1807
Чат для обсуждения DevSecOps и постов канала @sec_devops Вакансии: @appsec_job Услуги: https://radcop.online/
например, OWASP или CIS
Читать полностью…
только жечь вычислительные ресурсы )))))
Читать полностью…
смысл шифровать данные, если у вас все данные общедоступные (аналитика какая например)
Читать полностью…
Все верно. Так и есть.
Вот я и говорю про формат:
- постановка задачи
- варианты решения
- сложность решения вариантов
- риски реализации решений
и переделывать уже дорого
Читать полностью…
Я уже сам думаю, надо как то систематизировать свой опыт решения различных задач, так как все задачи похожи.
Читать полностью…
и что защищать - если у компании ПОКА ЧТО НЕТ продукта и клиентов
Читать полностью…
Да, все верно.
Я, как архитектор ИБ, постоянно сталкиваюсь с безумными идеями Бизнеса. И эту задачу необходимо обернуть так что бы это было приемлемо с точки зрения ИБ.
По опыту, одного решения не будет.
Будет несколько вариантов решения одной задачи с разным уровнем безопасности и разным уровнем сложности(для команды) и вложения ресурсов.
Т.е. из категории: имеем компанию "Рога и Копыта", у которой есть вот такой-вот ресурс, и вот такая-вот проблема, как быть? И далее сценарии решения, или некий один кейс.
Читать полностью…
Друзья, подписчики и читатели! В день знаний символично открыть новую страницу в истории канала. На эту идею нас натолкнули последние посты, и размышления об эволюции безопасной разработки и развитии prodsec. Что мы имеем?
- DevSecOps "как вещь-в-себе" вылетает из хайповых трендов (привет аналитика gartner!);
- DevSecOps без наличия зрелых сопутствующих практик, вроде развивающегося AI, reachability analysis и ASPM теряет смысл (а на самом деле, если вспомнить лучшие практики и системный подход к управлению ИБ а-ля ISO 27001 - никогда его не имел, как не имеют смысл отдельные меры не встроенные в систему управления "как в целое");
- Написание интересных постов про DevSecOps без затрагивания других областей, типа AppSec и ProdSec, стало практически невозможным - это либо пережевывание "хорошо известного старого" (для чего появляется все больше курсов, гайдов, программ); либо достаточно частная и слишком узкая тема (не интересная широкой аудитории);
- На фоне этого нам удается находить все меньше статей и материалов про голые практики DevSecOps. Все меньше людей довольствуются фразой "DevSecOps - это стратегическое решение". Комьюнити уже не впечатляют выстраивание secure SDLC как таковое, комьюнити интересно видеть то, что поможет им получить как можно больше ощутимого профита, а это зачастую выходит далеко за пределы автоматизации в CI/CD и затрагивает проблемы далеко за рамками DevSecOps.
Таким образом за 5 лет существования канала тематика DevSecOps в пространстве .ru прошла пик, и вышла на определенный "уровень зрелости". А мы, чтобы не потерять интерес к ИБ и сохранить полезность канала для коммьюнити постараемся расширить круг тем, и оставаться на фронтире кибербезопасности, чего бы нам это не стоило 🙃 А что думаете вы? О чем бы вам хотелось читать на Security Wine и поддерживаете ли вы расширение тематик?
P.S. Дополнительно обращаем внимание, что заявление выше не означает отказ от "классики жанра": в канале продолжат выходить и более консервативные материалы, ровно как сохранится история "прошлых постов". Поэтому вы всегда сможете вернуться "в прошлое" и найти актуальные для ваших кейсов материалы.
#оргвопрос #strategy
Всем привет. Подскажите, пожалуйста, кто в теме. Обучаюсь уже некоторое время пентесту, как то заинтересовала эта тема, но что то посмотрел hh. Зарплаты не особо высокие и вроде как вакансий довольно мало. Какой реальный порог входа для первой работы, может кто нибудь знает?
Так же посмотрел devops/devsecops. Показалось, что войти туда легче, чем в пентест и вроде это даже выше зп. Роадмапы и там и там хардовые, чтобы влиться в тему.
В итоге вопрос: что чуть проще и более перспективнее?
Времени у меня на обучение почти три года)
"Приведение в соответствие плохим практика..." - мне нравится))) Антиконсалтинг)))
Читать полностью…
Я думаю лучше эту работу не сваливать на одного, а двум поручить (аппсек составит, куа проверяет, параллельно аппсек поясняет что и зачем)
Читать полностью…
Кмк тут работа чисто qa по чеклисту
Читать полностью…
а как считаете, такие тесты должен делать AppSec/DevSecOps и передавать в QA или он просто должен требования и примерный список давать, а релизовывать команда QA должна ?
Читать полностью…
врядли будет систематизация и унификация…вообще есть базовый набор требований, который нужно будет кастомизировать под каждую систему
Читать полностью…
Ну тут как раз @Sever_r и подсвечивает же, что за отдельными кейсами скрывается потенциал систематизации и концептуализации, как в шахматах или задачнике по матанализу =)
Читать полностью…
под звездочкой - если она нужна
Читать полностью…
бизнес может сказать - принимаю все риски, а ИБ сидит в сторонке и смотрит ) задача архитектора - убедить бизнес в необходимости защиты )
Читать полностью…
а потом, когда появились, уже поздно, потому что про безопасность ЗАБЫЛИ
Читать полностью…
так это обычно делается кейс-бай-кейс, исходя из рисков, возможностей бизнеса и т.п.
Читать полностью…
денег нет, но вы держитесь
Читать полностью…
В духе "разбора решений задач"? Мы недавно что-то такое делали для CTF-турниров, чтобы показать как там решаются задачи, какие логики и подходы к решению бывают: https://habr.com/en/companies/radcop/articles/831560/
Читать полностью…
На самом деле, канал хорош.
Но в дополнении хотел высказать мысль что отсутствует какой либо канал(Или я не нашел), где бы описывались различные кейсы построения ИБ в целом или решение конкретных задач в частности.
Это больше уже к архитекторе решений ИБ или реализации задач бизнеса, которые были бы безопасны с точки зрения ИБ.
Оба направления перспективны, и там и там большой охват в технологиях и их использовании, если мы только вебчик(пентест) то порог не очень сложный, тут нужно смотреть что тебе больше нравиться делать зп и там и там высокие, все зависит от того насколько ты хороший специалист, средняя зп и там и там примерно 300, знаю белых шляп которые не рассматривают проекты за которые им меньше 700к предлагают, но там и уровень соответсвующий.
Читать полностью…
Ребят, был ли у кого-то опыт настройки прозрачного проксирования на микротиках?
Читать полностью…
на каком этапе?) этап ЖЦ не обозначен.
В целом - если так смотреть как это Вы пишите, тут может идти речь вот так - у подсистемы защиты есть функционал, который идет от реализованных мер. Его и надо проверить, на основании того что в пими
Есть такая тенденция по добавлению секьюрити проверок в чеклисты qa. Надо научить и помочь с составлением
Читать полностью…
Не девсекопс, девсекопс - это про окружение
Читать полностью…
в целом понятно, спасибо
Читать полностью…