Интересно куда все слились
В программисты.
Мимо выпускник ИБ, 5 лет как фрилансер.
подписался на новый тренд
Вот прохладная в тезисах
ВЫЯВИЛ УТЕЧКУ
@
ПОДГОТОВИЛ РЕПОРТ
@
СДАЛ РЕПОРТ
@
ПОЛУЧИЛ ПИЗДЫ
@
УТЕЧКА С ПОДАЧИ СЕО
@
УВОЛЕН
ВЫЯВИЛ УТЕЧКУ
@
ПОДГОТОВИЛ РЕПОРТ
@
СДАЛ РЕПОРТ
@
ПОЛУЧИЛ ПИЗДЫ
@
УТЕЧКА С ПОДАЧИ СЕО
@
УВОЛЕН
Вот и снова инициатива поимела инициатора. Сколько работаю, всё больше стараюсь делать меньше, иначе похожие ситуации повторяются.
Неужели больше никого нет?
Все HT хайпят
Поясните за отличие информационной безопасности и безопасности сетей?
безопасность сетей входит в ИБ.
Но мне хотелось бы задрочить техническую часть, а в основном в вузах именно ИБ
Какую именно техническую? Сети поднимать-ломать или витуху обжимать?
Самообразование вместе с зарубежными курсами по сетям, либо ведомственный вуз.
Вообще поднятие сетей и т.п
Есть какая нибудь литература на это дело?
Таненбаум, Компьютерные сети.
А вообще иди в IT тред. Безопасник НЕ поднимает сети.
http://forensics.ru/InFuWo.htm
Айтисекуритач, подскажи забавные (или серьезные) книги на тему ИБ и ЗИ на подобии линкрилейтед?
Айтисекуритач, подскажи забавные (или серьезные) книги на тему ИБ и ЗИ на подобии линкрилейтед?
>>30017 в cripTouch зайди
Безопасный бамп
ЗАКОНЧИЛ ИНСТ ПО ИБ
@
ИДЕШЬ В КРУТУЮ РЕЖИМНУЮ КОНТОРУ
@
ГДЕ СЛУЖИЛ, КАКОЕ ОБРАЗОВАНИЕ
@
ИНСТ НЕВЕДОМСТВЕННЫЙ, В АРМИИ НЕ СЛУЖИЛ
@
ОБЖИМАЕШЬ ВИТУХУ, КИДАЕШЬ СКС, АДМИНИШЬ ПЭКА И ЕБУЧИЕ ТОКЕНЫ
@
НЕ ОФИЦЕР, ПЕНСИЯ ТОЛЬКО ЧЕРЕЗ 40 ЛЕТ
Будь осторожен, коллега
худший расклад эвар, ниже только админство в мелкой коммерческой конторке
пысы: как представил, аж немного пригорело
То есть служба играет важную роль? Я не годен просто
Это говно полное, анон. Защитился в '14 году(КЗОИ), отслужил в ебаной армейке, а работу по специальности хуй найдешь. А ведь если бы отмазался от армейки, то мог пойти в центробанк безопасником. Сейчас только какой-то говённый НИИ на примете. ДС.
Проигрываю с отрасли. Зашел сейчас глянуть вакансии
СТАЖ ОТ 3 ЛЕТ
@
ОПЫТ ГЕНЕРАЦИИ КЛЮЧЕЙ, ОПЫТ АТТЕСТАЦИИ ОБЪЕКТОВ, ЗНАНИЕ НД, ОПЫТ СТОЯНИЯ НА ОДНОЙ НОГЕ КАК ЦАПЛЯ
@
СПРАВКА ЧТО НЕ ВЕРБЛЮД
@
ЗП 25К
мимо дипломированный ИБ-шник, вовремя укатился в сетевики.
СТАЖ ОТ 3 ЛЕТ
@
ОПЫТ ГЕНЕРАЦИИ КЛЮЧЕЙ, ОПЫТ АТТЕСТАЦИИ ОБЪЕКТОВ, ЗНАНИЕ НД, ОПЫТ СТОЯНИЯ НА ОДНОЙ НОГЕ КАК ЦАПЛЯ
@
СПРАВКА ЧТО НЕ ВЕРБЛЮД
@
ЗП 25К
мимо дипломированный ИБ-шник, вовремя укатился в сетевики.
кек. Опыт шесть лет. Примерно столько и получаю. Правда у меня мухосранск.
Я простой быдлоадмин, но в моих маняфантазиях безопасники это такие крутые спецы, которые копаются в коде аки в матрице, гоняются за кулхацкерами по сети, постоянно что-то сканируют и закрывают...
А по описанию какое-то говно уровня "Зелёного слоника" и ебучих банк-клиентов.
А по описанию какое-то говно уровня "Зелёного слоника" и ебучих банк-клиентов.
Всё так и есть, на самом деле.
клоуны, нахуй вы работаете?
ломайте серваки, сливайте базы, продавайте доступы, тока не территории рф
мимодорвейщик
ломайте серваки, сливайте базы, продавайте доступы, тока не территории рф
мимодорвейщик
не просто фактор, а иногда решающий фактор
особенно офицерская и(или) спецслужбы
ну, конечно, хреново, что не годен, но
PHP, XSS, SQL injection, ZeroDay, Pentest никто не отменял. Т.е. из гражданских наиболее ценятся технические спецы, чем организационные, хотя "бумажники" тоже нужны
Бумажные посоны, подкиньте комменты 2015 года к 152 закону.
Я бы купил, так там квест целый чтобы это сделать.
Я бы купил, так там квест целый чтобы это сделать.
>крутые спецы, которые копаются в коде аки в матрице, гоняются за кулхацкерами по сети, постоянно что-то сканируют и закрывают...
Это скорее пентестеры.
Вот мне интересен именно технический аспект, с бумажками я уже насиделся, в следующем году буду поступать на инф безопасность в правоохранительной сфере, какие подводные камни с работой?
>инф безопасность в правоохранительной сфере
На бакалавра или проф. переподготовку? Думаю тоже получить образование, только ещё не решил хватит ли проф. переподготовки для устройства на работу.
аноны, посоветуйте куда можно в украине пойти работать пентестером? это пиздец, я уже два года как закончил вуз, и фрилансю хуйню всякую, нет подходящих вакансий, хотя регулярно чекаю соответствующие джоб-сайты, что я делаю не так?
Бакалавра, только сейчас определился что хочу
Бамп годному треду
Вот, блядь, поэтому и стал 1С-макакой.
мимо дипломированный специалист по комплексной защите объектов ИБ
Пиздатое у вас образование. Звучит, по крайней мере.
Чему учили, хоть?
Мимо-ИТ-макака
Неужели все так плохо??
Криптоанализ, электротехника, ЛВС, VPN, основы нейросетей, математическое моделирование, ГОСТ'ы которым должны соответствовать объекты, которые тебе положено защищать и еще многое другое, успешно забытое за 8 лет после окончания универа.
Сейчас не знаю как, 8 лет назад было 3 стула - 1) частные фирмы, которые занимаются обследованием и обеспечением безопасности объектов в соответствии с ГОСТ'ами, 2) СБ в банке или фирме, 3) ФСБ.
Независимо от того, на какой стул ты сядешь, зп была от 8 до 10 т.р. с туманными перспективами.
>зп была от 8 до 10 т.р
Пиз-дос.
>основы нейросетей
Это же биология, не?
>Пиз-дос.
Именно. Через каждые несколько лет, была обещана прибавка, но все равно, пока дождешься нормальной зарплаты, сдохнешь.
>Это же биология, не?
Если кратко и доступным языком, то это такая программа, которая способна обучаться. В основе заложены принципы работы мозга. Помню угорел по этой теме и на одну из практик удалось даже попасть в НИИ Нейрокибернетики, но там оказалось, все еще печальней с деньгами.
Не тонем
Анончики. Поступил на бюджет ИБ (бакалавр). Расскажите, что ждёт меня? какие подводные камни профессии? служил, есть допуск (3 форма), есть опыт работы с БМГ
Ебать ты счастливчик. Да что тебе рассказать. Смотря куда поступил. Если гражданский ВУЗ - жди гражданских предложений по работе(банки, газпромы, малоизвестные), если "силовой" ВУЗ - предложение службы или околосиловиковские конторы.
[hid]будешь базарить секреты - посодют. Айти и техничка реальный хасол и интереснее[/hid]
А можешь назвать примеры "силовых" вузов в дс, помимо афсб?
Все просто, берешь структуру, а при ней есть ВУЗ. МВД, например - академия МВД
Ах да, забыл, по-умолчанию ты никому не интересен или интересен неинтересным. Если, конечно суперпредложений еще не было
Думай чем хочешь заниматься, в какую степь, постоянно мониторя рынок вакансий на hh.ru или job.ru
Ах да, забыл, по-умолчанию ты никому не интересен или интересен неинтересным. Если, конечно суперпредложений еще не было
Думай чем хочешь заниматься, в какую степь, постоянно мониторя рынок вакансий на hh.ru или job.ru
Бамп
Читал прошлый тред и понял, что 80% анонов работают на госпредприятиях или крупных заводах. А это заебы с бумагами, нормативными документами, всякими ФЗ, иногда технарство типа СКУДов с видеокамерами.
В архиваче есть мелкий тред, где ИБ-анон расследовал какие-то инциденты и играл в Шерлока, искал информацию о людях: http://arhivach.org/thread/6038/
Поясните за такую работу, есть у кого опыт? Какие задачи решает подобный специалист и чему нужно учиться, чтобы стать продвинутой ищейкой. Насколько это востребованно и находится ли в рамках всяких ФЗ? Предполагаю, что в СБ частных компаний есть такие люди.
В архиваче есть мелкий тред, где ИБ-анон расследовал какие-то инциденты и играл в Шерлока, искал информацию о людях: http://arhivach.org/thread/6038/
Поясните за такую работу, есть у кого опыт? Какие задачи решает подобный специалист и чему нужно учиться, чтобы стать продвинутой ищейкой. Насколько это востребованно и находится ли в рамках всяких ФЗ? Предполагаю, что в СБ частных компаний есть такие люди.
Куча чдд в дсах, ниша занята бс. Более того, сам по себе розыск не сложен, сложности и деньги начинаются тогда, когда объект максимально затрудняет его идентификацию, но в одно рыло такое не потянуть. Надо совмещать орм, от оперустановок и нн до осинт, тут просто физически не потянуть, либо не разорваться. Имхо.
С бумагами то да, нудятина, но если нормально так засесть и читнуть, то понятно почему это нужно так, а другое так, ещё попиздить с юристами на фз-иб-темы можно, но сразу понимаешь, какие они не очень.
Но когда на тебе "висят" и бумаги и админство иб-прог, хелпдеск как по профилю, так и по левой хуйне и эникейство с занятием разной ебалой, то хочется сжечь всё нахуй реактивной струей своего пердака, потому что понимаешь, что сколько бы ты не старался сделать все своё по красоте, у тебя на этой уйдет времени в 3-4 раза больше из-за такой хуйни. Тупикал рашн манагмент - загрузить всем по чуть-чуть и удивляться, что выходит неэффективно.
Поныл аж чуть легче стало, возможно я не прав, но для качественного выполнения работы у белых людей как раз есть четкое разделение обязанностей. Занесло пиздец конечно...
Мимокрок с дохуя людей в структуре
>у белых людей как раз есть четкое разделение обязанностей
У меня на работе сетями занимается один отдел, пердолит компы другой, сервера третий, сайты вообще "внешка", а я сам в ИТ и пердолю охуительные инновации в виде RFID.
Что характерно, всё работает заебись.
бамп
Вы только посмотрите на это, макаки, которые дрочат только синтаксис и алгоритмы ценней настоящих работяг (ИБ), которые должны всё время изучать что-то новое:
Рекрутинговая компания Superjob проанализировала все предложения о работе в сфере ИТ за 2015 год на российском рынке и рассказала, какие позиции оказались самыми высокооплачиваемыми.
При подсчёте самых высокооплачиваемых должностей учитывалась не только средняя зарплата по рынку, но и конкуренция в профессии (отношение количества специалистов к количеству вакансий), средняя зарплата в предыдущих месяцах и собственный зарплатный индекс, разработанный Superjob.
По словам представителей компании, таким образом можно получить «наиболее приближенное к реальности число» — зачастую заработная плата, о которой в итоге договариваются работодатель и кандидат, оказывается не такой, как было указано в вакансии.
Специалисты исследовательского центра рекрутинговой компании выяснили, что заработная плата напрямую зависит от конкуренции в профессии — чем больше соискателей претендуют на место, тем меньше, в среднем, им платят. Исключение, по словам Superjob, составляют вакансии на должность руководителей отдела тестирования — несмотря на невысокую конкуренцию, таким специалистам предлагают сравнительно небольшую зарплату.
Представители Superjob разбили специалистов в области ИТ на три категории:
—руководители;
—программисты и разработчики;
—другие ИТ-специальности (тестировщики, системные администраторы и так далее).
1. Руководители
Самые высокооплачиваемые позиции среди руководителей в области ИТ:
1. Директор по ИТ—220 000 рублей.
2. Руководитель отдела разработки—175 000 рублей.
3. Системный архитектор—160 000 рублей.
4. Руководитель ИТ-отдела—145 000 рублей.
5. Руководитель отдела внедрения ПО—145 000 рублей.
6. Консультант по внедрению SAP—142 000 рублей.
7. Руководитель отдела тестирования—132 000 рублей.
При этом в рейтинге максимальных зарплатных предложений среди руководителей в области ИТ места распределяются не совсем так:
Максимальное предложение (за 2015 год):
1. Директор по ИТ—600 000 рублей.
2. Руководитель отдела разработки—300 000 рублей.
3. Системный архитектор—300 000 рублей.
4. Руководитель ИТ-отдела—270 000 рублей.
5. Руководитель отдела тестирования—260 000 рублей.
6. Руководитель отдела внедрения ПО—220 000 рублей.
7. Консультант по внедрению SAP—200 000 рублей.
2. Разработчики и программисты
Среди разработчиков достаточно низкая конкуренция на позиции JavaScript-программистов, но их зарплаты, по словам представителей Superjob, в среднем невелики. «JavaScript — весьма распространенный язык, но, как правило, он является дополнением к другим языкам программирования. Поэтому чистые программисты JavaScript нужны редко и ценятся невысоко», — отмечают аналитики компании.
Падает спрос и на Perl-разработчиков. Стимулировать спрос продолжают лишь некоторые крупные ИТ-проекты, изначально реализованные на этом языке.
Самые высокооплачиваемые позиции среди разработчиков и программистов:
1. Ведущий программист Java —155 000 рублей
2. Ведущий программист Oracle —135 000 рублей
3. Ведущий программист 1С —130 000 рублей
4. Ведущий программист PHP —130 000 рублей
5. Программист Java —125 000 рублей
6. Ведущий программист С# —122 000 рублей
7. Ведущий программист С++ —120 000 рублей
8. Программист Oracle —120 000 рублей
9. Релиз-инженер —120 000 рублей
10. iOS-разработчик —115 000 рублей
11. Программист 1С —110 000 рублей
12. Ruby-разработчик —110 000 рублей
13. Программист С++ —110 000 рублей
14. Android-разработчик —110 000 рублей
15. Программист Delphi —105 000 рублей
16. Программист Python —105 000 рублей
17. Программист PHP —96 000 рублей
18. Программист JavaScript —95 000 рублей
19. Программист Perl —95 000 рублей
20. Flash-разработчик —90 000 рублей
Максимальные зарплатные предложения:
1. Ведущий программист Java —220 000 рублей
2. Ведущий программист Oracle —200 000 рублей
3. Ведущий программист 1С —200 000 рублей
4. Ведущий программист PHP —200 000 рублей
5. Программист Java —200 000 рублей
6. Релиз-инженер —200 000 рублей
7. Ведущий программист С++ —180 000 рублей
8. Программист Oracle —180 000 рублей
9. iOS-разработчик —180 000 рублей
10. Программист 1С —180 000 рублей
11. Программист PHP —180 000 рублей
12. Программист Perl —180 000 рублей
13. Ведущий программист С# —170 000 рублей
14. Программист С++ —170 000 рублей
15. Android-разработчик —170 000 рублей
16. Программист Python —160 000 рублей
17. Ruby-разработчик —150 000 рублей
18. Программист Delphi —150 000 рублей
19. Программист JavaScript —150 000 рублей
20. Flash-разработчик —150 000 рублей
3. Другие специалисты
Для этого сегмента характерна высокая конкуренция — и зарплаты в нём ниже средних по отрасли.
Самые высокооплачиваемые позиции среди системных администраторов, тестировщиков и других профессионалов в области ИТ (QA-специалисты попадают в одну категорию с тестировщиками):
1. Системный администратор Unix —90 000 рублей
2. Специалист по информационной безопасности —90 000 рублей
3. Тестировщик ПО —77 000 рублей
4. SEO-оптимизатор —72 000 рублей
5. Системный администратор Windows —72 000 рублей
6. HTML-верстальщик —70 000 рублей
7. Специалист технической поддержки —44 000 рублей
Максимальные зарплатные предложения:
1. Системный администратор Unix —150 000 рублей
2. Специалист по информационной безопасности —150 000 рублей
4. SEO-оптимизатор —150 000 рублей
3. Тестировщик ПО —140 000 рублей
5. Системный администратор Windows —130 000 рублей
6. HTML-верстальщик —100 000 рублей
7. Специалист технической поддержки —65 000 рублей
Рекрутинговая компания Superjob проанализировала все предложения о работе в сфере ИТ за 2015 год на российском рынке и рассказала, какие позиции оказались самыми высокооплачиваемыми.
При подсчёте самых высокооплачиваемых должностей учитывалась не только средняя зарплата по рынку, но и конкуренция в профессии (отношение количества специалистов к количеству вакансий), средняя зарплата в предыдущих месяцах и собственный зарплатный индекс, разработанный Superjob.
По словам представителей компании, таким образом можно получить «наиболее приближенное к реальности число» — зачастую заработная плата, о которой в итоге договариваются работодатель и кандидат, оказывается не такой, как было указано в вакансии.
Специалисты исследовательского центра рекрутинговой компании выяснили, что заработная плата напрямую зависит от конкуренции в профессии — чем больше соискателей претендуют на место, тем меньше, в среднем, им платят. Исключение, по словам Superjob, составляют вакансии на должность руководителей отдела тестирования — несмотря на невысокую конкуренцию, таким специалистам предлагают сравнительно небольшую зарплату.
Представители Superjob разбили специалистов в области ИТ на три категории:
—руководители;
—программисты и разработчики;
—другие ИТ-специальности (тестировщики, системные администраторы и так далее).
1. Руководители
Самые высокооплачиваемые позиции среди руководителей в области ИТ:
1. Директор по ИТ—220 000 рублей.
2. Руководитель отдела разработки—175 000 рублей.
3. Системный архитектор—160 000 рублей.
4. Руководитель ИТ-отдела—145 000 рублей.
5. Руководитель отдела внедрения ПО—145 000 рублей.
6. Консультант по внедрению SAP—142 000 рублей.
7. Руководитель отдела тестирования—132 000 рублей.
При этом в рейтинге максимальных зарплатных предложений среди руководителей в области ИТ места распределяются не совсем так:
Максимальное предложение (за 2015 год):
1. Директор по ИТ—600 000 рублей.
2. Руководитель отдела разработки—300 000 рублей.
3. Системный архитектор—300 000 рублей.
4. Руководитель ИТ-отдела—270 000 рублей.
5. Руководитель отдела тестирования—260 000 рублей.
6. Руководитель отдела внедрения ПО—220 000 рублей.
7. Консультант по внедрению SAP—200 000 рублей.
2. Разработчики и программисты
Среди разработчиков достаточно низкая конкуренция на позиции JavaScript-программистов, но их зарплаты, по словам представителей Superjob, в среднем невелики. «JavaScript — весьма распространенный язык, но, как правило, он является дополнением к другим языкам программирования. Поэтому чистые программисты JavaScript нужны редко и ценятся невысоко», — отмечают аналитики компании.
Падает спрос и на Perl-разработчиков. Стимулировать спрос продолжают лишь некоторые крупные ИТ-проекты, изначально реализованные на этом языке.
Самые высокооплачиваемые позиции среди разработчиков и программистов:
1. Ведущий программист Java —155 000 рублей
2. Ведущий программист Oracle —135 000 рублей
3. Ведущий программист 1С —130 000 рублей
4. Ведущий программист PHP —130 000 рублей
5. Программист Java —125 000 рублей
6. Ведущий программист С# —122 000 рублей
7. Ведущий программист С++ —120 000 рублей
8. Программист Oracle —120 000 рублей
9. Релиз-инженер —120 000 рублей
10. iOS-разработчик —115 000 рублей
11. Программист 1С —110 000 рублей
12. Ruby-разработчик —110 000 рублей
13. Программист С++ —110 000 рублей
14. Android-разработчик —110 000 рублей
15. Программист Delphi —105 000 рублей
16. Программист Python —105 000 рублей
17. Программист PHP —96 000 рублей
18. Программист JavaScript —95 000 рублей
19. Программист Perl —95 000 рублей
20. Flash-разработчик —90 000 рублей
Максимальные зарплатные предложения:
1. Ведущий программист Java —220 000 рублей
2. Ведущий программист Oracle —200 000 рублей
3. Ведущий программист 1С —200 000 рублей
4. Ведущий программист PHP —200 000 рублей
5. Программист Java —200 000 рублей
6. Релиз-инженер —200 000 рублей
7. Ведущий программист С++ —180 000 рублей
8. Программист Oracle —180 000 рублей
9. iOS-разработчик —180 000 рублей
10. Программист 1С —180 000 рублей
11. Программист PHP —180 000 рублей
12. Программист Perl —180 000 рублей
13. Ведущий программист С# —170 000 рублей
14. Программист С++ —170 000 рублей
15. Android-разработчик —170 000 рублей
16. Программист Python —160 000 рублей
17. Ruby-разработчик —150 000 рублей
18. Программист Delphi —150 000 рублей
19. Программист JavaScript —150 000 рублей
20. Flash-разработчик —150 000 рублей
3. Другие специалисты
Для этого сегмента характерна высокая конкуренция — и зарплаты в нём ниже средних по отрасли.
Самые высокооплачиваемые позиции среди системных администраторов, тестировщиков и других профессионалов в области ИТ (QA-специалисты попадают в одну категорию с тестировщиками):
1. Системный администратор Unix —90 000 рублей
2. Специалист по информационной безопасности —90 000 рублей
3. Тестировщик ПО —77 000 рублей
4. SEO-оптимизатор —72 000 рублей
5. Системный администратор Windows —72 000 рублей
6. HTML-верстальщик —70 000 рублей
7. Специалист технической поддержки —44 000 рублей
Максимальные зарплатные предложения:
1. Системный администратор Unix —150 000 рублей
2. Специалист по информационной безопасности —150 000 рублей
4. SEO-оптимизатор —150 000 рублей
3. Тестировщик ПО —140 000 рублей
5. Системный администратор Windows —130 000 рублей
6. HTML-верстальщик —100 000 рублей
7. Специалист технической поддержки —65 000 рублей
Работаю в отделе информационной защиты в банке (топ 50) задавайте свои ответы.
Уровень безопасников, в том числе меня, полное дно, нахуй так жить.
Уровень безопасников, в том числе меня, полное дно, нахуй так жить.
Нахуй так ваще жить, если не самосовершенсьвоваться и пугать руоводство рпасностями? Спецуха одна из фаворов на несколько лет, а то и десятков, еби всех в рот не хочу, ну конечно лучше сидеть хуйней страдать типа записи эп
Мимо пьяная иб-полузелень
В моих местных банках типа СЕЛЬХОЗ НАВОЗ ИБ это когда они твой токен доставляют с самым физически сильным программистом, у такого хер отберешь секретный ключ!
Васянство какое-то
Вашу ценность определяете лишь вы сами.
При должном подходе, усердии и грамотно построенном билде персонажа, вы легко переплюнете всех этих кодеров, директоров и прочий планктон.
О, спс)))) Мотивашка от Пути))))
Ну не всё так печально. Мы не только эп выпускаем.
Тогда в чём заключается полное дно?
>задавайте свои ответы
Так в чем заключается эти "Информационная безопасность"? Настроить Домен-контроллер на сброс пароля при неправильном вводе с трёх раз или что?
Выпускать эп, и ебать всех за токены - " а почему они у вас не в сейфе и сейф не опломбирован". Прошу прощения я неправильно выразился, мы просто дно.
Домен-контроллер настраивает it, мы регулируем парольную безопасность, но реализует ее снова it. Что должен делать иб, а я хз, я же дно. Пожалуй самое интересное что есть у меня - нода прокси с nlb, ну и на баше могу автоматизировать процедуры шифрования, подписания и пару плюшек в скрипт добавить, например: записать в файл md5 сверить его с истинным значением, если все ок дальше на обработку, если нет то в отдельную папку. Ну еще штука интересная стоит у нас, еще системы мониторинга уязвимостей прикольная штука.
Зашел в одну из старых асек через vpn, завел разговор со старым знакомым. Вроде ни о чем общаемся, но упомянул кое что, что упоминать не нужно- сразу вылетело ололо аккаунт заблокирован, введите ваш номер телефона, проверочный код смс и т.д. Запизделся, вот.
нет, не путенбомба
нет, не путенбомба
бамп
Бро, поясни за структуру вцелом, это же очень интересно. Например, отдел ИБ занимается соблюдением комгостайн и утечками через ИТ-структуру, отдел противодействия коррупции ловит за руку педиков с мошенническими схемами, отдел контроля доступа проводит анальные досмотры выноса купюр через турникет и так далее. Обезличивай, меняй формулировки, но таки расскажи.
Быть может, это нормально. Рассуждаем так:пхп-макака что-то накодила, иос-ондроед-пидор запилил приложение, бизнесмен поимел профит от запуска очередной свинофермы с микротранзакциями. А ИБ-кун защищает хуй знает что от черти-кого, сколько денег принес - нихуя. Сколько денег сэкономил своим присутствием - хуй знает. Потому что защита видна только когда ее обходят или расхуяривают нахуй, во всеуслышание демонстрируя утечку.
А по списку согласен, должности из параллельной вселенной. Рубиновый погромист, сео-верстальщик папирусов, архитектор залупы кита, кто эти люди? Найдите десяток таких на Дальнем Востоке или Урале, это же сугубо ДС, никак не провинция. Мне кажется, эти должности - скука смертная.
АААААААААААА!!!!!
ПРИШЛО ВРЕМЯ ЗАПОЛНЯТЬ ЖУРНАЛЫ
ЖУРНАЛЫ САМИ НЕ ЗАПОЛНЯТСЯ
ЗАПОЛНИ ЕГО
ЗАПОЛНИ ЕГО ЕЩЁ РАЗ
ЗАЧЕМ МНЕ НУЖЕН ЭЛЕКТРОННЫЙ ВИД?!
У МЕНЯ НЕТ ВРЕМЕНИ ЧТОБЫ ЕБАТЬСЯ С НИМ
ЛУЧШЕ ЕЩЕ РАЗ ЗАПОЛНЮ ЖУРНАЛЫ
Я ЗАПОЛНЯЮ ЖУРНАЛЫ ПО 3 РАЗА В ДЕНЬ
КАЖДОЕ ЗАПОЛНЕНИЕ ЗАНИМАЕТ ДВАДЦАДЬ МИНУТ
Я ЖИВУ АКТИВНОЙ И ПОЛНОЦЕННОЙ ЖИЗНЬЮ!!!!
Я УСПЕШЕН И ПОЭТОМУ ЦЕЛЫЙ ДЕНЬ ПИШУ ИНСТРУКЦИИ
А ПОСЛЕ ЭТОГО ЗАПОЛНЯЮ ЖУРНАЛЫ
ТУПЫЕ АДМИНЫ ОДЕРЖИМЫ БУХАНИЕМ ПИВА
А Я СВОБОДНЫЙ ОТ АЛКОГОЛИЗМА ЧЕЛОВЕК
СКОЧАТЬ БЕЗПЛАТНО И БЕЗ РЕГИСТРАЦИИ МОКРЫЕ ПИСЕЧКИ
КРЯК УЛЬТИМАТ КЕЙГЕН РАЗБЛОКИРУЙ САЙТ
ЛУЧШЕ Я ЗАПОЛНЮ ЖУРНАЛЫ
Я ЗАПОЛНЮ ИХ, СВОЕВРЕМЕННОСТЬ НЕ НУЖНА
Я НЕ ЗАПОЛНЯЛ ЖУРНАЛЫ НЕДЕЛЮ
ПОЙДУ ЗАПОЛНЮ
В ЖУРНАЛАХ ВСЕ ПРОСТО И ПОНЯТНО
ААААА!!!!
ОШИБКА STOP НЕПРАВИЛЬНАЯ ДАТА
ЭТО ЖЕ ОЧЕВИДНО КАК ЕЕ РЕШИТЬ
ПРИШЛО ВРЕМЯ ПЕРЕЗАПОЛНЯТЬ ЖУРНАЛЫ
ККОКОКОКОКОКОКО
ЖМУ ТОКЕН БЕЗОПАСНО СЗИ
КОКОКО
КОКОКОКО
Дискасс
Мимо ОП треда №1
ПРИШЛО ВРЕМЯ ЗАПОЛНЯТЬ ЖУРНАЛЫ
ЖУРНАЛЫ САМИ НЕ ЗАПОЛНЯТСЯ
ЗАПОЛНИ ЕГО
ЗАПОЛНИ ЕГО ЕЩЁ РАЗ
ЗАЧЕМ МНЕ НУЖЕН ЭЛЕКТРОННЫЙ ВИД?!
У МЕНЯ НЕТ ВРЕМЕНИ ЧТОБЫ ЕБАТЬСЯ С НИМ
ЛУЧШЕ ЕЩЕ РАЗ ЗАПОЛНЮ ЖУРНАЛЫ
Я ЗАПОЛНЯЮ ЖУРНАЛЫ ПО 3 РАЗА В ДЕНЬ
КАЖДОЕ ЗАПОЛНЕНИЕ ЗАНИМАЕТ ДВАДЦАДЬ МИНУТ
Я ЖИВУ АКТИВНОЙ И ПОЛНОЦЕННОЙ ЖИЗНЬЮ!!!!
Я УСПЕШЕН И ПОЭТОМУ ЦЕЛЫЙ ДЕНЬ ПИШУ ИНСТРУКЦИИ
А ПОСЛЕ ЭТОГО ЗАПОЛНЯЮ ЖУРНАЛЫ
ТУПЫЕ АДМИНЫ ОДЕРЖИМЫ БУХАНИЕМ ПИВА
А Я СВОБОДНЫЙ ОТ АЛКОГОЛИЗМА ЧЕЛОВЕК
СКОЧАТЬ БЕЗПЛАТНО И БЕЗ РЕГИСТРАЦИИ МОКРЫЕ ПИСЕЧКИ
КРЯК УЛЬТИМАТ КЕЙГЕН РАЗБЛОКИРУЙ САЙТ
ЛУЧШЕ Я ЗАПОЛНЮ ЖУРНАЛЫ
Я ЗАПОЛНЮ ИХ, СВОЕВРЕМЕННОСТЬ НЕ НУЖНА
Я НЕ ЗАПОЛНЯЛ ЖУРНАЛЫ НЕДЕЛЮ
ПОЙДУ ЗАПОЛНЮ
В ЖУРНАЛАХ ВСЕ ПРОСТО И ПОНЯТНО
ААААА!!!!
ОШИБКА STOP НЕПРАВИЛЬНАЯ ДАТА
ЭТО ЖЕ ОЧЕВИДНО КАК ЕЕ РЕШИТЬ
ПРИШЛО ВРЕМЯ ПЕРЕЗАПОЛНЯТЬ ЖУРНАЛЫ
ККОКОКОКОКОКОКО
ЖМУ ТОКЕН БЕЗОПАСНО СЗИ
КОКОКО
КОКОКОКО
Дискасс
Мимо ОП треда №1
Системный архитектор тема вообще. В ИБ встречал.
Но эта залупа очень любит по головам ходить, чтоб сидеть в уютном кресле и рассуждать на тему кому сколько чего поставить.
А вообще, анализ рисков и потерь от угроз должен показывать наглядно сколько проебать можно, если не послушать безопасника.
PHP - проектов дохуя, хакеров дохуя, кул тема
Ruby - ебучие облака и сервисы.
Пришло время ебать юзеров за порно на работе.
Юзеры сами себя не поебут
Где взять опыт работы, если без него не берут? На кафедре?
мимо 2-й курс
мимо 2-й курс
бамп
Были ли на работе попытки скинуть на вас часть обязанностей админов, типа посмотреть что у кого чет не работает (не из защиты естесна), составить тз на оборудование (типа обычные компы, принтеры-хуинтеры и тд), поиск "нормальных" кп по скс и прочей хуете? Как вы реагировали на такие настойчивые просьбы "помочь"?
Бамп
Ну тут все просто решается: если это инициатива со стороны, то делегировать хуйню на соответствующих специалистов, а если нащальнике пытается озадачивать, можно в мягкой форме попытаться ему объяснить, что гвозди пущай забивает молоток, а не сияющий мелкоскоп.
Астрологи объявили неделю мелкоконтор. ИБ-специалист превращается в "мальчика-погромиста".
А по пути самообразования возможно попасть в дебри компьютерной безопасности? Если например уже имеется диплом по специальности прикладная информатика или информатика и вычислительная техника
Анус себе бампни, пес
по линии криптографии - если в математике шаришь
по линии оценки рисков - если в математике и экономике шаришь
По уязвимостям сетей, БД, приложений можно, если ты в построении этого добра понимаешь.
>по линии криптографии - если в математике шаришь
Обрисуй пожалуйста типичную проблему из практики "по линии криптографии", для решения которой нужно шарить в матеше свыше школьной программы. Спасибо.
>По уязвимостям сетей, БД, приложений можно, если ты в построении этого добра понимаешь.
Для уточнения...диплом именно безопасникаНЕ ОБЯЗАТЕЛЕН???
Ну... уж незнаю, в каких ты там школах учился, анон, знаю только то, что охуенные криптографы шарят в этих математиках, создают охуительные криптосистемы, считают вероятности взлома и риски и т.д. подразумевается не просто один VPN настроить, и даже не пять. Стоят они дорого, умные пиздец и только не говори что ты таких не видел, не знаешь, не слышал даже.
И эти ваши шуточки про петухов, оставьте филологам-бухгалтерам. У нас ИБ тред, а не И/b/твоюмамку тред.
А тут вот интересно, по идее, всем этим безопасникам поебать на диплом, главное знания, и чуваки без дипломов с охуенными знаниями замечательно ворочат нос, АйТишной направленности в основном, но с дипломом, если начинается муть с обязательным наличием сотрудников ИБ направленности(B2G не последний кусок в ИБ) - диплом дает тебе охуительное преимущество.
идеальная формула безопасника это конечно диплом(бак,маг)+знания+недолбоеб_айти+знания_документов
а если еще и по "физике" шаришь и при всем при этом не УГ и речь связанная - ты герой
В РФ сильная нехватка криптоаналитиков. Двачи- одно из мест обитания потенциальных кадров, с этим связано переключение внимания на негодный объект с прикладной криптографии на теоретическую криптоаналитику и матан. Что в б, что в крипт, теперь сюда добрались.
>речь связанная
дохуя важный навык, многим айтишникам его не хватает.
О нет! Они проникли в полковника! Это червь неизвестного троянского коня! Где нашего хариографа носит, у нас кризис!
Господа безопасные, проясните, отчего в нашей организации
сотрудники ИБ заставляют заполнять анкету, в которой помимо понятных мне вопросов, типа "входит ли ваше рабочее место в AD?",
имеются ещё и вопросы о наличии у меня аудиофайлов, отдельно - о наличии видеофайлов?
Каким образом можно соотнести вопросы ИБ и сохранённые на диске mp3, flac, webm и проч. ???? Серьёзно, может какая секретная директива имеется?
сотрудники ИБ заставляют заполнять анкету, в которой помимо понятных мне вопросов, типа "входит ли ваше рабочее место в AD?",
имеются ещё и вопросы о наличии у меня аудиофайлов, отдельно - о наличии видеофайлов?
Каким образом можно соотнести вопросы ИБ и сохранённые на диске mp3, flac, webm и проч. ???? Серьёзно, может какая секретная директива имеется?
это PIZDARIQUE на самом деле, особенно если это не мелкоконтора, а малочисленное управление другими конторами. Так и хочется послать нахуй и проорать РОТИБАЛЬ!
> Каким образом можно соотнести вопросы ИБ и сохранённые на диске mp3, flac, webm и проч
Законно ли ты ими владеешь? Даже если все рипнутые эмпэтришки имеются у тебя в оригинале на компакт-диске, а вон тот видеофайл с ЦП - это всего лишь хоум-видео подмывания сраки твоей годовалой дочурки, то можно неиллюзорно доебаться до конторы, т.к. хранится вся эта информация на конторских пека. Поэтому, как правило, в "секретных" директивах безопасничков, которые ты скорее всего подмахнул не глядя, есть такая строчка, что ты обязуешься не хранить на рабочем компьютере всякую хуйню, в том числе аудио- и видеофайлы непонятного происхождения, крякеры интернета, кейгены к фотошопу и сам фотошоп, если это не предусмотрено твоими обязанностями и наличием у конторы лицензии на использование этого софта и проч.
Нууу, FLAC с творчеством И.С.Баха, какой такой незаконно иметь?
Как может быть? Public domain иниипёт.
И используются по производственной необходимости,
начальство ведь комнату отдыха оптимизировало, а раньше была.
Ну ежели все так, как ты говоришь, то и вопросов к тебе не будет.
Бамп
В политач проник укро секюрник, алярм
ну давай ссылку, еп твою. будем доминировать хохлов.
Структура проста до нельзя.
Существует самый большой и самый раздутый в банке департамент IT, в него входит хуева туча отделов (Сеть, админы, почта, сайт и т.д.) и существуем мы, Безопасность (1.5 человека, на весь Банк !). В нашем прямом ведении: Ключи/сертификаты всего Банка, УЦ, Прокся, Антивирусы, Нормативные доки по ИБ, Zlock, Сниферы.
Все остальное приходит из IT (а приходит дохуя чего. Например: сетевики - левый трафик, гляньте может вас заинтересует; Админы - необходимо согласовать новые права доступа; Руководство - новый проект гляньте с точки зрения ИБ и т.д. ) Тут скорее мы выступаем в роли диванных аналитиков, типа: так будет хорошо если сделает, так не очень хорошо.
Вот так все просто. И так в Каждом банке (наверно где-то и существуют тру Безопасность, но тут нужен неебический штат, и неебические ЗП (у нас ЗП 60-80 Мск.))
хуйней они страдают, вот и все.
В идеале - безопасник говорит "Пароли должны быть такие-то, такие-то правила для фаервола, то-се", а админы настраивают под данные требования. Потом раз в месяц/полгода ходишь, контролируешь, "а покажите мне конфиги, а что изменилось".
По сути, безопасник не обязан сам знать все технологические тонкости (например, есть вот разграничение доступа к ресурсам организации на сервере, дело безопасника - сделать сетку разграничений доступа, дать ее админу сетки, и потом проконтролировать, что все верно расставлено), хотя конечно как работают средства доверенной загрузки, антивирусы, СОВы и пр. должны.
Лол, я ходил на собеседования в компанию, занимающуюся заправками в области(филиал Роснефти), требовался человек на замену. Так там всего один безопасник на всю организацию. Не, как бы есть целый отдел безопасности (видеокамеры, сигналки и прочее), но один хер все в одного человека упирается.
Правда я не пошел туда, после слов в лоб "тут без армии и службы в ФСБ ты нихуя не достигнешь, побудешь безопасником обычным несколько лет, а потом свалишь с крутой записью в трудовой". Только вот нахер мне стараться вообще тогда, если я уже начинаю обратный отсчет епт? Такие дела.
Ты абсолютно прав. Проще всего ту же самую парольную безопасность регламентировать Приказом. Безопасник не должен лезть в Администрирование, но должен знать.
Когда 1 чел на всю организацию ЗИ выделен это пизда, просто, тупо не успеет нормально работать в итоге лучше вообще без него чем с ним.
Тред подозрительно потерли
>Когда 1 чел на всю организацию ЗИ выделен это пизда, просто, тупо не успеет нормально работать в итоге лучше вообще без него чем с ним
Двощую, а если ещё и под IT-отделом работать, то вешаться можно сразу, не знаешь что делать, либо админить секюрку, либо бумаги писать как чёрт для соблюдения 3х слоёв требований, которые никто не соблюдал, либо посонам помогай по админской хуйне ибо людей не хватает
а если под проверку попасть, то вся хуйня на тебя, да
а то ! Эта проверка это тоже пиздец полный. Бумаги, бумаги, бумаги, как секретарь, блять.
Ребзя, где смотреть планы проверок юл ФСТЭКа и ФСБ? с РКН всё понятно, а вот эти очень интересуют
Заканчиваю в своей мухосрани бакалавриат по ИБ, подумываю понаехать в ДС2 хоть и ДС1 поближе будет в следующем году на магистра поступать. Какой универ посоветуешь, анон? Что у работодателей котируется? На бюджет поступить анрил? Ну и попутно найти там работу.
Выбор не велик это
ИТМО - кафедра БИТ, ПКС
Политех
Ничего не котируется, так что задрачивай скилы в программирований и английский.
P.s. pentester из PT
Алсо можешь еще успеть влиться в CTF если в этом понимаешь.
ДС2?
Сторчак?
Y
N
Он не из дц2 и не из пт
Коллеги, есть идеи, как безопаснику с множеством различных талантов работать в ночь? с 9 до 6 откровенно достало.
> ИТМО - кафедра БИТ
Говно, нисоветую, выпускники оттуда не знают даже простейшей информации об устройстве сети.
Такие вот студенты, вопрос заключался в поступление на магистра по ИБ, а в россеюшке таких университетов, кафедр по пальцам пересчитать. Это ИТМО, Политех, ЮФУ, СГАУ, УрФУ, ТУСУР - за Московию и среднию полосу ничего не скажу, опыта не было.
Вообще посмотреть на результаты
http://ructf.org/2015/ru/teams/
http://ructf.org/2015/ru/results/ - там уже выбирать универ от команды и расположения на карте Рассеющки.
Я, не Сергей!
Сап.Поступил на 1 курс ИБ в своей провинции.
Как стать успешным ИБэшником?Какие скиллы качать?
Мб книжонки какие нить годные есть почитать.
P.S. В пентестинг вкатываться не планирую.
Как стать успешным ИБэшником?Какие скиллы качать?
Мб книжонки какие нить годные есть почитать.
P.S. В пентестинг вкатываться не планирую.
А нихуяшечки нету. В том и шутка, что даже плановая их проверка как дверью по голове.
А у нас тут в области вон мед. учреждения ебут во все дыры последние месяца 4е, из-за жалобы какого-то чувака. Не соблюдали 378 приказ, так и всех и дрочат.
Пентест в рамках фриланса. Хуяч безопасность, пока на ресурсах никого нету, все только за будут.
цтф - дрочилово, глупо по таким рейтингам вузик выбирать.
Сам оттуда. Не сказал бы что от вуза зависит что-нибудь. У нас вообще можно реально научиться чему-то 'вопреки, а не благодаря'. Сети сам по ССNA и Олиферам учил.
Когда искал падавана себе отовсюду какое-то днище являлось.
Если не планируешь вплотную кибербезопасностью заниматься, то кури зокон и организационно-правовые методы обеспечения ИБ. Учись и люби писать гумагу. Качай опыт выступлений и дискуссий. Готовься ходить в пиджаке.
Осиль Шон Харрис, она на русском даже есть.
Это рейтинг успешности кафедр, а так же студентов которые выходят за рамки учебы в ВУЗе. Те кто задрачивает CTF, после обучения не кисло устраиваются на работы, ибо оферы на ручонках!
это всего лишь одно из направлений. судить по рейтингу цтф о качестве образования по меньшей мере глупо, вот не переубедишь ты меня. для работы в профильной пентестерской конторе, да полезно.
а если работать ибешником на все руки, пользы будет больше от знания законодательства и понимания ИТ, чем от навыков взлома. Скажем так, знание как не надо админить не равно знанию как надо админить чтобы не просрать все полимеры.
Да и ИБ начинается с процессов и работы с персоналом, а не с хссок на корп сайте. Я например за время своей работы со взломами сталкивался считанное число раз, а по маням-пароли-направо-налево-раздающими, шпионам и инсайдерам работать приходится постоянно.
А если не кибер безопасность, а более классическая? Или тут только ITшники собрались?
А вот хз, братуха, как подработать.
Я сам голову ломаю, платят неплохо, но хочется ещё.
Могу организационно-распорядительную документацию писать, могу GR по ИБ вопросам осуществлять, с погонами взаимодействовать, и всякое такое.
Но вот как это все монетизировать не на фултайме не представляю. Теорию ИБ и вузовские предметы шарю хорошо, но на ИБ-репетиторстве как мне кажется много бабла не поднимешь. Дипломы за студентоту писать тошно.
Есть у вас какие идеи, коллеги, как ИБ недопиджаку подработку найти?
WEB технологии или халтукри по аудиту какого-нибудь ИСПДН?
Вообще WEB охренительная тема, там нужны тестировщики, программисты, верстальщики.
Берешь какой-нибудь фриланс(правда там макак-быдлокодеров хватает, конкуренция пиздец) и хуячешь.
Потом в компанию, если по опыту подходишь.
Сам хочу так, а потом, авось, и вовсе в WEB технологии податься в самые оплачиваемые отрасли.
Перешел на последний курс по специальности ИБ. И, блять, за эти годы не научился ничему. Долбоёб, не спорю, но сейчас захотелось немного наверстать упущенное. Погуглил, нашел кучу литературы, но с чего начинать- хуй знает. Может есть у кого-нибудь пара примеров книг с чего начать это всё?
Коллеги, как считаете, реально ли без работы в органах достигнуть высот в безопасности?
Допустим, устроились относительно тепло в частном бизнесе, имеем хорошие условия, зп в 2-3 раза выше средней, вот это вот все.
Но навыки то блять не растут, а если и растут- то в 90% по книжкам(которым приходится уделять свободное время) и прочим источникам, ибо применить все это на практике возможности нет. Проеб времени какой-то, ящитаю.
Короче, есть мысли, куда податься безопаснику, чтоб дико вкачивать лвл, а не тупо фармить кэш?
Допустим, устроились относительно тепло в частном бизнесе, имеем хорошие условия, зп в 2-3 раза выше средней, вот это вот все.
Но навыки то блять не растут, а если и растут- то в 90% по книжкам(которым приходится уделять свободное время) и прочим источникам, ибо применить все это на практике возможности нет. Проеб времени какой-то, ящитаю.
Короче, есть мысли, куда податься безопаснику, чтоб дико вкачивать лвл, а не тупо фармить кэш?
Привет, анон. Есть живые ИБшники итт?
Нужна ваша помощь. Какие слова может использовать гипотетический злоумышленник для ведения переписки по почте для "слива" инфы?
Например: база, я, мои, клиент, реестр, портфель и тд.
Хотелось бы составить заебатый словарь по таким ключевым словам, что упростило бы мониторинг инцидентов.
Я ни на что не рассчитываю, но было бы охуенно, если бы кто-то помог в этом вопросе.
Нужна ваша помощь. Какие слова может использовать гипотетический злоумышленник для ведения переписки по почте для "слива" инфы?
Например: база, я, мои, клиент, реестр, портфель и тд.
Хотелось бы составить заебатый словарь по таким ключевым словам, что упростило бы мониторинг инцидентов.
Я ни на что не рассчитываю, но было бы охуенно, если бы кто-то помог в этом вопросе.
логичнее прописать реагирование на типовые параметры закрытой информации. например, серия-номер паспорта, кодовые обозначения документов, содержащих комм.тайну и так далее. переписку с подобным содержанием обычно никто не ведет, только самые отмороженные. конкурент же тоже консультирует, как не палиться.
Бамп
А в чем роста то хочешь? Больше организация -> больше организационной работы -> больше опыта в этой сфере. Опять же, можно качать скилл в бумажках, или в комплексном управлении безопасностью.
Думаю достаточно весело в банке каком-нибудь, и чем крупнее тем веселее просто потому, что где крупное бабло - там и безопаска требовательнее. А с ГТ можно например работать и без работы в органах, другое дело что обычно человек с подобным опытом работы по умолчанию имеет десяток лет работы с , что дает +100 к эффективности работы с закрытыми сведениями, просто на автопилоте.
дополнение к
И потому до руководства каким-нибудь 1 отделом вряд ли дорастешь в принципе. Хотя я был в организации, там главной отдела противодействия иностранной тех. разведке была девочка лет 27 со штангой в ушах и тату на шее. Может конечно и дочь чья, но все же.
Короче, в чем роста хочешь сначала определись.
>Коллеги, как считаете, реально ли без работы в органах достигнуть высот в безопасности?
>Допустим, устроились относительно тепло в частном бизнесе, имеем хорошие условия, зп в 2-3 раза выше средней, вот это вот все.
>Но навыки то блять не растут, а если и растут- то в 90% по книжкам(которым приходится уделять свободное время) и прочим источникам, ибо применить все это на практике возможности нет. Проеб времени какой-то, ящитаю.
>Короче, есть мысли, куда податься безопаснику, чтоб дико вкачивать лвл, а не тупо фармить кэш?
Работай по организационке, по вечерам кунайся в пентесты, через год себя не узнаешь, главное находить время
Анон, подсоби чем можешь?
Нужна нормативка по оценке рисков утечки информации, давеча провел оценку исходя из "собственных экспертных суждений", но это чисто очковтирательство.
С ISO 27001 ознакомился, если кто может скинуть свою методику, не стесняйтесь.
Поясню что недавно перекатился в ИБ средней конторки из эникея-погонщика. Погромист по дипломной корке, но по факту работал в иной сфере.
Нужна нормативка по оценке рисков утечки информации, давеча провел оценку исходя из "собственных экспертных суждений", но это чисто очковтирательство.
С ISO 27001 ознакомился, если кто может скинуть свою методику, не стесняйтесь.
Поясню что недавно перекатился в ИБ средней конторки из эникея-погонщика. Погромист по дипломной корке, но по факту работал в иной сфере.
Информационные активы инветаризованы? Критичность конфиденциальности для них определена?
Если да, то можно продолжить разговор.
В мову можешь? Если да - оставь фейкомыльце
Мне нравится слово "уразливость"
Подскажите ещё таких
>Информационные активы инветаризованы? Критичность конфиденциальности для них определена?
>Если да, то можно продолжить разговор.
Инвентаризация проведена также методом наития.
Анон, подсоби мануалом для особо особенных товарищей?
>В мову можешь? Если да - оставь фейкомыльце
Нит. Я из другой постсоюзной республики.
Не тонем, господа уважаемые.
тогда тебе еще безПЕКА понравится.
Всё таки не конца догнал реквест.
>нормативка по оценке рисков утечки информации
тебя интересует именно оценка риска нарушения конфиденциальности?
или комплексная оценка рисков для информационного актива?
>нормативка
ты имеешь в виду методики оценки или "рыбы" для написания организационно-распорядительной документации?
Вообще, по моему опыту из говна и палок адекватный риск-менеджмент не построить.
Посоны, ЯННП. Вы типа хакеров-взломщиков, которые не хакают и не краду деньги?
>хакеры которые не хакают
Чот сам с себя в голосину
Именно что я осознаю наличие говна и палок в своей голове.
Под "рыбой" ты подразумеваешь шкалу оценки?
Какова правильная очередность манипуляций при оценке ИБ?
- Инвентаризация активов;
- Оценка их критичности;
- ...
?
"рыба" - сленг бумагомарак, шаблон документа в котором нужно поменять %компанинейм%
я имел в виду: что тебе нужно? научиться оценке рисков или написать внутренюю документацию по управлению рисками?
Если тебе нужно научиться оценке рисков - кури маны. Почитай СТО БР ИБ БС, там про риск менеджмент есть тоже. Из книг я бы посоветовал Шон Харрис, есть на русском http://dorlov.blogspot.ru/2011/05/issp-cissp-all-in-one-exam-guide.html
если тебе нужно бумаги написать, то тут гугль и яндех в помощь. В открытом доступе примеров хороших документов не очень много, они обычно внутри коммьюнити гуляют. есть вот такой ресурс с образцами доков, но они "на троечку" http://securitypolicy.ru
мы защитники информации. когда защищают инфу обрабатываемую в компьютерных системах, приходиться быть антихакерами.
Благодарю, самаритянин ты мой.
При случае обращусь к тебе в эьом же треде.
Цель тащемта мочь в риск-анализ и риск-менеджмент. Бумаги под работающую методику подвести я могу.
Тогда мой совет: начни с комплаенса (несоответсвия требованиям законодательства)
Там требования формализованы и риски легко исчислимы. Да и начальству проше продать ИБ по формуле: не сделаем это - оштрафуют, гроб, кладбище, пидор, потеря репутации.
Я не знаю какая сфера деятельности у твоей конторы, но по ИБ в россии много требований, хороших и разных
Дело в том, что я не в РФ работаю, а в солнечном Казахстане и правовое поле несколько отличается видимо.
Контора производственная собственно, говностроительная фабрика.
Есть общие требования материнской компании, но когда я запросил действующую ихнюю методику, чтобы ее адаптировать под свои реалии - меня просто нахуй послали. Дескать есть 2700* - изучайте и действуйте по обстоятельствам.
К слову, до этого ИБ не интересовало никого, кроме единственного админа. Кого интересует - можно люто вкатиться в Казахстан по теме ИБ/ЗИ.
насколько мне известно ИБ казахское сильно с российским близко.
банковский стандарт ИБ почти слово в слово.
при этом я слыхал, что российское иб из казахстана родом, типа там был какой-то институт системного анализа.
Вполне может быть.
За историю этой сферы не знаю.
Есть 2.5 НИИ занимающиеся криптологией/криптоанализом и математикой.
А так, все наверное очень печально, но в силу своей ограниченности не могу этого оценить более-менее объективно.
Анончики из дц2, кто-нибудь на конфу secureworld2015 в следующую пятницу пойдёт? Можно в кулуарах сходку учинить
Привет анонимчики, вопрос такой, а почему во многих банках висят вакансии на начальников ИБ оделов, главных спецов и т.д. Все из банков валят, чтоль? Я всегда думал, что в банке нашему брату наоборот уютнее всего или это делается спецом, чтоб начальника в страхе держать, типа, "много не выебывайся, вакансия всегда открыта".
С меня Розальски
С меня Розальски
Аноны, реквестирую линк на первый тред
Во многих банках нулевая ИБ. А тут форму пришла пора отправлять, или проверка вырисовывается. Вот и ищут.
А..получается там есть какие-то типы, которые занимаются ИБ постольку\поскольку\блатные\брат\сват\связи, а как пошла штука с отчетами так они и хватаются за голову?
Сап ИБ-куны.
Я - первокурсник КОБ (комплексное обеспечение безопасности)
Посоветуйте, что начать учить, и расскажите вообще об ИБ в целом: как с работой, можно ли устроиться куда-то прямо во время учебы, на 4-5 курсах.
Интересно, как там с армией после обучения - реально ли, например, отслужить как спец по ИБ, и насколько вообще важна служба для трудоустройства.
Я - первокурсник КОБ (комплексное обеспечение безопасности)
Посоветуйте, что начать учить, и расскажите вообще об ИБ в целом: как с работой, можно ли устроиться куда-то прямо во время учебы, на 4-5 курсах.
Интересно, как там с армией после обучения - реально ли, например, отслужить как спец по ИБ, и насколько вообще важна служба для трудоустройства.
>>КОБ
взлольнул
взлольнул
По поводу службы в армейке уже писали выше, так что утруди свой анус и прочти все это.
>>можно ли устроиться куда-то прямо во время учебы, на 4-5 курсах
Смотря что ты будешь уметь к этому времени и кого знать, лол, как у тебя будет со свободным временем и как сложатся отношения с кафедрой/деканатом. Очень много факторов и прочих субъективностей.
Все индивидуально.
В этом году просто учись, кайфуй, не сычуй, будь активистом режь блатных и петухов, т.к. твои сокурсники через 10-15 лет вероятно будут крутыми дядьками, водить общение с которыми будет весьма козырно.
Лично я рекомендую тебе в следующем году подойти к зав.каф. и сказать что имеешь лютое бешеное желание работать в университете за булку чая больше вряд ли дадут. Это даст тебе запись в трудовой и/или хороший отзыв от кафедры, а это в нормальных конторах считается.
На третьем курсе обмажься парочкой статей, которые потом приложишь к дипломной работе сам так сделал, всем рекомендую.
Еще можешь по угару диплом с грифом "для служебного пользования" пилить потом, как время подойдет.
И вообще, мне вот никто такого не говорил, ананасик, а я тебе скажу. Может пригодится. Всем говори как ты жаждешь пролезть в магистратуру, получать повышенную стипендию и ездить на блядолимпиады - препода/профессура таких любят, типа пассионарий дохуя.
Какой универ, кстати? Бауманка надеюсь?
Анончики, есть ли у безопасника перспективы свалить за бугор, что дрочить, что котируется?
Я не он, но тоже первокур с ИБ. У меня МГУПИ, все плохо, стоит перевестись?
Смотря что ты хочешь услышать от меня.
Я уже все расписал.
-кун
PCI-DSS, ISO 2700x, ISO 17799, ISO 21872, ISO 15408, Sarbanes–Oxley, FISMA, HIPAA, BS 7799
Зайди на monster.com и прочие зарубежные сайты по поиску работы, посмотри требования к вакансиям.
И ещё подумай, хочешь ли ты заниматься документальной безопасностью (как раз про эти все стандарты), или хочешь заниматься вирусами и прочей малварью, эксплоитами, пентестом, исследованиями, социнженирингом, и прочей натурной работой в диком мире.
А я тебя видел в it треде лол, итт деаноним по словарному запасу.
Мне кажется, что в компанию со зрелой ИБ - очень маловероятно, стоит только глянуть на вакансии нормальных контор.
Но если ты охуенен в чем-нибудь или контора не очень, тогда да.
Где дианон-то? Ты всего лишь предположил что он в несколько тредов пишет.
Или он оставил сведения позволяющие его идентифицировать?
Не тонем.
Не желаете ли поделиться ИБ-няшами?
Я могу начать. Заодно osint покачаем.
Не желаете ли поделиться ИБ-няшами?
Я могу начать. Заодно osint покачаем.
Смотря что ты вкладываешь в понятие ибаняши.
Заметил, что сейчас очень форсится тема ИБ, фильмы снимают, сериалы, с чем это связано и не повлечет ли за собой большую конкуренцию?
Няшных ибешниц. Такие есть, как ни странно
Не переживай, если ты уже в теме и развиваешься, то у тебя огромная фора
Знаешь, тут как повезет. Мне повезло с однокурсницей, затянула в работу по ИБ в универе, потом вырулил на работу с ПДн там же, сейчас в частной конторе (которая все равно неформально принадлежит универу, лол).
-кун все верно сказал, опирайся на кафедру в поиске работы, если получится - зарули в админы/службу безопасности при универе. 100% в универе есть режимно-секретный отдел, 100% универ работает с ФСБ, и 100% есть препод/декан/профессор, который взаимодействует и с РСО, и с ФСБ, и вообще рулит направлением безопасности. Набейся к нему в соавторы (курсовые, дипломы, статьи), он вполне может подкинуть работы.
Я не встречал чтобы руководитель по безопасности в универе вел НИР.
>341634-кун
у меня руководитель по НИР и Диплому на момент того времени был руководителем отдела по аттестации объектов ГТ, к примеру. И диплом мой был ДСП, тоже по аттестации, только объектов КИ. Конечно не везде так, вопрос удачи и бытия в нужном месте в нужное время.
from
Диплом тоже ДСП, но у нас в универе функции поддержки режима ИБ были у админов. Выделенной структуры-должностейсне было.
Наш чиф-безопасник был больше по профилактике экстримизма, неформальных религиозных течений и пидорасов.
НИР по ИБ вела зам.кафедры "информационных систем" и пара преподов.
>344860-кун
Кажется пора пилить faq
Типа "дорожной карты"?)
Братишки, буду очень благодарен
-кун
ПА РУ НИРАБОТАИМ
>если "силовой" ВУЗ - предложение службы или околосиловиковские конторы.
или в МО заниматься хуйней в пердях Сибири/Дагестана
или в ФСБ 8,18,16
или в СВР разрабатывать хуиту для спутников, если в радио шаришь
или во ФСТЭК бумажки марать
выбор эскобара
>записать в файл md5
>md5
вот теперь верю про дно
>еще системы мониторинга уязвимостей прикольная штука.
расскажи про нее
это типа IDS/IPS или нет?
>по линии криптографии - если в математике шаришь
чтобы заниматься всякими криптоанализами - надо в Стеклове трудиться, думаю
чтобы понимать, как и из каких примитивов собирается криптосистема и где ее слабые места достаточно линейкой/CS владеть
пили про откаты
надо например закупить новые фаерволлы, есть выбор ASA/SRX/Checkpoint/пальто, есть несколько интеграторов, которые могут внедрить, кому они бабки заносят?
пили прохладные про пентестинг
алсо развито ли такое направление, как пентестинг сетей? ну там, голый control plane находить, ipsec с детскими настройками, отсутствие фильтрация всяких
не смотрел,
там опять лукацкий или кадер пиздят?
расчехлите CEH, кто сдавал? как котируется?
про CEH*
certified ethical hacking
>>Бауманка надеюсь?
Надейся. Бауманка бренд. Там студенты к последним курсам не всегда знают про уязвимость нулевого дня.
хорошие ИБшники откатами не занимаются
>хорошие ИБшники откатами не занимаются
про это-то я в курсе, так расскажи про откаты
тонко или оче тонко?
безпечний бамп
Это, конечно, охуенно, а опытом можешь поделиться?
Пентестинг, в частности тестирование сетей на устойчивость, в России.
У меня направление Web Application
чем пользуешься?
опыт бэкенд-разработки имеешь?
любые веб-приложения тестируешь или только пэхапе-рельсы-сисярп?
Много инструментов, связки скриптов и сканеров. В основном это Burp, редакторы кода, так направленность в сторону OWASP - Top 10, приходиться работать, как с whitebox, так и blackbox, уязвимости в коде, иногда отправляю вендорам на фикс.
CEH сдавал или планируешь? В Россиюшке котируется?
В Россиюшке нет, пока еще не пришли к этому. По опыту обычно котируются сертификаты (QSA - Qualified Security Assessor) в области pci dss, так же CCNA, CCNP.
Негласная иерархия сертификации в области кибер безопасности имеет такой вид: CompTIA: Security+ -> CEH/ECSA — > CISSP-CISA/CISM.
Расматривал бы такую версию CEH - CCNA -CISSP, если планируете работать в другой стране.
CEH - нубская сертификацтия. Чтобы понять котируемость - вбей на ХХ в поиске и изучи вакансии.
Русская ИБ илита таки - http://www.risspa.ru/team
О, ни хуя себя. Живёшь-живёшь, и внезапно узнаёшь что ты илита, лол.
тем более, RISSPA уже года полтора как RISC именуется
опять этот лукацкий
спасибо
Сразу видно бумажных безопасников.
http://www.trendmicro.com/vinfo/us/threat-encyclopedia/vulnerability/7057/windows-media-center-rce-vulnerability-cve20152509
Мне кажется ты забыл ещё про OSCP. CEH не котируется совсем.
мимо другой вайтхэт
да у тебя же УЯЗВИМОСТЬ
короче я лучше шайбу сдам
CEH котируется в US, но не в мире, хотя нубско!
Вот моя участь это Offensive Security Web Expert – OSWE Certification, сейчас как раз в этом направлений двигаюсь.
>да у тебя же УЯЗВИМОСТЬ
Кстати ахуенная просто.
Клево, на самом деле. ПТ молодцы, могут позволить себе обучать сотрудников на такие дорогие сертификаты.
Подогрейте хоть прохладной какой, посоны.
Я вот с сурикатой ебуся, уже года пол
Я вот с сурикатой ебуся, уже года пол
Тактичный ИБамп
На ПТ не рассчитываю, уровень знаний сам подтягиваю так как ежедневно этим занимаюсь смотрю тонны кода, если сдавать буду скорее всего за свой счет.
Подбампну.
А то что-то мы тонуть начали.
А то что-то мы тонуть начали.
Кто что скажет за ЦАРКА и CERT?
Имеете опыт совместной форензики?
Имеете опыт совместной форензики?
Кстати, вышла новая версия ISO 9, когда ждать 27?
Кто в курсе?
Кто в курсе?
В Московском отделении ЦБ отдел безопасности и ИБ крупнее ИТ раза в 3 точно.
>лукацкий
Как же меня бесит этот говноед. На одном из последних PHD хотелось кинуть в него чем-нибудь тяжелым. Зазнавшийся мудак.
В целом, ребят, вот что хочу сказать. Мой опыт в ИБ и околоИБ (когда занимался периметрами и видеонаблюдением) около 10 лет. Вузец тоже топовый, но, к сожалению, не Академия.
И вот с этим опытом я уткнулся в тупой потолок специалиста. Т.е. в начальники ИБ я не попаду от слова совсем. Т.к. 99% этих самых начальников бывшие погоны. При том чаще всего конторские.
И вот есть у меня мысль на 31-м году жизни попробовать податься таки в Контору. Один хуй полжизни фактически хожу вокруг, да около. Да и военник нормальный на руках с сержантской записью. А там штабильность, пенсия лет через 20, да и дела, думается мне, куда интереснее, чем в большинстве контор в РФ.
И вот с этим опытом я уткнулся в тупой потолок специалиста. Т.е. в начальники ИБ я не попаду от слова совсем. Т.к. 99% этих самых начальников бывшие погоны. При том чаще всего конторские.
И вот есть у меня мысль на 31-м году жизни попробовать податься таки в Контору. Один хуй полжизни фактически хожу вокруг, да около. Да и военник нормальный на руках с сержантской записью. А там штабильность, пенсия лет через 20, да и дела, думается мне, куда интереснее, чем в большинстве контор в РФ.
он уаще красаучег ежжи
карьера офигенная -
1) директор отдела маркетинга
2) сразу блять после этого консультант по информационной безпеке
давайте блять вещи своими именами называть, а то развели консультантов и блять инженеров-маркетологов, позор ебанай
только ты не сам иди, а знакомых оттуда порасспрашивай, может ты им глянешься и они тебя поеркомендуют
туда рекомендация очень большой вес имеет, если сам придешь в управу, могут отказать
хотя ты наверное это все знаешь, если что не обессуй ежжи
удачи тебе, добра и успехов
Спасибо, бро. Завтра как раз еду к паре таких человек, "на чай, на поговорить".
Анон, расскажи что делал, "когда занимался периметрами и видеонаблюдением"?
Антоны, почти год назад вернулся с армейки, где тусовался на ЗАСе, сейчас работаю в конторе, которая поставками такой аппаратуры в том числе занимается (ГОЗ). Окончил ВУЗ по специальности "Организация и технология защиты информации". Чисто по специальности ни разу не работал, как специалист - говно, но хочу стать поближе к пуле. В текущей конторе - деградирую. Хочу подобраться ближе к специальности. Дайте каких-нибудь рекомендаций что ли, куда податься? Казалось бы, все, что нужно есть и все вокруг да около, но по сути - хуй там.
Ты в ДС живешь?
не так уж он и плох. он иб занимался дольше тебя, точно.
ну охуеть теперь
дедовщина на моих воркачах
>ИБ занимался
Хуй знает, лет пять назад внимательно почитал его блог. Сплошное словоблудие и отчеты о вечных ИБ-тусовках мне вообще кажется, что он только и делает, что где-то выступает или тусуется.
Позер типичный. И говноед судя по его же выступлениям.
Если ты не догоняешь дискурса - то это не значит что там словоблудие.
Как человек, тип неприятный, не буду спорить.
Но как ибешник - он в адеквате, подверждено личным общением.
Про "позера и говноеда" не соглашусь, вам стоит на иб-мероприятия пиджачные походить.
>Про "позера и говноеда" не соглашусь, вам стоит на иб-мероприятия пиджачные походить.
то есть посетив пиджачные мероприятия, мы поймем, что Лукацкий не такой уж и говноед, остальные ничем не лучше/хуже?
Кто отвечает за ИБ в организации, в которой нет должности специалиста по ИБ? Вот, например, хочу я устроиться эникеем, а в фирме ад и содомия с документооборотом и персональными данными. Если поломают сеть и сольют данные или кто-то выкинет мешок с документами в мусорку, кто отвечать будет? Ссычев, который "в своей серверной сидит и ничего не делает"?
Отвечает тот, кого назначили ответственным. Если назначили тебя, то советую провести "меры пэдээны" в божеский вид, если добровольно не захотят, примени Силу, юный ситх
Не в ДС, но в области.
ну да, он определённо сильно выше среднего спикера.
внимательно читай должностную инструкцию перед тем как подписывать.
Сычёв отвечать будет если только он совсем лох чилийский и кучу гумаг не глядя подмахнул.
Двачую этого.
Плюс, должна быть опись/перечень информ.активов, перечень конфид.инфы и акт о разглашении-принятии конфид.инфы для каждого работника.
бесполезна, работаю админом, на мне вся бодяга висит, единственный вариант, который мне удалось добиться - это подписывать бумажки у генерально, мол так и так, я делаю то и то - а ИБ никто не трогает.
ну допустим, полный пэ творится, предыдущий админ вылетел, иб не пахнет, других вари антов работы нет =( как поступить то?
Строй СУИБ.
Или симулируй сумашествие.
последнее, так неплохо получается =) есть закавырки какие? с нуля начинать всё? при условии что запущено всё напрочь, даже инвентаризации нет
на работу нанимайся.
быть может там и нет должностной инструкции. тогда всё ровно.
если она есть и она тебя не устраивает - тяни с подписанием. советую следующую линию:
любые обязанности, должны сопровождаться правами позволяющими их реализовывать. Например, если на тебя хотят возложить ЗИ при обработке ПД, то тебя должны наделить правом рулить процессами их обработки на уровне всей организации.
на прошлой службе должностную год не подписывал, торговался со службой внутреннего контроля. на текущей уже почти год в таком же раскладе:)
размеры организации какие?
Сап кунцы! Помгите. Работаю в госконторе, пилю портал для них. Встал вопрос о покупке ssl сертификата (или так за нихуя). Все бы ничего, но блядский закон блядского правительства говорит что госконторам нужны все ресурсы, которые будут использованы на сайте, с рашкинскиными серверами, а сертификат с шифрованием по ГОСТу. Нашел только крипто про, которые продают такого типа сертификаты. Но нахуя? Если можно по open ssl сгенерить да и хер с ним. Или могут наехать? Кунцы выручайте. Че делать-то?
Накидайте по пунктам, что конкретно должен уметь начинающий безопасник (каким ПО владеть, какие технологии знать, и какими обладать навыками?). Закончил СПО по 090303 "Информационная безопасность телекоммуникационных систем".
Сейчас обладаю очень малым количеством проф. навыков, ибо преподавание было говно (дохуя часов истории, философии, и проч., а на спец. предметах преподы хуи пинали), да и сам во время учёбы не озаботился повышением квалификации.
Сейчас обладаю очень малым количеством проф. навыков, ибо преподавание было говно (дохуя часов истории, философии, и проч., а на спец. предметах преподы хуи пинали), да и сам во время учёбы не озаботился повышением квалификации.
Алсо, ФГОс по 090303 по диагонали прочёл, но там только общие формулировки, а меня всё-таки интересуют полевые условия.
Да, начинай ее поднимать.
Можно, кстати, всем тредом мануал общий написать.
Двачую.
Ты тралишь чтоле? Холиварный вопрос-то. Твоя ИС будет к сетям общего доступа подключена? В модели угроз угроза конфиденциальности есть?
Просто ГОСТ в браузере это пиздец.
А вообще, советую в том числе с презентахами по криптографии от нелюбимого здесь Лукацкого ознакомиться.
Ты именно телеком ИБашить хочешь? В пиджаки или инженера расти планируешь?
>да и сам во время учёбы не озаботился повышением квалификации
Берешь и страдаешь всё с 0
да. У нас безопасник - это недоученный сетевик с раздутым самомнением. А его начальник- какой-то ФСБшник, который вообще не шарит в компах, настолько, что когда он выступает на собраниях, то говорит он, а стыдно почему-то мне.
Не совсем догоняю как можно из чистого технаря вырасти "в пиджака", скорее планирую податься в быдлоадмины, если ИБ-сфера не выгорит.
тебя именно иб телекома интересует или иб сферической конторы?
Есть две больших группы методов: организационные и технические
Организационные(пиджачные) - подразумевают как следующие скилы:
знание законодательства регулирующего отрасль;
навыки проведения оценок соответствия;
навыки написания организационно распорядительной документации;
навыки сношения с регуляторами;
и прочая хуита.
Технические:
уверенные навыки одминства;
какой-нибудь скриптовый язык;
настройка средств защиты информации;
и как можно больше знаний о технологиях на которых работают защищаемые ресурсы.
А так, научись нмапом пользоваться - это любому ибешнику не помешает
Восхитительная вакансия, друзья!
в вакансии не указаны бонусы от АНБ
Попробуй Элерон.
какой-то набор слов, как будто поисковые теги написаны. Бессвязный набор фраз и слов.
Им, по всей видимости, плевать на образование.
Очередная безголовая девочка HR писала скопировала с другой вакансии
Зарплата как у эникейщика без опыта.
Да в госах везде так почти. Там вся мякотка со стажем начинается: выслуга, тринадцатая и прочее.
Работать в УЦ сильный зашквар?
работёнка душная, зато стаж профильный
а если без профильного образования?
Безголовый бамп.
вот тут подробнее. Кем в уц, не уборшицей хоть?
Админом УЦ, к примеру
дык если это законный уц, то админу квалификация нужна.
но если берут одмином, то иди, доучишься походу, через годик-полтора свалишь.
> через годик-полтора свалишь
куда например?
в банк, например
А если уже несколько лет отработал, есть ли смысл валить?
УЦ аккредитованный МКС
не знаю
Поясните, пожалуйста, нужен ли линукс в ИБ.
Весь софт для пентеста вроде на винде есть. Есть ли какие-то особые преимущества, стоит ли красноглазить?
Весь софт для пентеста вроде на винде есть. Есть ли какие-то особые преимущества, стоит ли красноглазить?
В общем понимании очень нужен
Как по мне, так однозначно нужен, даже аргументировать неохота.
Мало инфы, ты предлагаешь по постам на дваче погадать куда тебе двигаться? Какой регион, какой рынок, какие скилы?
Сесурити бумп
Не тонем, вверх
Давайте что-нибудь обсудим.
Кто какой опенсорс юзает для ЗИ?
Кто какой опенсорс юзает для ЗИ?
анальную проприетарщину юзаем мы.
Хорошо когда бюджет такое позволяет
> скилы
Понимаю как устроена PKI в Эрефии, знаю нормативку, стандарты и прикладное применение электронной подписи, отличаю СКЗИ от СЗИ и НСД от НДС, имею представление об аттестации объектов, классах секретности ИС, моделях угроз, нарушителя и прочей OSI. Программирую на зайчаточном уровне (Python, .NET). Добрый, милый, ласковый. Вызываю доверие :3
А у нас бюджет маленький. Только терморектальный криптоанализ.
Другой иб-анон.
Может стоит работу по интереснее УЦ поискать?
Например?
Например тут уже предлагали банк. Но я не думаю что работа в банке по линии безопасности намного интереснее, тем более про работу в банках тут уже достаточно написали. Какие еще могут быть интересные варианты для человека без вышки?
По дц2 регулярно вакансии проскакивают не требующие вышки. Пентестеры, например.
вариации запроса "пентест + мой_мухосранск_name" в гугле дали ровно ничего.
могу только посочувствовать.
поищи тестерскую работу - оттуда можно в иб перекатиться. гугли QA + %твой_мухосранск_name%
Но я и так в иб. Из QA у нас разве что в программисты можно перекатиться, но это можно сделать и сразу так-то. На даллары жируют только те кто работает на аутсорс, у остальных в среднем з/п не сильно выше моей, зато головной боли поболее.
Есть ли тут пентестеры? Что можете сказать о своей работе? Не одолевает ли рутина? Ведь может это только со стороны кажется, что каждый день изящно объебываешь хитроумные системы защиты, а на деле чекаешь типовые векторы атак и фейспальмируешь с криворукости разработчиков и интеграторов, пишешь отчет и т.п.
Чет не догоняю тогда.
У тебя профильной вышки нет и вовсе вышки нет?
Нука безопасники, поясните мне за такую хуиту как Check point. Годнота? Собираюсь обмазатся такими в конторе.
Чекпойнт (в одно слово, кста) довольно годен. Юзал их железки в исполнении NGTP пару лет в ядре сети. Подписка дорогая.
ДЛП их не бери - шлачная.
ИПС на четверку с минусом.
Контроль приложений - норм, детектит почти всё.
АВ - хз, зависит от настроек.
Фаервол - охуенен, но помни о скрытых правилах, их надо допиливать.
Отчёты-графички всё на высоте.
хттпс переразбирать умеет, требует танцев с бубном, ресурсы хавает нормально
с АД интегрируется, чтобы не давать оверпаверных прав нужно покурить форум.
Но естественно зависит от целей твоих и от объекта защиты. На сферический офис в вакууме - отличное решение.
Из плюсов стоит упомянуть их мутки с российскими компаниями, рашкованские приложения-сервисы знает почти все.
Задавай свои ответы если чо.
> хттпс переразбирать умеет
Щито вы-таки подразумеваете? MitM?
И
Или, очепятка
Позволяет инспектировать хттпс посредством пересборки трафика. У юзеров внутри офиса устанавливается сертификат чекпойнта, железка терминирует хттпс на себе смотря внутрь трафика.
И - это ответ.
Санкционированный классический митм. А если от юзера течет уже шифрованный трафик, идете разбираться на месте?
Спасибо анон! На следующей неделе, буду крутить вертеть эти железяки.
>>Задавай свои ответы если чо.
Ага. Заебу тебя своими ответами.
Анон, а в плане уязвимости самой железки? Дырявая нет? Взломы были? Чота гуглил эту инфу, нихуя не нашел.
любое корпортав железо в той или иной сетпени дырявое
поэтому на него надо еще и поддержку покупать, чтобы и софт обновлять по мере выхода новых патчей, рц и т.д.
Настраивать надо нормально и риски будут минимальны. Я написал уже
>помни о скрытых правилах, их надо допиливать
Если нормально огородишь адм интерфейсы и ограничишь физический доступ к железке - все будет ок.
С Абсолют Банка есть кто?
Возможно ли безопасничку завести трактор?
Если оч хорошо знает линуха, криптопарашу, Си и что такое эксплойт, то запросто. Особенно если еще наши госты знаешь.
А зачем за бугром наши ГОСТы?
Посоны, неожиданно для себя вкатился в пентест недавно, реквестирую помощь. Что почитать? Перспективна ли эта параша в плане ЗАРПЛАТЫ и КАРЬЕРНОГО РОСТА?
По линии cybersecurity возможно.
По information security вероятность ниже на хер им такие орлы подментованные не нужны
Меня лично приглашали забугорные конторы, но в страны хуже рашки.
Какой пентест-то? Чо ломаешь? QSA какое-нибудь проводишь?
Короче, назови профиль, я кину ссылок на книжки.
например, куда какие компании приглашали?
В тай, в датацентр крупного онлайн ритейлера, sdn'ы ибашить. Но там техдепартамент на две трети с постсоветского пространства. Звали знакомые, сам трактора не искал.
Я уже полгода раздумываю, и вряд ли решусь.
В Тааай,.. А мог бы и скататься на пару лет.
Я тут (в небольшой европейской стране) встретил безопасника, который занимается расковыриванием вирусни и прочей виндовой малвари в одной антивирусной компании. Пиво попили, суши поели. Он из регионов, участвовал время от времени в security contest'ах, capture the flag, и прочих security конкурсах. Где-то что-то выиграл, компания-организатор его пригласила работать, и с семьёй перевезла в головной офис.
Я тут (в небольшой европейской стране) встретил безопасника, который занимается расковыриванием вирусни и прочей виндовой малвари в одной антивирусной компании. Пиво попили, суши поели. Он из регионов, участвовал время от времени в security contest'ах, capture the flag, и прочих security конкурсах. Где-то что-то выиграл, компания-организатор его пригласила работать, и с семьёй перевезла в головной офис.
Ну как бы чтобы их ломать, кек.
Начни с искусства экслойта Эрриксоновского.
Ктож тебя из страны выпустит с такими знаниями.
Со второй секреткой улетал во всякие Тайланды. А так-то всю мякоту и с 3-ей достать можно по-хорошему.
Работаю, все как ты описал в одной из топ ИБ компаний в РФ
PT? DS? GIB?
Пентестер ИТТ. Задавайте ваши ответы.
Тест только на тех.уязвимости или на соц.инжир тоже?
Какой город, опыт/стаж, сертификации?
Пока толком сам еще не знаю, личинка старший курс студентоты, только-только устроился на работу, но пока еще не приступил. Сказали, ТЕСТИРОВАТЬ БАНКОВСКИЕ ПРИЛОЖЕНИЯ, но фиг знает, как оно на самом деле, это довольно общо.
Спасибо, посмотрю.
Каково оно? Сколько платят? Интересно работать?
СИ редко бывает, непопулярно у заказчиков. ДС-2. Стаж сложно посчитать, около трех-четырех лет. Сертификатов не имею, но они и не нужны в России, разве что как имиджевая бумажка перед заказчиком, но при трудоустройстве это ни на что не влияет.
Работать интересно, тк довольно долго в этой теме, зп не озвучу, но суммарно доходов набирается на 90-110к в месяц.
Вот скажи, есть ли по-твоему возможность увеличить твои доходы вдвое?
Просто я бумажный иб-тигр с зп чуть больше твоей. Подумываю о том чтобы плотнее пентестами заняться и профиль сменить, потому как перспектив сильного повышения зп для себя не вижу.
PT
Хотя не забывай, что есть еще некоторые компаний это Kaspersky lab, Эшелон, InfoWatch, Digital Security, Solar Security, Wallarm, PENTESTIT, hlsec
Топ 5 выделил бы так
Kaspersky lab
PT
Dsec
hlsec
Wallarm
Из DSec'a?!
Моя ставка: будешь asv сканирования делать
Анус принят
Котаны, я тут НИУ МЭИ в предыдущем треде обвинял, что одна организационка и мало технической части.
Зато организационка збс какая, по-идее очникам вообще заебись должно быть, там времени больше на всю ИБ-малафью.
Они еще и с топовыми ИБ инстами всячески конкурируют.
Long live енергетик из плана ГоЭлРо
Збс когда учителя вояки или с крутых компаний, вот.
Зато организационка збс какая, по-идее очникам вообще заебись должно быть, там времени больше на всю ИБ-малафью.
Они еще и с топовыми ИБ инстами всячески конкурируют.
Long live енергетик из плана ГоЭлРо
Збс когда учителя вояки или с крутых компаний, вот.
90-110к - это потолок профессии? Или ты что-то около мидл программиста сейчас по званию?
Дополню списочек
incsecurity.ru
Как пришел в пентест? Что по деньгам?
Ранее двигался работал в инторнетах в 2006-2011, так что OWASP-10 постиг в те времена, профильное образование по Иб, есть опыт в коммерческих структурах, внеднял ДБО в банке.
Устроился из-за переезда в ДС2, до этого не работал пару лет, ибо сычевал, тратил накопленное. По деньгам печально, ибо за идею работаю... %У меня не совсем пентест, но экплойтинг присутствует в 80% времени, чем я занимаюсь%, пришел за опытом, чтобы потом перевалить заграницу, направление таки перспективное...
>СИ редко бывает, непопулярно у заказчиков. ДС-2.
Awareness программ толком нет ни у кого, потому и не популярна. Кому захочется, чтобы его поимели за его же деньги.
Раз тред по ИБ, буду пилить свой порос по теме.
Сижу на hh.ru, вышка "КЗОИ - Комплексная защита объектов информатизации", ищу работу по своем уровню знаний. Всё как всегда, теории дохуя(ну не прям, но нормально), практики нихуя, такой кондовой, на нормальной работе(дома не считается, дикая апатия на данный момент). Разослал почти с 30-тник вакансий, на нескольких отказали, на других молчат, основной регион поиска - ДС, в области хуй да нихуя, вообще нихуя.
Как быть? Как искать? Половину или чуть больше херни что пишут в требованиях, я не знаю, а порой и вообще, прибываю в состоянии шока от прочитанного за то что дают(з\п). Вариант ли вообще найти работу по ИБ на данный момент, бывшему днище-студенту отмотавшему годовой срок в ссаной армии и, изменится вероятность успешного поиска вакансий если заучить часть тех требований что хотят в вакансиях? Порой мне кажется что домоседством такие знания или не получить, или получить можно, но в достаточно скудном объёме, потому как живое общение с прокаченными спецами куда лучше. Анон, поясни, а то я от бзсходности сделаю себе сэппуку
> что хотят
?
Пардон, привожу примеры:
опыт использования и администрирования Linux;
опыт использования и администрирования Windows Server;
опыт администрирования Active Directory;
Желательно понимание механизмов обеспечения безопасности решений портфелей основных ИТ-вендоров (Microsoft, Oracle, Cisco, SAP);
Стаж в области работ по информационной безопасности не менее 1 года;
Опыт работы со StoneGate FW/VPN/IPS или АПКШ «Континент», рассмотрим также выпускников ВУЗов, закончивших аналогичные курсы;
Опыт участия в аттестации объектов информатизации, оценке соответствия требованиям 152-ФЗ и/или СТО БР ИББС – желательно;
Навыки работы с UNIX;
Понимание основ взаимодействия ПО (например, распространенные способы реализации API)нание основ процесса разработки ПО (Этапы, роли), понимание роли аналитика и процесса разработки требований к ПО
Ну, что-то в таком плане.
А в резюме что пишешь? Пиши что разберешься как нехуй делать.
Тренд на джобсы, работы пошел, пошли предложения по телефону, почте.
Набирает оборот по росту ЗП - http://academy.ehacking.net/blog/64448/shortage-of-it-security-workforce-expected-to-rise
Что могут спросить про PKI на собеседовании?
Да что угодно могут, зависит от упоротости собеседующего и вакансии на которую идёшь.
Я бы общими концепциями ограничился. Открытый закрытый ключ и подобное. Ну максимум асимметричная криптография.
Знаю есть симметричное AES, и ассиметричное RSA. AES - один ключ, который должны хранить обе стороны; RSA-открытый, по которому расшифровать нельзя, и закрытый, который нужно хранить.
Сам алгоритм же меня спрашивать не будут? Что ещё, к примеру?
Бро, я не знаю куда ты беседовать идёшь. И какой объём криптуха занимает в той вакансии.
Если бы я собеседовал ибшника для которого криптуха побочна (настроить криптопро, уметь заказать нужный ключ в УЦ и т.п.) то я был бы удовлетворён если бы он мог "на пальцах" объяснить принципы функционирования инфраструктуры открытого ключа. Ну максимум пример практической реализации протокола описать, тоже "на пальцах"
По телефону сказали, что надо знать "немного сети и безопасность". Спасибо, бро, в любом случае.
Дополню списочек
deqsec
ONsec
Кто пояснит за работу во фстэк\ фсб. Требования зп и тд.
Говорят, пиздец, будешь кучу лет въебывать за 50к, да еще и форму допуска иметь.
Не выездной, ксивой особо не помохаешь, не приветсвуется, но вопросы можно решать на разных уровнях. ЗП отдельно падает зависит от роспила и координаций отдела, но работа 24/7/365 дней в году, внезапные сборы в любой час времени, увлекательно, но просто так не выйти из этого круга, так что есть плюсы и минусы...
про фстэк:
зп довольно низкие. все плюшки начинают приходить с выслугой лет, как и на любой госслужбе.
есть регулярные конкурсы на замещение вакантных должностей, там же можешь прочесть про требования. служба гражданская.
до распилов/заносов/откатов надо дорасти. максимум в ресторан сводят после успешной движухи.
нас прямо на защите дипломов зазывали на службу.
Платиновый вопрос безопасничкам: будь у вас возможность укатиться в программисты, променяли бы вы свою карьеру безопасника на программирование?
Неа. Соблазн возникал, даже работал прогером полгода, но нет. Не моё.
Если веб, то да, там и безопасность и сети и атаки и експлоиты.
Весело там и денег больше, чем у среднестатистических безопасничков.
А если С/С++ , то это надо именно программистом быть с головой на плечах(legacy, методики, оптимизация, сложные проекты, не всегда логичный код - пока поймешь логику состаришься), не пошел бы.
Вкатываюсь в тред.
Специалист по защЫте информации в одной гос конторе. Зарплата хуй, бумажного счастья до жопы.
Нихуя не понимаю что мне в моем мухосранске с этим опытом делать (опыт бумажного движения, опыт работы с СКЗИ и т.п.)?
Есть тут ТРУ безопасники с норм окладами - которые могут мне пояснить - к чему идти в специальности, в какую сторону смотреть.
Что учить и что востребовано в специальности?
А то стажа уже блядь 4 года в должности, а я как хуйло, и что делать не знаю.
Прошу советов мудрых?
пиздуй продавцом в евросеть - тоже совет, благодарю заранее
см. тут:
Приветствую, анонимусы!
На текущей работе у меня практически никакого развития и очень туманные перспективы. Впал в печаль от осознания собственной никчемности, но это от части, по наитию.
Работал в небольшом стартапе, занимался наполнением базы организаций, поиском рекламодателей для сайта, поиском и организацией работы удаленных контент-специалистов, взаимодействовал с программистом и дизайнером для осуществление всяких фишек и нововведений на проекте.
Потом призвали в армию, где получил специальность механика засекречивающей аппаратуры связи, затем нес боевые дежурства, т.е. работал по полученной специальности.
По увольнению, начал работать в одной конторе под Министерством обороны, занимаюсь всякими бумажками во славу государственного оборонного заказа, но по факту работы немного и навыков получаю минимум. Перспективы размыты, тем более, что это такая сфера, где во многом решают связи, в т.ч. родственные, которых у меня нет. По сей день - это моя работа.
Образование - организация и технология защиты информации. Город - Москва.
Анон, чтобы ты предпринял на моем месте? Может, со стороны виднее. У меня сейчас такое настроение, что нет никакой уверенности в себе, тотальное самоуничижение.
Почему-то лелею надежды работать по полученной в ВУЗе специальности, хотя мне уже 25 почти и специалист в этой сфере из меня - как из говна пуля. Но есть диплом и военник с прикольной специальностью.)))0 Может еще не поздно или ловить нехуй?
На текущей работе у меня практически никакого развития и очень туманные перспективы. Впал в печаль от осознания собственной никчемности, но это от части, по наитию.
Работал в небольшом стартапе, занимался наполнением базы организаций, поиском рекламодателей для сайта, поиском и организацией работы удаленных контент-специалистов, взаимодействовал с программистом и дизайнером для осуществление всяких фишек и нововведений на проекте.
Потом призвали в армию, где получил специальность механика засекречивающей аппаратуры связи, затем нес боевые дежурства, т.е. работал по полученной специальности.
По увольнению, начал работать в одной конторе под Министерством обороны, занимаюсь всякими бумажками во славу государственного оборонного заказа, но по факту работы немного и навыков получаю минимум. Перспективы размыты, тем более, что это такая сфера, где во многом решают связи, в т.ч. родственные, которых у меня нет. По сей день - это моя работа.
Образование - организация и технология защиты информации. Город - Москва.
Анон, чтобы ты предпринял на моем месте? Может, со стороны виднее. У меня сейчас такое настроение, что нет никакой уверенности в себе, тотальное самоуничижение.
Почему-то лелею надежды работать по полученной в ВУЗе специальности, хотя мне уже 25 почти и специалист в этой сфере из меня - как из говна пуля. Но есть диплом и военник с прикольной специальностью.)))0 Может еще не поздно или ловить нехуй?
Есть фейк вк? Или не фейк, я бы потолковал с тобой. Если интересно - отпиши, возможно, тебе будет удобнее, если я сам оставлю свою страницу, а ты уже добавишься.
Я другой анон, но ситуация схожая. У тебя есть вакансия по этому делу?
Нет. Я антон этого поста
Есть тут успешнобоги спецы по ИБ на предприятии? Сегодня зашел к директору своей конторки и высказал мнение, что 3 года перекладывать бумажки как то уже не комильфо, на что он мне предложил разработать план по получению аттестации от ФСБ в плане лицензии по защите объектов информатизации (конторка занимается бумажными делами, для выхода на нормальных клиентов нужна эта лицензия).
Собственно в чем моя задача:
Узнать что вообще необходимо для получения такой лицензии, как её получать и где.
Как оборудовать помещение для аттестации, какие меры безопасности, какой софт ставить, как железо настраивать и какие примочки брать.
А теперь самая мякотка - я нихуя не спец по ИБ, а всего лишь студент 2 курса данной направленности.
Может подскажете куда и что копать?
Собственно в чем моя задача:
Узнать что вообще необходимо для получения такой лицензии, как её получать и где.
Как оборудовать помещение для аттестации, какие меры безопасности, какой софт ставить, как железо настраивать и какие примочки брать.
А теперь самая мякотка - я нихуя не спец по ИБ, а всего лишь студент 2 курса данной направленности.
Может подскажете куда и что копать?
Не понял что ты хочешь. Если хотите получить лицензии по технической защите информации, то это лицензия ФСТЭК. ФСБ занимается криптографией и выдает соответствующие лицензии, ФСТЭК - защитой информации в части гостайны и конфиденциалки (в том числе персоналки). Если хотите получать доход за счет проведения аттестационных испытаний выделенных помещений, то лицензия нужна ФСТЭК при этом не одна.
судя по уровню вопросов - тебе стоит побеседовать с представителями какого-нибудь консалтера, для начала.
движуха с лицензиями на крипту и тзки долгая и муторная.
Нам нужно для расширения списка клиентуры чтобы была лицензия, что мы умеем защищать информацию клиентскую в процессе нашей работы
Род деятельности какой?
Ищу сейчас работу, котоны. Глянул одну из вакансий и чёт приохуел с запросов:
В связи с расширением направления Software Security, компания «Сбербанк-Технологии» приглашает: Аналитика информационной безопасности приложений.
«Сбербанк-Технологии» - российская ИТ-компания, на 100% принадлежащая Сбербанку Компания «Сбербанк-Технологии» была создана в ноябре 2011 года для ведения внутрибанковских проектов в сфере IT, а впоследствии, оказание услуг сторонним заказчикам.
Обязанности:
Проведения ревью системной документации (системные требования, дизайн, системная архитектура) с точки зрения следования практикам безопасной разработки ПО (Security Development Lifecycle);
Идентификация рисков, потенциальных угроз, уязвимостей и вариантов их эксплуатаций для промышленных приложений и систем;
Участие в практиках code review, пен-тестов, моделирования угроз;
Автоматизация процессов идентификации и мониторинга устранения уязвимостей средствами статического и динамического анализа;
Выработка рекомендаций, консультирование проектных команд в рамках разработки требований и архитектуры в соответствии с практиками Software Security;
Разработка гайдлайнов безопасной разработки архитектуры и кодирования.
Требования:
Высшее техническое образование, 5 лет опыта в сфере информационных технологий, 3 года опыта в области информационной безопасности;
От 3х лет опыта разработки промышленных систем на платформах J2EE / .NET и знание соответствующих фреймворков (Spring, Hibernate, Struts, Log4j);
JEE API (JSP, JSF, EJB, JDBC, JPA, JAX-WS);
Опыт работы c промышленными СУБД: DB2, MS SQL, Oracle;
Знание XML, web-services, SQL (PLSQL);
Знание и опыт стандартов безопасности и соответствующих фреймворков (WS-Security, X.509, SAML. JAAS, LDAP, SSL, OpenSSO и др);
Знание и опыт разработки на C/C++ (gcc, clib, MFC);
Знакомство со скриптовыми языками: Perl / Python;
Знакомство с концепциями разработки мобильных приложений под iOS, Android;
Опыт проведения code review;
Системное мышление, аналитические способности;
Ответственность, ориентированность на результат;
Высокий уровень мотивации работать и профессионально развиваться в области Software Security.
Желательно:
Опыт работы с инструментарием: HP Foritfy, WebInspect, IBM AppScan, Mantra, OWASP ZAP, Wireshark, WebScarab, SQLMap, NMap, BurpSuite и др.;
Знакомство со стандартами Software Security (мин. PCI DSS, OWASP, CWE, CVSS).
В связи с расширением направления Software Security, компания «Сбербанк-Технологии» приглашает: Аналитика информационной безопасности приложений.
«Сбербанк-Технологии» - российская ИТ-компания, на 100% принадлежащая Сбербанку Компания «Сбербанк-Технологии» была создана в ноябре 2011 года для ведения внутрибанковских проектов в сфере IT, а впоследствии, оказание услуг сторонним заказчикам.
Обязанности:
Проведения ревью системной документации (системные требования, дизайн, системная архитектура) с точки зрения следования практикам безопасной разработки ПО (Security Development Lifecycle);
Идентификация рисков, потенциальных угроз, уязвимостей и вариантов их эксплуатаций для промышленных приложений и систем;
Участие в практиках code review, пен-тестов, моделирования угроз;
Автоматизация процессов идентификации и мониторинга устранения уязвимостей средствами статического и динамического анализа;
Выработка рекомендаций, консультирование проектных команд в рамках разработки требований и архитектуры в соответствии с практиками Software Security;
Разработка гайдлайнов безопасной разработки архитектуры и кодирования.
Требования:
Высшее техническое образование, 5 лет опыта в сфере информационных технологий, 3 года опыта в области информационной безопасности;
От 3х лет опыта разработки промышленных систем на платформах J2EE / .NET и знание соответствующих фреймворков (Spring, Hibernate, Struts, Log4j);
JEE API (JSP, JSF, EJB, JDBC, JPA, JAX-WS);
Опыт работы c промышленными СУБД: DB2, MS SQL, Oracle;
Знание XML, web-services, SQL (PLSQL);
Знание и опыт стандартов безопасности и соответствующих фреймворков (WS-Security, X.509, SAML. JAAS, LDAP, SSL, OpenSSO и др);
Знание и опыт разработки на C/C++ (gcc, clib, MFC);
Знакомство со скриптовыми языками: Perl / Python;
Знакомство с концепциями разработки мобильных приложений под iOS, Android;
Опыт проведения code review;
Системное мышление, аналитические способности;
Ответственность, ориентированность на результат;
Высокий уровень мотивации работать и профессионально развиваться в области Software Security.
Желательно:
Опыт работы с инструментарием: HP Foritfy, WebInspect, IBM AppScan, Mantra, OWASP ZAP, Wireshark, WebScarab, SQLMap, NMap, BurpSuite и др.;
Знакомство со стандартами Software Security (мин. PCI DSS, OWASP, CWE, CVSS).
Ну а че ты хочешь? Чтобы двигать sdlc нужен хороший бекграунд.
Ты как-бы понимаешь, что половина требований малость взаимопротивоположна?
Честно говоря, нет.
Есть требования не а тему, но они мягко сформулированы.
Плюс не забывай про традицию завышать требования при наборе.
Да и ищут они человека для обеспечения безопасности ынтырпрайзной разработки, это серьёзная позиция, требует знаний и безопасности и разработки. Отсюда и требования: жаба, оракл, методология, ИБ средства и пентестерские тулзы.
Расти, анон.
Федеральный закон от 04.05.2011 N 99 для начала. Как определишься с видами лицензий, которые вам нужны ищешь требования лицензиатов.
Опана, безопаснички. Я слыхал что вы ближе всех к хакерам, а ну подгоните FAQ\гайдов по хакингу. Но джоукс. Мне реально интересно
Что ломать собрался? мохнатый сейф?
Доска была для таких, посвящённая взломам.
С таким набором знаний и умений ЗП в районе овер 240к должна быть, сбер такое не потянет, лол
Из списка чек 70%, кроме отдельных фреимфорков и разработки на крестах, мобильных платформах
В сбертехе всё ок с зп.
из списка чек около 50%
проприетарных анализаторов упоминаемых никогда не щупал. отношение к мобильной разработке как на пике.
Вопрос украинцам. Как обстоят дела в миллионниках? Хочу пойти учиться в ХНУРЭ на всем понятно какую специальность. Какая средняя зарплата по специальности? Студент-выпускник с голоду не умрёт? Или всё же стоит учить джаву и ловить клиентов на апворке? С самого детства копаюсь в компьютерах, умею в программирование и учусь админить сервера. На безопасника хочу учиться, потому что они ближе всех к хакерам. Вопрос только в том, потратить ли мне пять лет на универ, или просто читать книжки по теме?
От желаемой карьеры зависит. Если хочешь быть пиджаком и заниматься информационной безопасностью, то только вуз. А если хочешь кибербезопасностью заниматься или белым хакером быть, то вуз не так важен, главное скилы.
как по мне, так вышка лишней не бывает
Анончики, есть в треде пентестеры?
По некоторым причинам дропаю вузик (переезжаю), да и там не давали практических знаний, хочу заниматься именно прикладной кибербезопасностью, белые хацкеры все такое.
Посоветуйте где знания черпать, опыта набираться, олсо поясните за карьеру, можно ли без вышки вкатиться в сферу?
Сам пока смотрю туториалы мамкиных хакеров с ютуба и курсы с рутрекер
По некоторым причинам дропаю вузик (переезжаю), да и там не давали практических знаний, хочу заниматься именно прикладной кибербезопасностью, белые хацкеры все такое.
Посоветуйте где знания черпать, опыта набираться, олсо поясните за карьеру, можно ли без вышки вкатиться в сферу?
Сам пока смотрю туториалы мамкиных хакеров с ютуба и курсы с рутрекер
Пентестеры в треде есть, так что сразу к делу: даете ли вы гарантии на свои услуги и какие?
Скилл и опыт решают, ВУЗЫ и прочие, мало что решают, но по опыту много ребят окончили матмехи и прочие, хотя есть уникомы, которы даже школу не окончили.
Направленностей в пентесте много, специализируюсь на web app security application, так что мой списко таков
куча мануалов, попыток настроек веб-серверов, поднятие более 70 различных cms, code review (java, js, php, c#)
Если в этом направление двигаться начал бы
https://pentesterlab.com/bootcamp
Гарантий никаких нет, либо есть уязвимость, которую можно заксплоить, все зависит от цели и задачи заказчика, показать уязвимые места под другим углом.
половина упражнений за бабло.
В общем, котаны, рынок труда меня так расстраивает, что я решил сделать шаг в сторону. Сейчас на пути на трудоустройство в управление К. Ни у кого знакомых работающих там нет?
ВВК-то пройдёшь? При текущих сокращениях в систему попасть не просто. Нужно будет найти людей которые за тебя поручатся.
Да и дела все интересные в московском главке, в территориальных в основном цопе и стснпи нелегальные.
Зато совушка у бстм на эмблемке прикольная.
У меня ток по зрению не очень, но военник с старшим сержантом в нем имеется. И собственно про ДС и говорю.
Посоны из ДЦ2! Я знаю, что нас здесь больше четырёх.
Как насчёт раковой сходки безопасников-двощеров? Отпишите если подобная тема интересна.
Как насчёт раковой сходки безопасников-двощеров? Отпишите если подобная тема интересна.
Анон, где в москве можно окончить вторую вышку/магистратуру не особо напрягаясь по вашей спецухе?
МГУПИ, МТУСИ ищи подобные шараги
Каков твой замысел и для чего тебе это? Обычно сходочки проходят в рамках Chaos Constructions http://chaosconstructions.ru , либо Russian Defcon Group DC7812
Они еще проходят? Помню в 2008-м там случайно оказался. Такая лампота была...
CC - проходит, но влиться в тусу сложно, т.к. все друг друга знают
срисовать всех и поставить на учёт, спровоцировать на крайм и тому подобное
На самом деле - пообщаться, познакомиться, приобрести новые связи, обменяться опытом.
не тонем
Собираюсь закатиться в ИБ уметь ломать сети и остальное говнецо. С чего начать? Что учить?
Мимо_практически_инженер_авиационщик.
Тред почитать. С профилем определиться. И начинать ИБашить без остановки.
Прочитал, плохо, что с точным названием профиля определиться не могу, ибо даже не совсем представляю, как это называется.
Знаю чуть-чуть криптографии. Вот в общем и все. Хотелось бы научиться защищать сети от различных атак (ну и попутно научиться проникать в эти сети, ибо без этого не стать нормальным специалистом). Вот и все в общем. Если знаешь, что это за направление - то подскажи, пожалуйста.
Уточни, какие уровни OSI тебя сильнее всего интересуют? Кстати, некоторые безопасники в шутку добавляют к ней нулевой и восьмой уровень.
Прикладной, транспортный и сетевой. А так конечно было бы неплохо попробовать изучить их все.
http://www.amanhardikar.com/mindmaps/Infrastructure.html
покури майндмапы с этого сайта, там много полезных ссылок
Большое спасибо, няша.
Схороните тред
Народ, на связи первый курс. Специальность информационно аналитические системы безопасности. В моем мухосранске специальность новая - кто че по нее знает и что мне делать через 5 лет нада будет
Аноны. Подскажите зеленому. Сейчас заканчиваю школу, есть два варианта: 1) Вуз по специальности программная инжинерия 2) по специальности ИБ. Как по зарплатам в ИБ, все хуево?(Тырнеты выдают, что зп по 80–90к, но хз правда или нет. Как по востребованности?)
ты выучись для начала, а там разберёшься. не проябывай пары, читай cissp и стрк на ночь.
если душа к прогаммированию лежит - ступай на инженерию
если ты не прогер - я бы рекомендовал иб
Анон, насколько котируется проф. переподготовка в сфере ИБ?
Первое высшее гуманитарное, сейчас разработчик в приближенной к сетям и безопасности области, хотелось бы и дальше здесь работать.
Первое высшее гуманитарное, сейчас разработчик в приближенной к сетям и безопасности области, хотелось бы и дальше здесь работать.
А то есть всякие от Информзащиты, Эшелона, много красивых слов на их сайтах.
–––––я
Спасибо большое:)
Спасибо большое:)
Переподготовка или вышка по ИБ нужна в следующих случаях:
контора собирается получать лицензию по ТЗКИ или подобным экшенам;
контора сама желает провести весь цикл работ по защите ИСПДн;
контора сама собирается аттестовывать свои ИС или подобная хуйня.
Если ты не собираешься ИБашить или идти в контору-разработчика криптухи или СЗИ - то переподготовка тебе не нужна.
Сап.
Учусь в ДС в Даунке (МГТУ), специальность "Компьютерная безопасность. Математические методы защиты информации" на втором курсе. Поступал вместе с одноклассником, который рассказывал прохладные про ФСБ, погоны, ксивы и бабло лопатами (такой-то манямирок, лол). Вуз – та еще шарага, гонор, БРЕНД, ностальгия по совку.
Нас пытаются дрочить матаном и криптой, но матан хреново понимаю, его слишком много, приходится списывать, и желания потом сидеть пилить ГОСТы с RSA'ми нет. Ощущаю себя человеком, бездумно надрачивающим на диплом (воннаби красный).
Во что советовали б вкачивать скилы, чтобы можно было курсе на 4 устроиться на работу в ИБ?
Что еще остается делать, если к прогерству и CS таланта нет?
Как студентоте вкатиться в правовое обеспечение ИБ (будет 1 семестр в конце 5 курса)? Какие подводные камни?
Алсо, планирую поступить на военку ради погон летяги, медкомиссию 50% пройду (если зрение сильно не упало).
Учусь в ДС в Даунке (МГТУ), специальность "Компьютерная безопасность. Математические методы защиты информации" на втором курсе. Поступал вместе с одноклассником, который рассказывал прохладные про ФСБ, погоны, ксивы и бабло лопатами (такой-то манямирок, лол). Вуз – та еще шарага, гонор, БРЕНД, ностальгия по совку.
Нас пытаются дрочить матаном и криптой, но матан хреново понимаю, его слишком много, приходится списывать, и желания потом сидеть пилить ГОСТы с RSA'ми нет. Ощущаю себя человеком, бездумно надрачивающим на диплом (воннаби красный).
Во что советовали б вкачивать скилы, чтобы можно было курсе на 4 устроиться на работу в ИБ?
Что еще остается делать, если к прогерству и CS таланта нет?
Как студентоте вкатиться в правовое обеспечение ИБ (будет 1 семестр в конце 5 курса)? Какие подводные камни?
Алсо, планирую поступить на военку ради погон летяги, медкомиссию 50% пройду (если зрение сильно не упало).
>Если ты не собираешься ИБашить или идти в контору-разработчика криптухи или СЗИ - то переподготовка тебе не нужна.
Я проходил собеседование в дочернюю компанию Информзащиты (не взяли, но не суть, тема-то интересна), они как раз пилят какой-то продукт, связанный с криптографией и защитой. В таком случае пригодилась бы? Или если уже по диплому не инженер, то можно нахуй идти со своими переподготовками?
ЗДРАВСТВУЙТЕ, К СОЖАЛЕНИЮ НА ДОЛЖНОСТЬ ПОЛОМОЯ У НАС СЕЙЧАС НЕТУ ВАКАНСИЙ, НО МЫ ЗАМЕТИЛИ, ЧТО У ВАС ЕСТЬ ДИПЛОМ ПО ИБ И МЫ ХОТИМ ВАС ВЗЯТЬ СПЕЦИАЛИСТОМ ПО ЗАЩИТЕ ИНФОРМАЦИИ, ВАМ ЭТО ИНТЕРЕСНО?
@
А ЧТО МНЕ НУЖНО БУДЕТ ДЕЛАТЬ?
@
МЕНЯТЬ КАРТРИДЖИ, ПОДКЛЮЧАТЬ ИНТЕРНЕТ, ЕСЛИ ОН НЕ БУДЕТ РАБОТАТЬ
Сап, аноны. Летом закончил вузик по организации и технологии ЗИ. Недавно устраивался в компанию, которая работает по всей России, но на другую вакансию - по специальности работать не хотел. Однако жрать хочется и согласился. Собеседование проходило примерно, как вверху. В компании много платят и работает она по всей стране даже в Крыму есть отделение хе-хе. С другой стороны по защите информации там никто не работает, ИБ там и не пахнет, а из тех. поддержки там только один мужик, который половину времени вообще другой работой занимается. Бегать подключать интернеты и менять батарейки в мышках это конечно круто, но мне совесть не позволит положить хер на ИБ. С чего начинать, аноны? Чем обмазаться? Как построить ИБ с нуля?
@
А ЧТО МНЕ НУЖНО БУДЕТ ДЕЛАТЬ?
@
МЕНЯТЬ КАРТРИДЖИ, ПОДКЛЮЧАТЬ ИНТЕРНЕТ, ЕСЛИ ОН НЕ БУДЕТ РАБОТАТЬ
Сап, аноны. Летом закончил вузик по организации и технологии ЗИ. Недавно устраивался в компанию, которая работает по всей России, но на другую вакансию - по специальности работать не хотел. Однако жрать хочется и согласился. Собеседование проходило примерно, как вверху. В компании много платят и работает она по всей стране даже в Крыму есть отделение хе-хе. С другой стороны по защите информации там никто не работает, ИБ там и не пахнет, а из тех. поддержки там только один мужик, который половину времени вообще другой работой занимается. Бегать подключать интернеты и менять батарейки в мышках это конечно круто, но мне совесть не позволит положить хер на ИБ. С чего начинать, аноны? Чем обмазаться? Как построить ИБ с нуля?
>положить хер на ИБ
А что вообще представляет из себя эта "Информационная Безопасность"?
Мимоадмин из ИТ-треда
Генерировать пароли типа КОНЬ ВЫПИЛ БУМАЖКУ
Проебался с разметкой - КОНЬ ВЫПИЛ БУМАЖКУ.
У меня на прошлой работе безопасники постоянно выдавали охуительные пароли для одной проги. Выдавали карточки для пропуска через турникет на входе. За учетными записями следили кстати именно они, а не админ. Вся возня с сертификатами и ЭЦП так же висела на них.
VipNet штоле сука?
>VipNet
Да-да, он самый стоял на всех пк.
>прохладные про ФСБ, погоны, ксивы и бабло лопатами
вот именно что прохладные, даже если попадёшь в систему, бабла лопатами будешь долго ждать
>поступить на военку
главное контракт не подпиши - а то на ЗГТ служба невесёлая
>Во что советовали б вкачивать скилы
>если к прогерству и CS таланта нет
научись админить, лишним по-любому не будет. возьми и освой линуха, у Эви Немет годный учебник, например. начни делать задания оттуда - втянешься.
>Как студентоте вкатиться в правовое обеспечение ИБ (будет 1 семестр в конце 5 курса)
там вроде организационно-правовые методы обеспечения по плану, предмет не очень годный. Самый простой вариант вкатиться - устроиться сингл-ибешником куда-нибудь. в таком случае ты от правового обеспечения никуда не убежишь.
>В таком случае пригодилась бы?
Пригодиться она тебе может только в том случае, если в ДИ или другой внутренней нормативке зафиксированы квалификационные требования к должности. Тогда без профильной_вышки/переподготовки тебя на работу не примут.
В случае получения конторой лицензии - ты им не поможешь, так как помимо требований к подготовке есть требования по подтверждённому опыту работы.
>Как построить ИБ с нуля?
читай ГОСТ "система менеджмента информационной безопасности"
>А что вообще представляет из себя эта "Информационная Безопасность"
состояние защищённости информационных активов. и меры позволяющие его достичь
>Пригодиться она тебе может только в том случае, если в ДИ или другой внутренней нормативке зафиксированы квалификационные требования к должности. Тогда без профильной_вышки/переподготовки тебя на работу не примут.
Ок, а в твоей организации в нормативке указаны такие требования? Может, в курсе вышка == гуманитарная + переподготовка в ИБ?
На прошлой работе были требования в ДИ внесены.
На спеца - техническая вышка и стаж в ит от 2 лет.
На ведущего спеца - профильная вышка или переподготовка и стаж в иб от 2 лет.
Спасибо, бро!
Советую смазывать лыжи либо в МИФИ, либо в Академию. Даунка реальное днище, хорошо, что ты это уже на втором курсе осознал.
Теперь по теме. Вечер в хату, поцоны. Вкатился после 2-х летнего перерыва в ИБ одного полунедобанка. Надо бы поднаверстать по 152 фз, а то с момента, как я последний раз с нуля поднимал эту парашу уже лет 5 точно прошло. Какие тренды нынче? Кого почитать из обзорщиков этой темы, кроме пидора-Лукацкого?
>Алсо, планирую поступить на военку ради погон летяги
На военку стоит поступать только потому, что тебя не возьмут мотать срочку рядовым, а лейтенантом ты в войсках нахуй никому не нужен.
Мимо до сих пор бомбит от срочки
Я вообще 2 года оттопал и к 32-м годам как-то похуй. Иногда думается, что на баб, бухло и прочие сомнительные приключения времени куда больше ушло, как и здоровья.
умение грамотно взаимодействовать с бабами и их ебать- полезно.
умение грамотно пить бухло в компании- полезно.
проеб 2 лет срачной службы- уровня червя пидора занятие.
а что в итоге к 32 имеешь?
Почитай брошюрку Ксении Шадуровой.
И оригиналы всех документов.
Еще у Сергея Борисова заметки ничего попадаются по теме
>либо в Академию
ДА ПОШЛА НАХУЙ ЭТА АКАДЕМИЯ, БЛЯТЬ, НАХУЙ, СУКА, ПРЯМО В ЖОПУ, БЛЯТЬ, ПИДОРЫ ЕБУЧИЕ
Фух, выговорился. Да, не ходи туда, просто не ходи.
Мимо_практически_инженер_авиационщик
> умение грамотно взаимодействовать с бабами и их ебать- полезно.
Забываешь про побочки. Вроде ебли твоего мозга.
> умение грамотно пить бухло в компании- полезно.
Умение грамотно не пить на пьянках куда полезнее.
> проеб 2 лет срачной службы- уровня червя пидора занятие.
Тебе виднее, конечно.
> а что в итоге к 32 имеешь?
Да все, как у всех. Профильная вышка. Второй брак. Ребенок от первого. Форд не фокус, ну и 10 лет стажа в ИБ почти во всех областях, кроме пентеста и реверса. Денег в целом хватает. Ну и вся жизнь еще вперпеди. мне чет кажется, тебе лет 20 судя по аргументации максимум
> Почитай брошюрку Ксении Шадуровой.
Ты вот это серьезно сейчас? Просто только сегодня проскроллил ее блог на securitylab - какая-то мурмурмур. Вода и ни слова по делу.
> И оригиналы всех документов.
Ну эт святое. Вопрос больше касался актуальным подзаконным актам. Вообще я так понимаю, ФСБ и ФСТЭК таки все больше дистанцируются от темы с ПДн, и если кого и ебут, то гос органы.
> Еще у Сергея Борисова заметки ничего попадаются по теме
Гляну, спасибо.
Реалии жизни, бро, к сожалению, такие, что в ИБ в России рулят люди именно из Конторы, бывшие зачастую, но какие бывают бывшие, мы знаем. Да и профильное образование по той же криптопараше одно из лучших в мире.
10 лет стажа- прилично.
согласен ли ты, что иб- это не более, чем обеспечение для более крутых посонов?
>Ты вот это серьезно
я про книгу, а не про блог. книга норм, чтобы вспомнить основы.
ссылка на скачивание в подвале её блога
Да 99% офисной параши включая ойтишников - обслуга мажоритарных акционеров. Так что да, согласен. Ну и что надо было лучше в археологи или там палеонтологи идти, а не на сиськи Джоли в Хакерах хуй натачивать.
Поведай свою историю успеха.
Диванон же, бро. Скажем так. Знаю не по-наслышке о внутренних кухнях Бауманки и МИФИ, т.к. учился и там и там. Если совсем глубоко копать и то и то параша в плане знаний в целом. Разве что в МИФИ они один хуй свежее, даже матан с физикой. Но вот в плане преподов-практиков, связей и дальнейшей перспективы карьеры стоит выбрать МИФИ. Хотя бы потому, что 90% выпускников Б и 43 кафедры вечерников реально работают по специальности. В Бауманке же процент диаметрально противоположный.
Но вообще по-хорошему лучший выбор в России - Академия, без вариантов.
Из Бауманки можно в Вулкан, Эшелон, Спецремонт, Сбербанк, ФСТЭК, потом еще куда-то перекатиться.
Из МИФИ список пошире будет. Но вопрос в другом. У меня друг есть, еще с физматлицея. Как раз на ИУ8 учился. Спустя столько лет работает сраным сисадмином, хоть и в достаточно крупной конторе. Говорил с ним как-то на эту тему, так он и сказал, что большинство с его потока пошли кем угодно, но только не по профилю. Спрашивается, чему их там 6 лет учили.
Ну хууй знает. Я разработчик в компании-лидере своей отрасли. С дипломом экономиста. Вокруг меня – сплошные выпускники ИУ7/8/Мехмата. А таких контор в ДС – дохуя, а не-лидеров-отрасли – просто дохуища. Наоборот выпускников Бауманок всяких должно не хватать.
я про военку же, ну!
Учился в одном из топ-ВУЗов ДС, но тут в родном районе ДС начали тянуть первые локалки. Ну я и подписался под это дело. Начиная с монтажника. Стал поднимать где-то под 2 Килобакса. На начало нулевых это было очень приличной суммой. Но само собой на учебу стал регулярно забивать. В итоге встал вопрос об академе, ну а там я чет совсем перекрылся двощей же тогда не было, а то бы захикковал и решил "обновить обстановку, подумать о жизни и все дела" ну и утопал в армию. Т.к. пошел добровольцем, мне военком даже предлагал часть на выбор. В общем 2 года тусовался в связи. На второй год было настолько скучно, что достал всяких Демидовичей и прочую макулатуру, ну и начал их прорешивать по-новой, да читать вдумчиво, благо, времени было вагон. Ну еще Ксакеп по почте выписывал через предков, он тогда еще не зашкварился до конца. Кстати, охуенный скил в армии прокачал - слепую печать. Дембельнулся в итоге старшим сержантом.
Ну а после восстановился в другом топ-ВУЗе ДС с потерей курса, но на вечерке. Днем же начал работать по специальности с самых низов. Ну и заверте...
Суп, кто как объёбывал проверки? Или всё делали как написано в нормативках, и даже анус не сжали после этого?
На тему чего именно проверки?
любых регуляторов
Проверка проверке рознь. Подгоняешь нормативку, молишься, постишься, учишься делать грустносерьезный ебальник. Мне доводилось только от мегарегулятора проверки проходить самостоятельно, они серьёзные.
В каком плане объебывал? Если совсем васяны пришли проверять, то они сами объебутся по полной, если кто по-серьезнее, то с "грустносерьезным" ебалом мотаешь на ус все недочеты и устраняешь их к повторной проверке. К нормативке иногда можно немного творчески подойти, иногда нет.
ты хоть похвастайся по результатам
Поцоны, есть у кого конспект 382-п ЦБ? А то у меня уже глаза и мозги ебутся, а я даже до середины еще не дошел...
Конспект в приложении, там где оценка соответствия расписана
Хочу вкатиться в пентест. Есть много времени, огромное желание и мотивация. Вышки нет и не собираюсьучусь на не профильной, раз в полгода тупо заношу деньги в деканат.
Из навыков - почти нихуя, могу только в джавуработаю в говно-конторке джуном.
Реквестирую литературу, курсы, сертификаты, все что угодно, что будет полезномогу в инглиш, так что кидайте любые ресурсы.
Также реквестирую кул стори, перспективу работы в Дсах, ну и тоноксти самой работы.
П.с. стоит ли потраченного времени этот ресурс: https://www.cybrary.it/courses/ ?
Из навыков - почти нихуя, могу только в джавуработаю в говно-конторке джуном.
Реквестирую литературу, курсы, сертификаты, все что угодно, что будет полезномогу в инглиш, так что кидайте любые ресурсы.
Также реквестирую кул стори, перспективу работы в Дсах, ну и тоноксти самой работы.
П.с. стоит ли потраченного времени этот ресурс: https://www.cybrary.it/courses/ ?
http://theasder.github.io/learning/2016/01/29/the-best-hacking-books.html
Держи список для первоначальной разминки. Рекомендую по хардкору начать с Эриксона искусство эксплойта, но обязательно второе издание
А базу надо наработать?Там веб языки и тд,или можно сразу читать?
мимопроходил
Стоит ли идти джуном-вирусным аналитиком? Или нахуй?
Мимо_студент.
Мимо_студент.
Стоит, лучше, чем с бумажками потом возиться.
Спасибо, няша
почему шарага :с
мимо думал туда в этом году, лол
Потому что кроме громкого имени и понтов там больше ничего нет. При том давным давно. Ты на условных удаленных курсах MIT'a куда больше знаний получишь.
Кстати, если кто не знает, MIT эти самые курсы выложил:
http://www.securitylab.ru/blog/personal/80na20/276426.php
Но мы живём в стране корочек, а в ИБ, как в сфере в большинстве случаев связанной с госслужбой, это очень важно.
Зря ты бомбишь с Бауманки. Не хочешь идти на ИБ – пиздуй кодером куда угодно. Кодеры в илитных и хороших конторах сплошь выпускники МВТУ.
В Рашке с 2008 выпускников военки (я не в курсе, военка в Бауманке или УВЦ) не призывают на срочку. Только на сборах месяц понюхать портяночки.
ВК - лейтехи запаса
УВЦ - кадровые офицеры, которые еще три года будут служить после выпуска.
Ну тогда пиздуй в Академию. Это единственная "корочка ИБ", которая реально котируется.
Ебал твою академию. Простобрал и кончал на нее.
отчислили оттуда из-за бухлишка в общаге на последних курсах
> Зря ты бомбишь с Бауманки. Не хочешь идти на ИБ – пиздуй кодером куда угодно. Кодеры в илитных и хороших конторах сплошь выпускники МВТУ.
Вот именно, что ПТУ им Дауна максимум на что способно - клепать недоинженеров, да макак. На ИБ силенок давно нет.
> отчислили оттуда из-за бухлишка в общаге на последних курсах
Ну ты и лох.жпг, чо.
Сам виноват, что долбоеб, что тут еще скажешь.
Ну же анончики, кулсторей накидайте, как с бумажками дела? У кого был бумажный ад?)))
У меня сейчас. Ебусь с ЦБшными высерами их явно душный аутист какой-то писал и причесываю местную документацию, за которую брались крайний раз лет 7 назад...
Как думаешь, за сколько месяцев все сделаешь?))
если за информ.безопасность еще можно потягаться, то компьютерная безопасность- посоны сори, рф впролете, все ништяки строго забургом. учите ангельский.
Бумажный ад для меня данность.
Раньше ибашил бумажки по стобр и триставосемьдесятвторому, теперь ибашу по педе.
По плану 3 месяца, по факту и полгода ебаться можно. Я вчера еще на рассылку finCert подписался. Смешные вещи в ответ шлют.
А кто-то спорит? Хотя базис матана у нас таки сильнее, другой вопрос, что никто не думает объяснять тебе его прикладное применение
Вот как раз сейчас по 382 ебашу со злоебучими АРМ КБР.
в наебизнсее или гос?
382-п вангую банк
Педе для бизнеса ибашу
Про прошлое ванга
правильно сванговал, хотя это несложно
появилась необходимость обеспечить дохуя безопасность
@
5 лет хуячил в сфере
@
обеспечивать уже нечего
@
по защищенной связи общаться уже не с кем
такие вот дела
@
5 лет хуячил в сфере
@
обеспечивать уже нечего
@
по защищенной связи общаться уже не с кем
такие вот дела
БЕЗОПАСНОСТЬ - ЭТО ПРОЦЕСС
Кстати, котоны, никто на /crypt местном не бывал? Как вам тамошние школотроны?
много дезы и откровенного идиотизма, остальное- общедоступная информация.
лучше посмотреть тематические форумы безопасников, или всяких там наркодельцов-угонщиков.
Кстати да, нарывался я как-то на форумы вроде "меченная власть". Даже взлом почты одной заказывал кстати, взломали. Очень там интересный спектр услуг предлагают...
заказывай аккуратно, разве что закладки. контролится в своем большинстве.
wayaway, phreaker, legalrc рекомендую, тут практики собрались, а не теоретики.
Вы охуели что-то на таких форумах заказывать? Там мусора тусуют. А подмусоренные через одного
а где безопаснику добывать хороший стаф, из рук в руки что ли?
шел бы ты отсюда
Ну мы тоже не лыком шиты и подобные операции явно не с рабочей/домашней пекарни делали. ломали, кстати, почту следака на mail'e, лол почти 4 года прошло, пативен так и не доехал, а я уже пару мест сменил. А вообще, пытающие вкатиться в ИБ в Россиюшке запомните одно - наше дело всегда на грани и между нескольких огней. И если, не дай боженька, будете не под начальством ИТ, а СБ и СЭБ, рано или поздно будете иногда какой-нибудь околокриминальной хуйней заниматься. зато тогда не скучно хоть За мои 11 лет в сфере какой только хуйни не творили СБ по нашей линии. От прослушек с кейлоггингом кого угодно до промшпионажа. А премии, если и были, то максимиум тыщ 5, хехе. Поэтому работа с бумажками - это иногда даже хорошо.
Два чая этому
>Педе для бизнеса ибашу
Повезло, в гос по сути пиздарики какой дроч
Не стоит, если на пентест.
Добавлю к списку
http://www.root-me.org/
http://www.codebashing.com/sql_demo
Список литературы не очень, выделил бы только
Hacking: The Art of Exploitation
Пентестер из PT
А так какие языки нынче надо знать?и на каком уровне?
> Список литературы не очень, выделил бы только
> Hacking: The Art of Exploitation
Неистово двачую. Сейчас как раз "возвращаюсь к истокам", ибо бумажная работа дико заебала. Усиленно занимаюсь по ней. Вникаю в каждую строчку. Когда 6 лет назад в первый раз столкнулся с книгой, то не оценил ее по достоинству, о чем очень сейчас жалею.
Ну и ангельский учить надо. Тут без вариантов.
Знаешь C и основные принципы асма - знаешь все остальное.
Спасибо за ссылки, Эриксона прочитал, дочитываю Митника. Только с теоретической частью все очень плохо, можешь еще что-нибудь посоветовать?
Скажу за себя ибо направленность Webapp Security
Java, PHP, Python, Csharp - на уровне middle, т.к. приходиться тонны коды ревьюить, разбирать...
От корки до корки знаю OWASP TOP-10, так же спецификаций протоколов и стандартов. Могу заэксплотить любым методом сайтецы, балансировщики, базы данных, все индивидуально...
Отмечаю тренд на Erlang, GO
смещение в сторону промыщленной безопасности это ASM, C, JAVA, C# тыпраиз
Добавлю свой список литературы:
http://www.amazon.com/The-Tangled-Web-Securing-Applications/dp/1593273886
http://www.amazon.com/Penetration-Testing-Hands--Introduction-Hacking/dp/1593275641/ref=sr_1_4?ie=UTF8&qid=1457004241&sr=8-4&keywords=pentest
http://www.amazon.com/Browser-Hackers-Handbook-Wade-Alcorn/dp/1118662091/ref=pd_sim_14_46?ie=UTF8&dpID=51jcsu5SnnL&dpSrc=sims&preST=_AC_UL160_SR127%2C160_&refRID=166ED6ABBB3MS159T5DT
http://www.amazon.com/Blue-Team-Handbook-condensed-Responder/dp/1500734756/ref=pd_sim_14_7?ie=UTF8&dpID=511IBg1lVbL&dpSrc=sims&preST=_AC_UL160_SR107%2C160_&refRID=0JTQXHC4NKNZ1AR5NCSP
http://www.amazon.com/Black-Hat-Python-Programming-Pentesters/dp/1593275900/ref=pd_sim_14_13?ie=UTF8&dpID=61YlKTBhMmL&dpSrc=sims&preST=_AC_UL160_SR121%2C160_&refRID=0JTQXHC4NKNZ1AR5NCSP
Ссылка выше на https://pentesterlab.com/bootcamp задрачиваете теорию, затем дистрибутивы.
Игратете с https://information.rapid7.com/metasploitable-download.html
https://www.offensive-security.com/metasploit-unleashed/requirements/
Попутно работая с Kali 2
Если совсем оловянные можно начать с малого
https://stepic.org/course/%D0%91%D0%B5%D0%B7%D0%BE%D0%BF%D0%B0%D1%81%D0%BD%D0%BE%D1%81%D1%82%D1%8C-%D0%B2-%D0%B8%D0%BD%D1%82%D0%B5%D1%80%D0%BD%D0%B5%D1%82%D0%B5-191/
https://stepic.org/course/%D0%90%D0%BD%D0%B0%D0%BB%D0%B8%D0%B7-%D0%B1%D0%B5%D0%B7%D0%BE%D0%BF%D0%B0%D1%81%D0%BD%D0%BE%D1%81%D1%82%D0%B8-%D0%B2%D0%B5%D0%B1-%D0%BF%D1%80%D0%BE%D0%B5%D0%BA%D1%82%D0%BE%D0%B2-127/
https://stepic.org/course/Web-%D1%82%D0%B5%D1%85%D0%BD%D0%BE%D0%BB%D0%BE%D0%B3%D0%B8%D0%B8-154
Видео
https://park.mail.ru/materials/video/#12
Спасибо за ответ, буду вкатываться.
П.с. пробовал работать с kali, не понравилось. Больше нравился blackarch, есть ли смысл обратно садиться за кали?
> пробовал работать с kali, не понравилось. Больше нравился blackarch
этож просто сборки с предустановленным ПО
я лично на пентест ноутбуке юзаю дебиан, нужное ПО ставлю сам.
Д-Дебилы.
Ты хоть на дваче то свои достижения не пиши, шпион хуев
Ты с /crypt сюда прорвался что ли?
нет, у каждого свои предпочтения, лично удобно каждый раз использовать свежию виртуалку от Kali, после работ накатываю новую машину...
Проводим набор сотрудников в спам-команду по ВК.
Условия:
•Физически Вы должны находиться в любой стране, кроме России
•Выплата зарплаты каждый день с 21-00 до 24-00 .
•Рабочее время свободное, мы онлайн ежедневно с 12-00 до 21-00. Но, если Вы мало работаете, имеете низкие результаты и пропадаете из онлайна больше чем на 2 дня – мы оставляем за собой право вас уволить и заменить более эффективным сотрудником.
•Стартовая ставка – 50%. (кто остается с нами надолго – получает самые лучшие условия и бонусы)
•От Вас не нужны никакие вложения
Мы предоставляем:
•Грамотное и быстрое обучение
•Софт и сервисы для анонимности и работы.
•Материал для работы
•Техническую поддержку в рабочее время
•Ежемесячный рост Вашего процента + недельные бонусы
Кого мы ищем:
•Людей, которые хотят стабильно зарабатывать 30-60 000 руб. в месяц, сидя дома в трусах перед компьютером
•Людей, которым интересен постоянный растущий доход в интернете без лишних заморочек
•Людей, которым интересен нелегальный заработок, но в жесткие черные темы лезть пока страшно.
Требования:
•Наличие компьютера/ноутбука
•Алчность
•Находиться НЕ в РФ . Всех желающих прошу в телеграмм +79685518151
Условия:
•Физически Вы должны находиться в любой стране, кроме России
•Выплата зарплаты каждый день с 21-00 до 24-00 .
•Рабочее время свободное, мы онлайн ежедневно с 12-00 до 21-00. Но, если Вы мало работаете, имеете низкие результаты и пропадаете из онлайна больше чем на 2 дня – мы оставляем за собой право вас уволить и заменить более эффективным сотрудником.
•Стартовая ставка – 50%. (кто остается с нами надолго – получает самые лучшие условия и бонусы)
•От Вас не нужны никакие вложения
Мы предоставляем:
•Грамотное и быстрое обучение
•Софт и сервисы для анонимности и работы.
•Материал для работы
•Техническую поддержку в рабочее время
•Ежемесячный рост Вашего процента + недельные бонусы
Кого мы ищем:
•Людей, которые хотят стабильно зарабатывать 30-60 000 руб. в месяц, сидя дома в трусах перед компьютером
•Людей, которым интересен постоянный растущий доход в интернете без лишних заморочек
•Людей, которым интересен нелегальный заработок, но в жесткие черные темы лезть пока страшно.
Требования:
•Наличие компьютера/ноутбука
•Алчность
•Находиться НЕ в РФ . Всех желающих прошу в телеграмм +79685518151
Ищи лохов в /b или /poраше, пидор.
А The Web Application Hacker's Handbook Нормальная или нет?
этож классика, букварь практически
мастрид однозначно
Тогда еще тупой вопрос вот "спецификаций протоколов и стандартов" это мне нужно проштудировать RFC?
лезть в rfc - крайняя мера
хочешь постичь сети - прочитай олиферов ддля начала
Я таненбаумана навернул,и раз такое дело,может есть годные ресурсы для изучение ЯП?
> проштудировать RFC
чет кекнул. Посмотрел бы, как ты будешь их "штудировать".
мимосетевик из IT-треда
Перекот будем пилить-то?
Сейчас запилю.
безскильные хуесосы какие-то
первый >>/un/https://2ch.hk/wrk/res/161857.html