Telegram Web
Атаки на полные по Тьюрингу системы 😱

Ранее я упоминал выступление Владимира Кочеткова про разницу между мышлением хакера и программиста, но не написал главное: а что же приводит к атакам на системы и как избежать атак? 🤔

Давайте разбираться 👨‍🏫

Самое важное, что необходимо знать: хакер использует то, что разработчик изначально в приложение не закладывал, но почему-то реализовал 👨‍💻

Уязвимости в коде — это всегда избыточная функциональность, добавленная разработчиком в рамках реализации фичей. Косвенно хакер всегда использует эту избыточность.

Разработчики нечаянно создают полные по Тьюрингу системы, когда решают проблемы, например, Minecraft, LaTeX, Unicode и др. являются полными по Тьюрингу (смотрите список здесь и здесь) 📕

Причем тут полнота по Тьюрингу? 🤔

Если мы можем построить машину Тьюринга, то способны решить любую алгоритмически вычислимую задачу на такой машине. Отсюда следует, что хакер тоже программист, который программирует избыточную систему для достижения собственных целей 🥷

Что с этим делать?

В приложении должен быть только тот код, который пишется в рамках реализации фичей. Не надо бороться с определенными типами атак в коде 🤷

Например, нужно ограничивать входные и выходные данные в соответствии с теми фичами, которые реализуются: если веб-приложение ожидает на входе е-мейл, то нужно проверять, что это, действительно е-мейлы, и отбрасывать весь мусор 🗑

И несколько слов про подготовку кадров 👨‍🏫

На мой взгляд, такую тему точно надо добавить в курс по безопасной разработке для программистов ✍️

#безопасная_разработка
Please open Telegram to view this post
VIEW IN TELEGRAM
👍9🔥3💯21
Национальные рейтинги вузов по трудоустройству выпускников 👨‍🎓

Рейтинги рассчитаны на основе сведений Рособрнадзора о выпускниках очной формы обучения, данных по уровню их трудоустройства на второй год после завершения обучения и медианной заработной платы за этот период 🤔

Почему берётся процент трудоустройства на второй год после выпуска?

На показатели первого года после выпуска в значительной мере влияют жизненные события: переезд в другой регион, служба в армии и другие ситуации. На второй год, как правило, формируется более устойчивый и показательный уровень трудоустройства ✍️

Источник

#рейтинг
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
👍42🤔2🔥1
Forwarded from PT EdTechLab
«ЦИПР 2025» — White Hacker. Взгляд на киберугрозы изнутри

⌨️ Наша команда приняла участие в одной из ключевых цифровых площадок страны — конференции GDF (Global Digital Forum) в рамках ЦИПР 2025 в Нижнем Новгороде. В рамках мероприятия мы провели воркшоп «White Hacker», где раскрыли, как мыслят белые хакеры и как происходит компрометация IT-инфраструктуры — и как этому можно научить защитников информационной инфраструктуры.

На воркшопе вместе с представителями международных делегаций обсудили:
🔴какую роль выполняют белые хакеры в современном мире;
🔴как должен мыслить белый хакер;
🔴какие инструменты чаще всего используют при проведении тестирования на проникновение.

⌨️ Основной акцент воркшопа — практическая подготовка: были разобраны реальные атаки на IT-инфраструктуру, а каждый участник воркшопа смог проверить свои навыки в поиске и эксплуатации уязвимостей в инфраструктуре тренажёра PT EdTechLab.

💻 Мы постоянно улучшаем наш образовательный тренажёр, чтобы дать возможность оттачивать как можно больше практических навыков. В скором времени станет доступна возможность проводить комплексные занятия для демонстрации двух граней кибербезопасности — Blue Team и Red Team.

🤟 Мы убеждены, что только сочетание теории, практики и актуальной экспертизы - единственный верный путь подготовки специалистов по кибербезопасности, способных противодействовать APT-группировкам.
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
👍5🔥3❤‍🔥22
ИИ, Purple Team и архитектура SOC: из чего собрана магистратура по кибербезопасности от ИТМО и Positive Technologies 👨‍🏫👨‍🎓

Искусственный интеллект, Purple Team и архитектура SOC — три ключевых тренда, которые сейчас определяют развитие кибербеза. Вокруг них строится магистратура «Кибербезопасность» от ИТМО и Positive Technologies. Программа работает уже год: студенты моделируют атаки, работают с ИИ-продуктами, проектируют защиту и собирают SOC на уровне инженерных решений. В статье рассказываем о том, как устроена магистратура и зачем она нужна инженерам с опытом.


Читать полностью на Хабре

#PositiveEducation #магистратура #студентам
🔥9👍65
Forwarded from AM Live
Media is too big
VIEW IN TELEGRAM
«Мы ищем кадры не там!»

Все говорят о «кадровом голоде» в ИБ

Кафедры множатся, курсы штампуются, студентов становится больше.
Но где, чёрт возьми, специалисты?

В новом эпизоде техшоу AM Talk сжигаем до тла мифы об образовании и найме в ИБ

Дмитрий Фёдоров в этом деле уже 15 лет.

Он уверен:

ИБ — это часть ИТ, а не отдельная каста избранных

Хватит искать будущих специалистов под фонарём на кафедрах ИБ!

А где?

Новый выпуск “Почему кибербезопасности учат неправильно?”

🔹 про стереотипы, которые мешают зарабатывать и расти
🔹про мышление хакера
🔹и про то, как не потратить годы впустую

Преподаватели, HR, CISO и студенты:

в этом выпуске у нас для вас три вопроса, которые могут перевернуть подход к найму и обучению.

Ответьте сами — а потом скажите нам, кто из вас реально готов к ИБ

Смотрите AM Talk там, где удобно, — или прямо здесь

📺 ВК Видео

📺 YouTube

📺 RuTube
Please open Telegram to view this post
VIEW IN TELEGRAM
6🔥216👍6🤡1🤝1
Подготовка продвинутых ИБэшников в рамках нацпроекта Минцифры

Минцифры 🔢 продолжает активно развивать ИТ-образование. С одной стороны, вынуждая ИТ-компании заходить в вузы, с другой — среди вузов, выдавая гранты на запуск углубленного ИТ-образования 😍

Поговорим подробнее про проект углубленного ИТ-образования 🔥, т. к. в перечне направлений Минцифры значится бакалавр по ИБ. Получается, что не только ФСТЭК РФ заинтересован в ИБэшниках 🤔

Цель проекта — до конца 2030 года подготовить не менее 3,5 тысяч продвинутых ИТ-специалистов, которые смогут решать сложные задачи 💪

В результате проведения конкурса определили 26 вузов. Главным условием для вузов стало привлечение софинансирования в размере не менее 30% от суммы грантов 🤑 За методическую поддержку проекта отвечает Высшая школа программной инженерии МФТИ 👍

Как предполагается достигать цели? 🤔

Если вспомнить схему ролей в кибербезе (на рисунке), то классический выпускник бакалавриата по ИБ после окончания вуза выбирает направление и далее по нему развивается, начиная с начальных позиций 👨‍💻 А Минцифры предлагает производственные практики перенести на первый курс, чтобы последующие три года студенты уже профессионально развивались и выпускались на уровне мидл🔥

Я с большим воодушевлением смотрю на инициативы, которые заставляют систему высшего образования выйти из "зоны комфорта" и начать готовить ИБ-специалистов не только в соответствии со стандартами (нормами, примерными учебными планами итд) 👨‍🎓👩‍🎓, но и по-настоящему востребованных на рынке труда 🔧

#Минцифры #кадры_в_ИБ
Please open Telegram to view this post
VIEW IN TELEGRAM
6👍9🔥62👏2🤡1
Рынок труда в ИБ по данным HeadHunter

Татьяна Фомина, директор по ИТ и кибербезопасности HH, рассказала с 12:05 на ЦИПРе про проблемы с кадрами в ИБ 🤔

Промолчу про серые шрифт на черном фоне.... или не промолчу 🫣 пожалуйста, не делайте так 🫠

А теперь по существу. Тема навыков в ИБ не раскрыта. Что такое навык "Информационная безопасность"? Либо HH скрывает, либо не понимает, какие навыки для ИБэшника существуют 🤔 Хорошо об этом сказал Алексей Волков из Билайн (посмотрите его выступление с 34:36).

В конце выступления Татьяна Фомина говорит, что решением проблемы может стать оценка ИТ-навыков. Скорее всего, речь идет про проект Национальная система подтверждения ИТ-компетенций, где HH является оператором 🤔 Понятно желание компании расширить свою сертификацию на ИБэшников 🤔

#сертификация #HeadHunter
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
6🤡6💯4🤔3👍2
Запретить нельзя использовать: как обучать инженеров в эпоху нейросетей 👨‍💻

Хорошая статья Игоря Никифорова (Политех, YADRO) про использование LLM в учебном процессе 🤔

Далее несколько цитат 👨‍🏫

Рекомендации по применению LLM-моделей в образовании

Полностью запретить использование LLM-моделей среди студентов уже невозможно — да и вряд ли нужно. Важно не игнорировать реальность, а научиться с ней работать. Вот несколько принципов, которые могут помочь не только уменьшить вред от нейросетей, но и получить от них пользу при обучении:

1️⃣ На младших курсах основной акцент — на базовые знания и фундаментальные навыки.
2️⃣ Пересмотреть учебные задачи так, чтобы их нельзя было решить «в лоб» с использованием LLM-моделей. Возможно, за счет повышения сложности заданий или их творческой постановки.
3️⃣ Разрешить и поощрять использование LLM-моделей только на старших курсах, проводить анализ, осмысление результатов применения.

В образовательном процессе и проверке работа

Современные инструменты позволяют выстроить новую, более прозрачную и эффективную систему проверки лабораторных и практических заданий. Я бы предложил следующий подход:

1️⃣ Автоматическая проверка через GitLab и CI. Студент загружает работу в систему, запускаются автотесты и статический анализ. Только после прохождения всех проверок он допускается к следующему этапу.
2️⃣ Устное собеседование. Важно убедиться, что студент понимает свой код. Для этого можно провести устное собеседование: как устроено решение, почему так, какие есть альтернативы.
3️⃣ Лайвкодинг. Предложить студенту на месте написать кусочек кода, улучшив существующее решение.
4️⃣ Можно записывать, как студент работает с кодом в редакторе — чтобы увидеть, писал ли он сам или просто вставлял готовые куски. Для этого подойдет специальное расширение. Такой плагин, кстати, сам по себе отличная тема для ВКР.

В работе над курсовыми и ВКР

1️⃣ При подготовке курсовых объясняем студенту, что LLM это полезный инструмент, который не заменяет самостоятельную работу. Студент должен уметь эффективно объединять различные маленькие кусочки когенерации в единое целое, отразить в работе свой опыт и знания.
2️⃣ ВКР. Рекомендуем писать черновик текста вручную, а генерацию — использовать осознанно. Если студент применяет LLM-модель, стоит попросить его добавить раздел с описанием того, как он ее использовал: какие запросы задавал, какие ограничения заметил. Это позволяет сделать применение LLM осознанным, а преподавателю даст обратную связь о трудностях, ограничениях и тонкостях применения новых технологий.

Для преподавателей

1️⃣ Используйте LLM сами — в работе, в повседневной жизни. Тогда вы не будете бояться новых технологий, лучше поймете студентов и сможете учить их на собственном примере.
2️⃣ Зафиксируйте правила в рабочих программах дисциплин. Если вы разрешаете или ограничиваете применение LLM в учебных заданиях — запишите это явно. Так и студенту, и преподавателю будет проще соблюдать общие принципы.

#заметки_для_преподавателя
Please open Telegram to view this post
VIEW IN TELEGRAM
👍14🔥3
Обновление схемы карьерных треков в кибербезе 😎

Продолжаю обновлять схему cybersecurity-roadmap.ru и ее PDF-версию.

В этот раз перекрасил логотипы, добавил ссылки на бесплатные курсы по сетям от мат-меха СПбГУ и новую роль вирусного аналитика в связи с открытием в Positive Technologies 🤟 антивирусной лаборатории 😎

Поставьте 👍, если вы используете схему карьерных треков в своей работе или учебе 👨‍🏫

#карьера_в_ИБ #схема
Please open Telegram to view this post
VIEW IN TELEGRAM
10👍32🔥106👏2🥰1
2025/07/10 13:47:34
Back to Top
HTML Embed Code: