![](https://habrastorage.org/getpro/habr/upload_files/705/046/c43/705046c43758236f355f9d71256964b1.jpg)
Продолжаем сдавать все явки и пароли и представляем третью подборку полезных материалов, рекомендуемых экспертами Positive Technologies. Наша команда аналитиков собрала русские и зарубежные базы знаний и блоги, курсы и лабы, исследовательские отчеты и Telegram-каналы, которые будут интересны всем, кто хочет разбираться в актуальных трендах кибербезопасности.
Что интересно, Telegram-каналы занимают треть списка. Это во многом объясняется тем, что новости там появляются намного раньше, чем в других источниках, а аналитикам ИБ, как никому другому в отрасли, необходимо оперативно узнавать о новых кибератаках, техниках злоумышленников, обнаруженных уязвимостях и расследованиях, проведенных коллегами.
Кстати, если пропустили, ловите ссылку на полезные материалы по машинному обучению и не забывайте про наш хит — подборку 100+ ресурсов, посвященных анализу защищенности мобильных и веб-приложений, реверсу зловредов и киберразведке. А если интересно узнать, чем занимается департамент аналитики в Positive Technologies и почему специалисты этого направления уникальны на рынке, читайте другой наш пост.
Читаем фундаментальное
Годовые аналитические отчеты авторитетных компаний в сфере кибербезопасности. Вот несколько свежих примеров:
Книги:
Эндрю Хоффман. Безопасность веб-приложений
Stuttard Dafydd, Pinto Marcus. The Web Application: Hacker's Handbook
Georgia Weidman. Penetration Testing: A Hands-On Introduction to Hacking (1st edition)
Журнал «Хакер» — статьи выходят не быстро, но обычно содержат интересную аналитику либо детали, которых нет на других ресурсах.
Где еще узнаем полезное
Блоги и форумы, в основном посвященные пентесту:
Pentest Monkey — заметки об использовании базовых инструментов тестирования;
Codeby.net — живой русскоязычный форум о безопасности;
Guifre Home — блог программного инженера о безопасности ПО и сетевых технологий;
Active Directory Security — все о безопасности Active Directory, методах атак и эффективных средствах защиты;
KentoSec — заметки о профессиональном развитии в сфере ИБ;
0xdf hacks stuff — список онлайн-площадок для тренировки навыков.
Прокачиваем скилы
Курсы и лабы:
Web Security Academy — хороший курс для повышения квалификации в сфере практической безопасности;
Try Hack Me — площадка для отработки навыков пентеста и bug bounty с платными и бесплатными уроками;
Hack The Box — по мнению наших экспертов, лучшая площадка для отработки практических навыков сегодня, подходит для специалистов с любым уровнем подготовки;
PentesterLab Bootcamp — интересный набор виртуалок для отработки навыков;
War Games — полезные игры для «самых маленьких хакеров».
Руководства и советы по тестированию на проникновение:
Держим руку на пульсе — читаем новости
Главные помощники здесь — Telegram-каналы:
Threatpost — собственный канал Threatpost — пожалуй, главного и самого оперативного источника новостей по кибербезопасности. Издание регулярно читают сотни тысяч специалистов со всего мира.
SecurityLab — хороший новостной канал про кибербезопасность.
SecAtor — короткие злободневные заметки по ИБ, дополненные мнением или аналитикой автора канала.
in4security — горячие новости, факты и мнения экспертов из мира ИБ. Кроме того, на канале публикуют расследования по OSINT и новым схемам обмана.
Positive Technologies — наш новостной канал, где мы анонсируем исследования и статьи, которые выпускают различные отделы Позитива. Подписывайтесь!
Листок бюрократической защиты информации — нормативно-новостной канал об информационной безопасности в России.
Киберп****ц — полезный канал про технологии и кибербезопасность.
CyberJobsRussia — чат с живым общением специалистов по ИБ на различные темы, в том числе и бесполезные.
Life-Hack [Жизнь-Взлом] — различные материалы по практической безопасности для начинающих.
Social Engineering — канал, где делятся книгами, статьями и материалами по ИБ.
Пост Лукацкого — кто не знает Лукацкого? С его мнением можно не соглашаться, но послушать явно стоит.
Утечки информации — ресурс, на котором оперативно появляется информация о различных громких и не очень утечках данных с анализом возможных причин и последствий.
DevSecOps Talks — рассказывает об актуальном в мире DevSecOps.
k8s (in)security — канал про безопасность Kubernetes, а также других микросервисов и контейнеров.
Бонус
Для работы и отдыха наш эксперт Дмитрий Каталков советует смотреть YouTube-канал одной из лучших CTF-команд России — SPbCTF.
Кстати, эта команда принимает участие в кибербитве The Standoff с 2019 года, а в прошлом году заняла третье место. Какой урон SPbCTF нанесет кибергосударству F в этом году, можно будет узнать уже 18–19 мая на Positive Hack Days, где и пройдет очередной The Standoff.
Просвещайтесь, прокачивайте скилы и применяйте их в работе! А если есть ресурсы, хорошо дополняющие нашу подборку, пишите в комментариях — добавим.
Авторы подборки:
![](https://habrastorage.org/getpro/habr/upload_files/d03/ebe/dc7/d03ebedc7f3e815afd94186598845e05.jpg)
Евгений Гнедин
Директор департамента аналитики информационной безопасности
![](https://habrastorage.org/getpro/habr/upload_files/d19/14e/fbc/d1914efbc782b91c0698133453d2ae6a.jpg)
Дмитрий Каталков
Руководитель отдела аналитики проектов по кибербезопасности
![](https://habrastorage.org/getpro/habr/upload_files/540/354/ab9/540354ab979a6817ad02b50ca2a2eb2d.png)
Яна Юракова
Аналитик исследовательской группы департамента аналитики информационной безопасности
![](https://habrastorage.org/getpro/habr/upload_files/3e0/96f/945/3e096f9459cafb3543b4b8a6026da2fa.jpg)
Валерий Кузьменков
Аналитик отдела аналитики проектов по кибербезопасности