm

Друзья, если у кого то не открывается запись стрима по выше приведенной ссылке на YouTube, выкладываю полную версию рекорда с экрана, формат MKV - в Telegram в режиме live не воспроизводится, но точно открывается любым video player

В темы ИТЗИ (ТЗКИ) перед вами Многофункциональной поисковый комплекс "ST-031" Пиранья, мобильный вариант, версия середины 2000-х.

Такой вот аппарат я изучал еще учась в универе, девайс на для слабых)))

Кто почем "что это" и "зачем" ставим лайк))

Не влезли фотки в предыдущий пост

Для тех у кого нет много свободного времени, но кто желает оставаться на пике событий ИБ ниже подборка самых значимых на мой взгляд ресурсов для быстрого ревью происходящего мире

Дайджест информационной безопасности от R-Vision
https://rvision.pro/blog-posts/blog-posts-digest-166/#

Подборка самых горячих, скандальных и сочных новостей от редакции ][
https://xakep.ru/?s=MegaNews

Все новости ИБ значимые для бизнеса от РБК
https://www.rbc.ru/tags/?tag=информационная+безопасность

Хаб "ИБ" с Хабра, можно подписаться на рассылку годных новостей
https://habr.com/ru/hub/infosecurity/

Сшивка новостей ИБ под заголовком «Security Week» от Kaspersky Lab
https://habr.com/ru/company/kaspersky/

Все новости ИБ от портала "Anti-malware"
https://www.anti-malware.ru/news

100% только секурная подборка от экспертов Kaspersky Lab
https://securelist.ru/

#analytics

Микро сборка статей и полезняшек для аудиторов ИБ

Неплохой варик автоматизации рутинных задач автоматизации аудита ИБ под Windows в корпоративном домене
https://habr.com/ru/company/galssoftware/blog/447512/

Набор технических бенчмарков (тестов) безопасности под все самые известные платформы, системы, сервисы и ключевые компоненты инфраструктуры от CIS Security
https://www.cisecurity.org/cis-benchmarks/

А тут набор контролей все от тех же CIS Security
https://learn.cisecurity.org/cis-controls-download

Набор бесплатных открытых тулзов\фреймворков и практик технического аудита OpenSCAP tools (Security compliance и Vulnerability assessment)
http://open-scap.org/tools/

#tricks #audit

Ну, и ценим тенденции развитии отрасли ИБ в РФ - чего ждать, какие новые требования будут выставлены, кто «попадет» и к чему готовиться. Главные драйверы изменений – мегарегулятор ЦБ РФ, святой ФСТЭК и госики во главе с   ̶з̶а̶е̶б̶а̶н̶ы̶м̶ ̶̶К̶ГБ̶-̶ш̶н̶и̶к̶о̶м̶   царем бессмертным

Основные направления развития информационной безопасности кредитно-финансовой сферы на период 2019–2021 годов
https://www.cbr.ru/Content/Document/File/83253/onrib_2021.pdf

Новости по теме ИБ от ЦБ РФ
https://www.cbr.ru/information_security/news/

Новые и ранее выпущенные доки по регулированию ИБ от ЦБ РФ
https://www.cbr.ru/information_security/acts/

Аналитика фрода, хакерских атак от ЦБ РФ
https://www.cbr.ru/information_security/analitics/

Проекты нормативных актов Банка России
https://www.cbr.ru/project_na/

#analytics

[ПРОДОЛЖЕНИЕ ПРЕДЫДУЩЕГО ПОСТА]

Выписка из плана разработки ФСТЭК России нормативных правовых актов на 2020 год
https://fstec.ru/normotvorcheskaya/akty/54-inye/2009-vypiska-iz-plana-razrabotki-fstek-rossii-normativnykh-pravovykh-aktov-na-2020-god

План работ ФСТЭК на 2020 год
https://fstec.ru/tk-362/deyatelnost-tk362/306-plany/2015-plan-na-2020-god

Планы разработки принятие документов регулирующих ИБ от ТК 362 на 2020 год
https://fstec.ru/tk-362/deyatelnost-tk362/306-plany/2015-plan-na-2020-god

Национальная программа Цифровая экономика Российской Федерации
https://www.tadviser.ru/index.php/Статья:Национальная_программа_Цифровая_экономика_Российской_Федерации

Информационная безопасность цифровой экономики России
https://www.tadviser.ru/index.php/Статья:Информационная_безопасность_цифровой_экономики_России

И еще немного  ̶п̶и̶з̶д̶е̶ж̶а̶   инфы о ЦИ
https://www.tadviser.ru/index.php/Статья:Цифровая_экономика_России

#analytics

Друзья, вот вам плейлисты бодрых конференций – нормальные люди, занимающиеся делом, говорят полезные вещи, реально много можно узнать как по теме разработки ПО так и инфраструктурной (DevOps, Cloud) и продуктовой безопасности (Software, Microservices). В отличи от псевдо ху@@х конференций и форумов типо SoC Forum и  ̶Х̶@̶й̶И̶Б̶ Код ИБ нет пердежа старперов, дичи и катания ваты

DevOpsConf 2019
https://www.youtube.com/watch?v=-R6NbVQUdww&list=PLrFmwYyxJyVNw7x2aJVy5cCoV2tkll0Y5

Лучшие доклады DevOpsConf 2019 (РИТ++)
https://www.youtube.com/watch?v=bliHtExObHg&list=PLrFmwYyxJyVObonVl9JpyxrmUtCMnCnBl

Лучшие доклады DevOpsConf Russia 2018
https://www.youtube.com/watch?v=kOPXEOZ7vgw&list=PLrFmwYyxJyVODA8Reou9HuCGIs8Alfvwg

Лучшие доклады RootConf 2018 (РИТ++)
https://www.youtube.com/watch?v=9zB1eytkgYY&list=PLrFmwYyxJyVMYKTnLYWbC-9_BvsF4K39q

Security Compliance & DevOps
https://www.youtube.com/playlist?list=PLUpE7k7er9GVAGzjZUKeIDjdJROdbtUtu

#SecDevOps #SSDLC

[ПРОДОЛЖЕНИЕ ПРЕДЫДУЩЕГО ПОСТА]

Лучшие доклады HighLoad++ 2019
https://www.youtube.com/playlist?list=PLH-XmS0lSi_wvGzuuGw2f6rQQe3qB5fV4

Профессиональная конференция HighLoad++ 2019
https://www.youtube.com/playlist?list=PLH-XmS0lSi_zTZrols83QSxI3Q96dSbBm

HighLoad++ Moscow 2018
https://www.youtube.com/playlist?list=PLH-XmS0lSi_wRIh4RJjnTGMKaTiQoaGTc

РИТ++ 2019
https://www.youtube.com/playlist?list=PLH-XmS0lSi_yVB6gNPkgA_ziD70q_8JFC

РИТ++2018
https://www.youtube.com/playlist?list=PLH-XmS0lSi_xHPmiMdgH9uSW9vBK1yP1A

РИТ++ 2017
https://www.youtube.com/playlist?list=PLH-XmS0lSi_ypiqUoKq1eTsh4JvMV_URG

#SecDevOps #SSDLC

Руководство по реагированию на инциденты информационной безопасности от ЛК.

Написано годно - пойдет для составления регламента, обучения сотрудников (в тексте есть примеры, картинки) и описание технических работ по сбору артефактов (типо первичных навыков форензики своими силами)

Друзья, кто тянет лямку обеспечения ИБ в гос органах или работает в интеграторах по теме разработки ПОИБ для гос корпораций, ФОИВ или иных гос подрядчиках уже знаете, что без разработки документации (ГОСТ 34 и иже с ним) не обойтись. Ниже инфа по использованию методы моделирования угроз ИБ от ФСТЭК. И кстати, док весьма не плохой, линкованы куски из мировых best practices и базы MITRE

Как я моделировал угрозы по проекту новой методики ФСТЭК от А.Лукацкого

[часть 1] https://lukatsky.blogspot.com/2020/04/1.html

[часть 2] https://lukatsky.blogspot.com/2020/04/2.html

[часть 3] https://lukatsky.blogspot.com/2020/04/3.html

[часть 4] https://lukatsky.blogspot.com/2020/04/4.html

[часть 5] https://lukatsky.blogspot.com/2020/04/5.html

[часть 6] https://lukatsky.blogspot.com/2020/04/6.html

Доп материалы других блогеров:

(+) https://sborisov.blogspot.com/2020/04/blog-post_14.html
(+) https://shudrova.blogspot.com/2020/04/blog-post_16.html

#docs

Немного советов, гайдов и тулз для безопасности ИТ-инфраструктуры в AWS

101 AWS Security Tips & Quotes - 101 совет и рекомендация по усилению безопасности AWS

[часть 1] https://www.threatstack.com/blog/101-aws-security-tips-quotes-part-1-essential-security-practices
[часть 2] https://www.threatstack.com/blog/101-aws-security-tips-quotes-part-2-securing-your-aws-environment
[часть 3] https://www.threatstack.com/blog/101-aws-security-tips-quotes-part-3-best-practices-for-using-security-groups-in-aws
[часть 4] https://www.threatstack.com/blog/101-aws-security-tips-quotes-part-4-best-aws-security-practices

Список тулзов (в том числе open sources) для усиления защиты или аудита безопасности
https://github.com/toniblyx/my-arsenal-of-aws-security-tools

Сборка "всего-всего" по безопасности для AWS
https://github.com/jassics/awesome-aws-security

Collection of scripts and resources for DevSecOps
https://github.com/awslabs/aws-security-automation

#SecDevOps #SSDLC

[ПРОДОЛЖЕНИЕ ПРЕДЫДУЩЕГО ПОСТА]

AWS Security Best Practices - книга от вендора и листинг
https://d1.awsstatic.com/whitepapers/Security/AWS_Security_Best_Practices.pdf
https://www.secframe.com/blog/aws-security

CIS Amazon Web Services Foundations Benchmark 1.1
https://github.com/awslabs/aws-security-benchmark

Awesome AWS Security
https://github.com/coffeewithayman/awesome-aws-security

#SecDevOps #SSDLC

Други, мне иногда подгоняют интересные секурыне ресурсы на оценку. Вот один из таких, блог  SPYSE https://spyse.com/blog, инфа для пен-тестеров, язык английский. Блог от коммерческой конторы, для дискавери багов и атак юзают свой софт, но в качестве статей пишут не плохие вещи, к примеру, как найти в сети и похакать CVE-шку.

Тут на ElasticSearch https://bit.ly/2ZDwXby, а тут CVE-2019-3396 в Atlassian Confluence Server https://bit.ly/3jghS7I.

Ну, и кстати, предлагают проверить все это на FREE версии своего сервиса. Сам не юзал, ничего говорить не буду.

Любую работу (проект, действие с результатом) можно сделать «Быстро», «Качественно» , «Дорого», из этого набора опций можно выбрать только сочетание из двух вариантов, все три разом – это сказка.

Данное правило (утверждение) справедливо как для работы так и для учебы так и для каких-либо иных активностей имеющих ограничения – время, бюджет, качество (результативность). Данный подход, к примеру, у адекватных людей используется со стороны работодателя («квалификация + опыт = профессионал, классный спец = дорого», «джуниор? – дешево + качество = опыт в процессе, т.е. долго» и т.д.) так и для работника («быстро и даром? = халтура», «быстро и качественно = дорого», «дешево и качественно? = долго»)