Afleveringen

  • Ярослав Бабин — руководитель отдела анализа защищенности Positive Technologies и один из ключевых организаторов The Standoff. В новом выпуске подкаста Егор Богомолов поговорил с ним о карьере в offensive, а также о новых проектах: своих и компании.

    Positive Technologies — один из лидеров рынка ИБ в России. Сейчас компания готовит к запуску платформу The Standoff 365. Она даст больше возможностей красным командам, а также позволит наблюдать за происходящим на турнире со стороны, а значит команды защиты тоже могут потренировать свои способности.

    «Когда ты пентестер, у тебя нет времени подумать о чем-то новом, иногда нет сил что-то новое сделать. На моей позиции у меня много времени, чтобы подумать и это круто»

    «Мне кажется на рынке не хватает осознанности. К нам приходят заказчики, мы находим в компаниях уязвимости, а они приходят через год с теми же проблемами. Нужно глобально менять подход к информбезопасности»

    «Для новой платформы мы взяли ту же инфраструктуру и развернули ее онлайн. Компании и их отделы защиты смогут подключиться и учиться в любое время пока идет турнир. То есть это платформа и для красных, и для синих»

    «Я всегда бегу куда-то и выхватываю какие-то новые активности. Вот, например, заскучал и пошел заниматься The Standoff. Я делаю разную работу, и мне это нравится»

    Не забывайте подписываться на подкаст, ставить лайки и делиться с друзьями!

    Будь в курсе новостей и мероприятий от CyberEd

    Telegram Youtube

    cyber-ed.ru

  • В пятом выпуске Егор Богомолов разговаривает с капитаном команды True0xA3, многократным призером The Standoff Иваном Булавиным. Поговорили о том, что вообще такое фестиваль The Standoff для его участников, как он участвует в корпоративном обучении и почему в нем есть место даже тем, кто не учился на программиста. А также об ошибках команды на прошлом турнире, на котором она заняла второе место.

    «Моя база была очень плохая, потому что я учился на менеджера персонала. Мне сказали — у тебя есть год, за год нужно подтянуться».

    «Если что-нибудь не понимаешь, ты идешь в Google. Google дает тебе статью, ты ее читаешь. Если что-то в ней не понял — идешь в Google».

    «Был момент, когда меня уже хотели взять на работу и прислали мне три ссылки как тестовое задание. На CTF Time Work, на Википедию со статьей о CTF и на CTF, который шел онлайн. Я до этого знал, что в теории можно ломать системы, но это не слишком легально. А тут мне дают полигон и говорят — сиди, ломай. Я был в восторге!»

    «В пентесте по сути нужно разбираться с тем, как что-то устроено. Мне это с детства нравилось».

    «Задача капитана — снять с команды всю головную боль, чтобы они могли работать. И тогда они показывают результат».

    «Мы сильные не потому что у нас есть роли, а потому что каждый делает то, что ему нравится. Если человека не напрягать, он развалит тебе всю систему, будешь только кайфовать от того, что он достает тебе пароли. А если поставить его на веб, которым он не хочет заниматься, он сгорит».

    Не забывайте подписываться на подкаст, ставить лайки и делиться с друзьями!

    Будь в курсе новостей и мероприятий от CyberEd

    Telegram Youtube

    cyber-ed.ru

  • Zijn er afleveringen die ontbreken?

    Klik hier om de feed te vernieuwen.

  • Егор Богомолов, пентестер и преподаватель школы CyberEd, и Head of AppSec Бизнес Юнит Mail.ru, Компания VK Денис Рыбин обсудили особенности работы в защите приложений. Денис уже два года работает руководителем департамента защиты в Бизнес Юнит Mail.ru. Он рассказал о том, как стать специалистом AppSec, кому такая профессия подойдет и чем занимаются защитники каждый день.

    «Функция AppSec — склейка команд, бизнесов и компаний. К нам приходят как к хранителям знаний»

    «Если хочешь стать AppSec специалистом, начинай с обучения на пентестера. Это навыки, которые понятно, как развивать, hard skills, которые понадобятся дальше в любом случае»

    «Безопасник всегда самый тупой на любом совещании, потому что у него меньше всего контекста. Нужно не бояться задавать вопросы, отлавливать людей после встреч, докапываться. А потом приходить к команде и говорить: “Ребята, я сначала думал так, а там вообще все не так, отменяем наше решение, нужно по-другому делать”»

    «Одна из больших проблем в безопасности — люди быстро выгорают. Безопасник — перфекционист, он хочет безопасность обеспечить. А ему говорят “ты вот тут поправь, а тут не правь, а то деньги, бизнес, время”. Он хочет построить космолет, а ему говорят — сделай, чтобы работало просто»

    «Идеально на роль AppSec подойдет бывший пентестер. Это закроет часть скиллов, которые в человеке сложно выращивать. Он еще не уставший, ему можно что-то еще в голову вложить, он хочет учиться. Хорошие кандидаты еще бывшие разработчики и девопсы, но проблема в том, что у них глаза не горят, они просто выгорели»

    Не забывайте подписываться на подкаст, ставить лайки и делиться с друзьями!

    Будь в курсе новостей и мероприятий от CyberEd

    Telegram Youtube

    cyber-ed.ru

  • Директор департамента базы знаний и экспертизы Positive Technologies Михаил Помзов отвечает на вопросы пентестера и преподавателя школы CyberEd Егора Богомолова. Михаил участвовал во всех соревнованиях The Standoff, а теперь занимается его организацией. Поговорили о том, как устроен турнир изнутри, какие основные задачи у Red и Blue Team, к чему готовиться новичкам и зачем расширять базу участников команд. А ещё Михаил намекнул, чего ждать на новом турнире, который состоится уже в ноябре.

    Хотите стать частью The Standoff, который пройдет уже 15-16 ноября 2021 года?

    Positive Technologies и ГК Innostage объявляют конкурс для молодых специалистов по информационной безопасности 💣 The Standoff Young Hats 💣

    ❗️К участию приглашаются все неравнодушные к ИБ студенты, которым есть чем поделиться с коммьюнити.

    Подробности здесь

    Не забывайте подписываться на подкаст, ставить лайки и делиться с друзьями!

    Будь в курсе новостей и мероприятий от CyberEd

    Telegram Youtube

    cyber-ed.ru

  • В гостях у Ильдара Садыкова руководитель направления Bug Bounty Mail.ru Group Алексей Гришин. Поговорили о программе Bug Bounty, о ее уязвимостях и росте специалиста, который может находить уязвимости такого типа.

    «Представляете, как круто, если в зале славы Пентагона написано, что вы взломали Пентагон?»

    «Для компании Bug Bounty — способ найти белые пятна. Сама программа не повышает защищенность организации. Вы нашли баг и вам за него пришлось заплатить, но только у вас теперь еще и уязвимость есть. У вас раньше не было ничего, а теперь ничего и головная боль»

    «Когда я окончил университет, мне с дипломом специалиста по информационной безопасности было негде работать. И я по факту был системным администратором. Все понимали: вот есть неработающий компьютер, вот есть системный администратор, мы их помещаем в одну комнату и на выходе у нас есть работающий компьютер и уставший администратор. А что делать со специалистами ИБ понятно не было»

    «Уязвимости стали сложнее, то что раньше можно было найти на каждом сайте, сейчас автоматизировано. Теперь искать уязвимости сложнее, нужно больше покопаться»

    «Проблемы поменялись, подходы поменялись, а люди остались. Только общий уровень и требования выросли»

    Не забывайте подписываться на подкаст, ставить лайки и делиться с друзьями!

    Будь в курсе новостей и мероприятий от CyberEd

    Telegram Youtube

    cyber-ed.ru

  • В первом выпуске подкаста пентестеры Егор Богомолов и Павел Шлюндин обсуждают недавнюю победу на “The Standoff” и то, как это стало возможным. Почему невозможно выиграть турнир в одиночку или с командой случайных спецов? Какую роль играет удача? Как турниры такого уровня бустят карьерный путь специалиста?

    Павел Шлюндин пришёл в профессию 4 года назад и быстро стал опытным профессионалом. В подкасте он рассказывает о том, как добиться такого же результата новичку — на что обратить внимание, какие навыки вкачать и в какую сторону развиваться, чтобы стать успешным пентестером.

    «Мне доставляет удовольствие делать все максимально быстро. У меня есть рекорд — однажды за 2,5 минуты я стал администратором домена»

    «Мне приходилось всего добиваться самому. Четыре года назад не было такого количества материалов в открытом доступе и приходилось из твиттера какого-то человека выцеплять логику информации, пытаться ее применить, обучиться на этом, подобрать к этому инструмент — и тогда ты открывал для себя новую атаку. Мы собирали по крупицам эту информацию»

    «У меня нету однотипных работ. Каждая задача новая, все с чистого листа и никогда не повторяется»

    «Очень важно на рабочем месте найти человека, который знает больше тебя и к нему присосаться, чтобы он мог какие-то знания вкидывать»

    Не забывайте подписываться на подкаст, ставить лайки и делиться с друзьями!

    Будь в курсе новостей и мероприятий от CyberEd

    Telegram Youtube

    cyber-ed.ru