Продолжаем сдавать все явки и пароли и представляем третью подборку полезных материалов, рекомендуемых экспертами Positive Technologies. Наша команда аналитиков собрала русские и зарубежные базы знаний и блоги, курсы и лабы, исследовательские отчеты и Telegram-каналы, которые будут интересны всем, кто хочет разбираться в актуальных трендах кибербезопасности.

Что интересно, Telegram-каналы занимают треть списка. Это во многом объясняется тем, что новости там появляются намного раньше, чем в других источниках, а аналитикам ИБ, как никому другому в отрасли, необходимо оперативно узнавать о новых кибератаках, техниках злоумышленников, обнаруженных уязвимостях и расследованиях, проведенных коллегами.

Кстати, если пропустили, ловите ссылку на полезные материалы по машинному обучению и не забывайте про наш хит — подборку 100+ ресурсов, посвященных анализу защищенности мобильных и веб-приложений, реверсу зловредов и киберразведке. А если интересно узнать, чем занимается департамент аналитики в Positive Technologies и почему специалисты этого направления уникальны на рынке, читайте другой наш пост.

Читаем фундаментальное

Годовые аналитические отчеты авторитетных компаний в сфере кибербезопасности. Вот несколько свежих примеров:

• 2021 Global Threat Report, CrowdStrike

• Cost of a Data Breach Report 2021, IBM

• 2021 Data Breach Investigations Report, Verizon

• M-Trends Report 2021, FireEye

Книги:

• Эндрю Хоффман. Безопасность веб-приложений

• Stuttard Dafydd, Pinto Marcus. The Web Application: Hacker's Handbook

• Georgia Weidman. Penetration Testing: A Hands-On Introduction to Hacking (1st edition)

Журнал «Хакер» — статьи выходят не быстро, но обычно содержат интересную аналитику либо детали, которых нет на других ресурсах.

Где еще узнаем полезное

Блоги и форумы, в основном посвященные пентесту:

• Pentest Monkey — заметки об использовании базовых инструментов тестирования;

• Codeby.net — живой русскоязычный форум о безопасности;

• Guifre Home — блог программного инженера о безопасности ПО и сетевых технологий;

• Active Directory Security — все о безопасности Active Directory, методах атак и эффективных средствах защиты;

• KentoSec — заметки о профессиональном развитии в сфере ИБ;

• 0xdf hacks stuff — список онлайн-площадок для тренировки навыков.

Прокачиваем скилы

Курсы и лабы:

• Web Security Academy — хороший курс для повышения квалификации в сфере практической безопасности;

• Try Hack Me — площадка для отработки навыков пентеста и bug bounty с платными и бесплатными уроками;

• Hack The Box — по мнению наших экспертов, лучшая площадка для отработки практических навыков сегодня, подходит для специалистов с любым уровнем подготовки;

• PentesterLab Bootcamp — интересный набор виртуалок для отработки навыков;

• War Games — полезные игры для «самых маленьких хакеров».

Руководства и советы по тестированию на проникновение:

• HackTricks

• IT-Security

• Hacking Articles

• Rowbot’s Pentest Notes

• Ashen Knight

• Pentest Blog

• FuzzySecurity 2.0

• g0tmi1k

Держим руку на пульсе — читаем новости

Главные помощники здесь — Telegram-каналы:

• Threatpost — собственный канал Threatpost — пожалуй, главного и самого оперативного источника новостей по кибербезопасности. Издание регулярно читают сотни тысяч специалистов со всего мира.

• SecurityLab — хороший новостной канал про кибербезопасность.

• SecAtor — короткие злободневные заметки по ИБ, дополненные мнением или аналитикой автора канала.

• in4security — горячие новости, факты и мнения экспертов из мира ИБ.  Кроме того, на канале публикуют расследования по OSINT и новым схемам обмана.

• Positive Technologies — наш новостной канал, где мы анонсируем исследования и статьи, которые выпускают различные отделы Позитива. Подписывайтесь!

• Листок бюрократической защиты информации — нормативно-новостной канал об информационной безопасности в России.

• Киберп****ц — полезный канал про технологии и кибербезопасность.

• CyberJobsRussia — чат с живым общением специалистов по ИБ на различные темы, в том числе и бесполезные.

• Life-Hack [Жизнь-Взлом] — различные материалы по практической безопасности для начинающих.

• Social Engineering — канал, где делятся книгами, статьями и материалами по ИБ.

• Пост Лукацкого — кто не знает Лукацкого? С его мнением можно не соглашаться, но послушать явно стоит.

• Утечки информации — ресурс, на котором оперативно появляется информация о различных громких и не очень утечках данных с анализом возможных причин и последствий.

• DevSecOps Talks — рассказывает об актуальном в мире DevSecOps.

• k8s (in)security — канал про безопасность Kubernetes, а также других микросервисов и контейнеров.

Бонус

Для работы и отдыха наш эксперт Дмитрий Каталков советует смотреть YouTube-канал одной из лучших CTF-команд России — SPbCTF.

Кстати, эта команда принимает участие в кибербитве The Standoff с 2019 года, а в прошлом году заняла третье место. Какой урон SPbCTF нанесет кибергосударству F в этом году, можно будет узнать уже 18–19 мая на Positive Hack Days, где и пройдет очередной The Standoff.

Просвещайтесь, прокачивайте скилы и применяйте их в работе! А если есть ресурсы, хорошо дополняющие нашу подборку, пишите в комментариях — добавим.

Авторы подборки:

Евгений Гнедин

Директор департамента аналитики информационной безопасности

Дмитрий Каталков

Руководитель отдела аналитики проектов по кибербезопасности

Яна Юракова

Аналитик исследовательской группы департамента аналитики информационной безопасности

Валерий Кузьменков

Аналитик отдела аналитики проектов по кибербезопасности