Защита систем: чему "Звездные войны" учат инженера ПО 🚀
В хорошем переводе вышла книга одного из самых известных специалистов в области ИБ Адама Шостака (Adam Shostack)🥳 Он долгое время был руководителем программы SDL в Майкрософт 👨💻
Рекомендую книгу студентам и преподавателям по ИБ👨🎓
#книги #рекомендация
В хорошем переводе вышла книга одного из самых известных специалистов в области ИБ Адама Шостака (Adam Shostack)
Рекомендую книгу студентам и преподавателям по ИБ
#книги #рекомендация
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥18👍5🤓2
Атаки на полные по Тьюрингу системы 😱
Ранее я упоминал выступление Владимира Кочеткова про разницу между мышлением хакера и программиста, но не написал главное: а что же приводит к атакам на системы и как избежать атак?🤔
Давайте разбираться👨🏫
Самое важное, что необходимо знать: хакер использует то, что разработчик изначально в приложение не закладывал, но почему-то реализовал👨💻
Уязвимости в коде — это всегда избыточная функциональность, добавленная разработчиком в рамках реализации фичей. Косвенно хакер всегда использует эту избыточность.
Разработчики нечаянно создают полные по Тьюрингу системы, когда решают проблемы, например, Minecraft, LaTeX, Unicode и др. являются полными по Тьюрингу (смотрите список здесь и здесь)📕
Причем тут полнота по Тьюрингу?🤔
Если мы можем построить машину Тьюринга, то способны решить любую алгоритмически вычислимую задачу на такой машине. Отсюда следует, что хакер тоже программист, который программирует избыточную систему для достижения собственных целей 🥷
Что с этим делать?
В приложении должен быть только тот код, который пишется в рамках реализации фичей. Не надо бороться с определенными типами атак в коде🤷
Например, нужно ограничивать входные и выходные данные в соответствии с теми фичами, которые реализуются: если веб-приложение ожидает на входе е-мейл, то нужно проверять, что это, действительно е-мейлы, и отбрасывать весь мусор🗑
И несколько слов про подготовку кадров👨🏫
На мой взгляд, такую тему точно надо добавить в курс по безопасной разработке для программистов✍️
#безопасная_разработка
Ранее я упоминал выступление Владимира Кочеткова про разницу между мышлением хакера и программиста, но не написал главное: а что же приводит к атакам на системы и как избежать атак?
Давайте разбираться
Самое важное, что необходимо знать: хакер использует то, что разработчик изначально в приложение не закладывал, но почему-то реализовал
Уязвимости в коде — это всегда избыточная функциональность, добавленная разработчиком в рамках реализации фичей. Косвенно хакер всегда использует эту избыточность.
Разработчики нечаянно создают полные по Тьюрингу системы, когда решают проблемы, например, Minecraft, LaTeX, Unicode и др. являются полными по Тьюрингу (смотрите список здесь и здесь)
Причем тут полнота по Тьюрингу?
Если мы можем построить машину Тьюринга, то способны решить любую алгоритмически вычислимую задачу на такой машине. Отсюда следует, что хакер тоже программист, который программирует избыточную систему для достижения собственных целей 🥷
Что с этим делать?
В приложении должен быть только тот код, который пишется в рамках реализации фичей. Не надо бороться с определенными типами атак в коде
Например, нужно ограничивать входные и выходные данные в соответствии с теми фичами, которые реализуются: если веб-приложение ожидает на входе е-мейл, то нужно проверять, что это, действительно е-мейлы, и отбрасывать весь мусор
И несколько слов про подготовку кадров
На мой взгляд, такую тему точно надо добавить в курс по безопасной разработке для программистов
#безопасная_разработка
Please open Telegram to view this post
VIEW IN TELEGRAM
👍9🔥3💯2❤1
Национальные рейтинги вузов по трудоустройству выпускников 👨🎓
Рейтинги рассчитаны на основе сведений Рособрнадзора о выпускниках очной формы обучения, данных по уровню их трудоустройства на второй год после завершения обучения и медианной заработной платы за этот период🤔
Почему берётся процент трудоустройства на второй год после выпуска?
На показатели первого года после выпуска в значительной мере влияют жизненные события: переезд в другой регион, служба в армии и другие ситуации. На второй год, как правило, формируется более устойчивый и показательный уровень трудоустройства✍️
Источник
#рейтинг
Рейтинги рассчитаны на основе сведений Рособрнадзора о выпускниках очной формы обучения, данных по уровню их трудоустройства на второй год после завершения обучения и медианной заработной платы за этот период
Почему берётся процент трудоустройства на второй год после выпуска?
На показатели первого года после выпуска в значительной мере влияют жизненные события: переезд в другой регион, служба в армии и другие ситуации. На второй год, как правило, формируется более устойчивый и показательный уровень трудоустройства
Источник
#рейтинг
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
👍4❤2🤔2🔥1
Forwarded from PT EdTechLab
«ЦИПР 2025» — White Hacker. Взгляд на киберугрозы изнутри
⌨️ Наша команда приняла участие в одной из ключевых цифровых площадок страны — конференции GDF (Global Digital Forum) в рамках ЦИПР 2025 в Нижнем Новгороде. В рамках мероприятия мы провели воркшоп «White Hacker», где раскрыли, как мыслят белые хакеры и как происходит компрометация IT-инфраструктуры — и как этому можно научить защитников информационной инфраструктуры.
На воркшопе вместе с представителями международных делегаций обсудили:
🔴 какую роль выполняют белые хакеры в современном мире;
🔴 как должен мыслить белый хакер;
🔴 какие инструменты чаще всего используют при проведении тестирования на проникновение.
⌨️ Основной акцент воркшопа — практическая подготовка: были разобраны реальные атаки на IT-инфраструктуру, а каждый участник воркшопа смог проверить свои навыки в поиске и эксплуатации уязвимостей в инфраструктуре тренажёра PT EdTechLab.
💻 Мы постоянно улучшаем наш образовательный тренажёр, чтобы дать возможность оттачивать как можно больше практических навыков. В скором времени станет доступна возможность проводить комплексные занятия для демонстрации двух граней кибербезопасности — Blue Team и Red Team.
🤟 Мы убеждены, что только сочетание теории, практики и актуальной экспертизы - единственный верный путь подготовки специалистов по кибербезопасности, способных противодействовать APT-группировкам.
На воркшопе вместе с представителями международных делегаций обсудили:
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
👍5🔥3❤🔥2❤2
Хабр
ИИ, Purple Team и архитектура SOC: из чего собрана магистратура по кибербезопасности от ИТМО и Positive Technologies
Искусственный интеллект, Purple Team и архитектура SOC — три ключевых тренда, которые сейчас определяют развитие кибербеза. Вокруг них строится магистратура «Кибербезопасность» от ИТМО и Positive...
ИИ, Purple Team и архитектура SOC: из чего собрана магистратура по кибербезопасности от ИТМО и Positive Technologies 👨🏫👨🎓
Читать полностью на Хабре
#PositiveEducation #магистратура #студентам
Искусственный интеллект, Purple Team и архитектура SOC — три ключевых тренда, которые сейчас определяют развитие кибербеза. Вокруг них строится магистратура «Кибербезопасность» от ИТМО и Positive Technologies. Программа работает уже год: студенты моделируют атаки, работают с ИИ-продуктами, проектируют защиту и собирают SOC на уровне инженерных решений. В статье рассказываем о том, как устроена магистратура и зачем она нужна инженерам с опытом.
Читать полностью на Хабре
#PositiveEducation #магистратура #студентам
🔥9👍6❤5
Forwarded from AM Live
Media is too big
VIEW IN TELEGRAM
«Мы ищем кадры не там!»
Все говорят о «кадровом голоде» в ИБ
Кафедры множатся, курсы штампуются, студентов становится больше.
Но где,чёрт возьми , специалисты?
В новом эпизоде техшоу AM Talk сжигаем до тла мифы об образовании и найме в ИБ
Дмитрий Фёдоров в этом деле уже 15 лет.
Он уверен:
ИБ — это часть ИТ, а не отдельная каста избранных
Хватит искать будущих специалистовпод фонарём на кафедрах ИБ!
А где?
Новый выпуск “Почему кибербезопасности учат неправильно?”
🔹 про стереотипы, которые мешают зарабатывать и расти
🔹про мышление хакера
🔹и про то, как не потратить годы впустую
Преподаватели, HR, CISO и студенты:
в этом выпуске у нас для вас три вопроса, которые могут перевернуть подход к найму и обучению.
Ответьте сами — а потом скажите нам, кто из вас реально готов к ИБ
Смотрите AM Talk там, где удобно, — или прямо здесь
📺 ВК Видео
📺 YouTube
📺 RuTube
Все говорят о «кадровом голоде» в ИБ
Кафедры множатся, курсы штампуются, студентов становится больше.
Но где,
В новом эпизоде техшоу AM Talk сжигаем до тла мифы об образовании и найме в ИБ
Дмитрий Фёдоров в этом деле уже 15 лет.
Он уверен:
ИБ — это часть ИТ, а не отдельная каста избранных
Хватит искать будущих специалистов
А где?
Новый выпуск “Почему кибербезопасности учат неправильно?”
🔹 про стереотипы, которые мешают зарабатывать и расти
🔹про мышление хакера
🔹и про то, как не потратить годы впустую
Преподаватели, HR, CISO и студенты:
в этом выпуске у нас для вас три вопроса, которые могут перевернуть подход к найму и обучению.
Ответьте сами — а потом скажите нам, кто из вас реально готов к ИБ
Смотрите AM Talk там, где удобно, — или прямо здесь
Please open Telegram to view this post
VIEW IN TELEGRAM
6🔥21❤6👍6🤡1🤝1
Подготовка продвинутых ИБэшников в рамках нацпроекта Минцифры
Минцифры🔢 продолжает активно развивать ИТ-образование. С одной стороны, вынуждая ИТ-компании заходить в вузы, с другой — среди вузов, выдавая гранты на запуск углубленного ИТ-образования 😍
Поговорим подробнее про проект углубленного ИТ-образования🔥 , т. к. в перечне направлений Минцифры значится бакалавр по ИБ. Получается, что не только ФСТЭК РФ заинтересован в ИБэшниках 🤔
Цель проекта — до конца 2030 года подготовить не менее 3,5 тысяч продвинутых ИТ-специалистов, которые смогут решать сложные задачи💪
В результате проведения конкурса определили 26 вузов. Главным условием для вузов стало привлечение софинансирования в размере не менее 30% от суммы грантов🤑 За методическую поддержку проекта отвечает Высшая школа программной инженерии МФТИ 👍
Как предполагается достигать цели?🤔
Если вспомнить схему ролей в кибербезе (на рисунке), то классический выпускник бакалавриата по ИБ после окончания вуза выбирает направление и далее по нему развивается, начиная с начальных позиций👨💻 А Минцифры предлагает производственные практики перенести на первый курс, чтобы последующие три года студенты уже профессионально развивались и выпускались на уровне мидл🔥
Я с большим воодушевлением смотрю на инициативы, которые заставляют систему высшего образования выйти из "зоны комфорта" и начать готовить ИБ-специалистов не только в соответствии со стандартами (нормами, примерными учебными планами итд) 👨🎓👩🎓, но и по-настоящему востребованных на рынке труда 🔧
#Минцифры #кадры_в_ИБ
Минцифры
Поговорим подробнее про проект углубленного ИТ-образования
Цель проекта — до конца 2030 года подготовить не менее 3,5 тысяч продвинутых ИТ-специалистов, которые смогут решать сложные задачи
В результате проведения конкурса определили 26 вузов. Главным условием для вузов стало привлечение софинансирования в размере не менее 30% от суммы грантов
Как предполагается достигать цели?
Если вспомнить схему ролей в кибербезе (на рисунке), то классический выпускник бакалавриата по ИБ после окончания вуза выбирает направление и далее по нему развивается, начиная с начальных позиций
Я с большим воодушевлением смотрю на инициативы, которые заставляют систему высшего образования выйти из "зоны комфорта" и начать готовить ИБ-специалистов не только в соответствии со стандартами (нормами, примерными учебными планами итд) 👨🎓👩🎓, но и по-настоящему востребованных на рынке труда 🔧
#Минцифры #кадры_в_ИБ
Please open Telegram to view this post
VIEW IN TELEGRAM
6👍9🔥6❤2👏2🤡1
Рынок труда в ИБ по данным HeadHunter
Татьяна Фомина, директор по ИТ и кибербезопасности HH, рассказала с 12:05 на ЦИПРе про проблемы с кадрами в ИБ🤔
Промолчу про серые шрифт на черном фоне.... или не промолчу🫣 пожалуйста, не делайте так 🫠
А теперь по существу. Тема навыков в ИБ не раскрыта. Что такое навык "Информационная безопасность"? Либо HH скрывает, либо не понимает, какие навыки для ИБэшника существуют🤔 Хорошо об этом сказал Алексей Волков из Билайн (посмотрите его выступление с 34:36).
В конце выступления Татьяна Фомина говорит, что решением проблемы может стать оценка ИТ-навыков. Скорее всего, речь идет про проект Национальная система подтверждения ИТ-компетенций, где HH является оператором🤔 Понятно желание компании расширить свою сертификацию на ИБэшников 🤔
#сертификация #HeadHunter
Татьяна Фомина, директор по ИТ и кибербезопасности HH, рассказала с 12:05 на ЦИПРе про проблемы с кадрами в ИБ
Промолчу про серые шрифт на черном фоне.... или не промолчу
А теперь по существу. Тема навыков в ИБ не раскрыта. Что такое навык "Информационная безопасность"? Либо HH скрывает, либо не понимает, какие навыки для ИБэшника существуют
В конце выступления Татьяна Фомина говорит, что решением проблемы может стать оценка ИТ-навыков. Скорее всего, речь идет про проект Национальная система подтверждения ИТ-компетенций, где HH является оператором
#сертификация #HeadHunter
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
❤6🤡6💯4🤔3👍2