Посоветуйте, что почитать. Часть 1
Делиться с сообществом полезной информацией всегда приятно. Мы попросили наших сотрудников посоветовать ресурсы, которые они сами посещают, чтобы быть в курсе событий в мире ИБ. Подборка получилась большая, пришлось разбить на две части. Часть первая.
- NCC Group Infosec — технический блог крупной ИБ компании, которая регулярно выпускает свои исследования, инструменты/плагины для Burp.
- Gynvael Coldwind — исследователь безопасности, основатель топовой ctf-команды Dragon Sector.
- Null Byte — твиты про хакинг и железо.
- HackSmith — разработчик SDR и исследователь в области безопасности RF и IoT, твитит/ретвитит в том числе про взлом железа.
- DirectoryRanger — про безопасность Active Directory и Windows.
- Binni Shah — пишет в основном про железо, ретвитит посты на самые разные темы ИБ.
Telegram
- [MIS]ter & [MIS]sis Team — ИБ глазами RedTeam. Много качественного материала, посвященного атакам на Active Directory.
- Кавычка — типичный канал про веб-баги для любителей веб-багов. Чаще всего делается акцент на разборах способов эксплуатации типовых уязвимостей и советах по эффективному применению ПО, менее известные, но полезные фичи.
- Киберп*eц — канал про технологии и ИБ.
- Утечки информации — дайджест утечек данных.
- Админим с Буквой — канал про системное администрирование. Не совсем ИБ, но полезно.
- linkmeup — канал подкаста linkmeup, на котором энтузиасты с 2011 года обсуждают сети, технологии и ИБ. Советуем также заглянуть на сайт.
- Life-Hack [Жизнь-Взлом]/Хакинг — посты про взлом и защиту понятным языком (для начинающих самое то).
- r0 Crew (Channel) — дайджест полезных материалов преимущественно по RE, exploit dev и malware analysis.
Github repository
Blogs
- Project Zero — обычно не нуждаются в представлении, но если вы о них не слышали: это команда крутых специалистов, которые занимаются поиском уязвимостей уровня «remote jailbreak for top iOS without user interaction», и не ради денег, а ради всеобщей безопасности.
- PortSwigger Blog — блог разработчиков комбайна Burp Suite, ставшего де-факто стандартом для веб-безопасности. Посвящен, конечно же, безопасности веб-приложений.
- Firmware Security
- Active Directory Security
- Black Hills Information Security — написали много довольно полезных при аудите утилит/скриптов, помимо блога, активно делятся знаниями в своих подкастах.
- Sjoerd Langkemper. Web application security
- Pentester Land — каждую неделю здесь публикуется дайджест с видео и статьями по пентесту.
Youtube
Блогеры
- GynvaelEN — видео-райтапы, в том числе от небезызвестного Gynvael Coldwind из Google security team и основателя топовой ctf-команды Dragon Sector, где он рассказывает много интересного про реверс, программирование, решение CTF-тасков и аудит кода.
- LiveOverflow — канал с очень качественным контентом — простым языком про крутые методы эксплуатации. Также встречаются разборы интересных отчетов по BugBounty.
- STÖK — канал с акцентом на BugBounty, ценные советы и интервью с топ-багхантерами площадки HackerOne.
- IppSec — прохождение машин на Hack the box.
- CQURE Academy — компания, специализирующаяся на аудите Windows инфраструктуры. Много полезных видео о различных аспектах Windows систем.
Конференции
Академические конференции
Индустриальные конференции
Systematization of Knowledge (SoK)
Этот тип академических работ может быть очень полезен на самом старте погружения в новую для вас тему или при систематизации информации. Найти такие работы несложно, вот несколько примеров:
Первоисточник
Надеемся, вы нашли для себя что-то новое. В следующей части расскажем, что почитать, если вы заинтересовались, например, задачей выполнимости формул в теориях и машинным обучением в сфере безопасности, а ещё подскажем, чьи доклады про jailbreak iOS будут полезны.
Будем рады, если поделитесь в комментариях своими находками или авторским блогом.