В этот раз у нас в гостях Денис Якимов занимающий позицию Head of DevSecOps в одном из крупнейших банков России, в широких кругах известен как автор нескольких популярных телеграмм каналов, таких как DevSecOps Wine CloudSec Wine и AppSec & DevSecOps Jobs.
Денис рассказал чем занимается человек на такой уникальной для СНГ позиции как Head of DevSecOps, что в ходит в круг его задач и поделится опытом их решения. Вторая часть подкаста освещает тему медийности в ИБ и её влияние на карьеру. Кажется, вышло интересно!
Внутри
- Как Денис пришел к текущей позиции
- Мнение Дениса о роли devsecops практик в ландшафте защиты компании
- Какие стоит покупать, а где лучший друг open source
- История развития DevSecOps wine канала
- Рассуждения не тему роли медийности в карьере ИБ специалиста
В этот раз у нас в гостях Георгий Старостин занимающий позицию CISO в крупной цифровой компании Ситимобил.
Георгий пришел в компанию на этапе формирования централизованного подхода к ИБ. Самостоятельно строил процессы, нанимал людей, формировал стратегию, договаривался с бизнесом и считал риски. Именно об этом его опыте мы и поговорили с ним в нашем новом выпуске подкаста.
Внутри
- Как переваривать такой объем отвественности
- Как нанять и сколько безопасников нужно компании
- Как общаться с бизнесом
- DevSecOps (ну а куда же без него)
В новом выпуске подкаста общаемся с создателями стартапа ScanFactory ( https://scanfactory.io/ ): Владимиром ( t.me/httpsonly ) и Анатолием ( twitter.com/c0rv4x )
Ребята сделали продукт, который помогает компаниям непрерывно сканировать свой внешний периметр и быть в курсе того что происходит в инфраструктуре.
Кажется, что почти каждый пентестер когда-то пытался писать свой сканер-комбайн (авторы подкаста не исключение =), но только единицы решили вынести свои разработки на открытый рынок.
Наши сегодняшние гости преодолели все сомнения и ринулись покорять сегмент b2b.
Получилась мотивирующая история про то как открыть свою компанию, найти клиентов и двигаться вперед.
Внутри:
- История знакомства основателей компании
- Что за продукт придумали парни и как к нему пришли
- Сколько времени ушло на разработку и есть ли страх что тебя опередят раньше чем будет твой релиз
- Как делается бизнес? С чего начать открытие своей компании
- Как и где искать клиентов? Что такое Custdev для ИБ стартапа
- Сегментация продукта и product management
- Кулстори про стартап из одной HTML страницы
В этот раз у нас в гостях Дмитрий Евдокимов aka Qu3b3c ( https://twitter.com/evdokimovds ). Автор канала k8s (in)security ( https://t.me/k8security ) и тренингов по безопасности в Cloud Native.
Долгое время он был известен в комьюнити тем, что занимался обратной разработкой и анализом мобильных платформ, но не так давно поменял эту доблестную область знаний на искусство безопасности внутри облачных решений.
Qu3b3c настолько горит темой облаков и k8s, что мы могли бы начать записывать небольшую аудиокнигу.
Из первых уст узнаем как трактуется DevSecOps и какой полезный инструмент для облаков сейчас разрабатывается командой Димы.
Внутри
- Как так случилось, что Дима ушел от мира reverse engineering и пришел к K8s
- DevSecOps - что за зверь
- Shift Left Security - в чем благо и в чем проблема
- Собственное видение безопасности и observability в Cloud Native
- Будущие фичи в k8s
В новом выпуске у нас в гостях Алексей Тюрин aka GreenDog ( https://twitter.com/antyurin ). Автор того самого читшита по десериализации: https://github.com/GrrrDog/Java-Deserialization-Cheat-Sheet !
GreenDog некоторое время назад поменял работу пентестера на профессионального "ресерчера" (исследователя) ИБ и переехал на Мальту. Узнаем его карьерный путь и творческий процесс.
Внутри:
- Как GreenDog пришел к карьере профессионального исследователя ИБ
- Как устроена работа в Acunetix
- Как устроен творческий процесс работы
- Как выбирается тема исследования и где их искать
- Куда дальше расти исследователю
- Пиратский кодекс и публичные ресерчи
- Жизнь на Мальте
Вторая часть выпуска подкаста с Сашей aka sab0tag3d ( https://twitter.com/sab0tag3d )(соавтор утилиты Smart Install Exploitation Tool - SIET).
В ней говорим про частный консалтинг:
- Почему в Европе все хотят работать на себя
- Комфортная зарплата в разных странах и что такое рулинг
- Сколько зарабатывает self employed консультант
- Виды регистрации юрлица и как можно списывать налоги
- Могут ли быть интересные проекты если работать с небольшими стартапами
- Как выглядит средний проект - сколько людей, сколько времени
- Work Life balance
Наш первый выпуск из серии "traktor" - про людей которые переехали заниматься информационной безопасностью за рубеж.
В этом выпуске у нас в гостях Саша aka sab0tag3d ( https://twitter.com/sab0tag3d )(соавтор утилиты Smart Install Exploitation Tool - SIET). Говорим про процесс переезда, поиска вакансий и подготовке документов на примере Бельгии. Подробнее внутри:
- Какие страны Саша выбирал для жизни и почему
- Как насчет необходимости знания языка
- Как и где искать вакансии
- Как устроены собеседования
- Как узнать сколько просить денег
- Сколько денег отложить на переезд
- Виды переезда и какие для них нужны документы
- Сколько времени занимает процесс переезда
Наконец-то собравшись полным составом общаемся про SAST/DAST (Static/Dynamic Application Security Testing) утилиты.
Делимся переживаниями о состоянии рынка и потребностях компаний с учетом специфики СНГ сегмента
Внутри:
В новом выпуске мы решили поговорить про обучение, сертификаты и распространения знаний на примере https://twitter.com/hackerscrolls.
Чтобы лучше понять как оно устроено мы пригласили в гости двух team lead'ов из Digital Security: Максима (juwilie1337 (http://twitter.com/juwilie1337)) и Илью (barracud4_ (https://twitter.com/barracud4_)).
Илья, вместе с igc_iv (https://twitter.com/igc_iv) создали обалденный твиттер https://twitter.com/hackerscrolls/ - в котором парни составляют отличные визуализированные читшиты по разным аспектам прикладной информационной безопасности
В выпуске:
- Как был создан hackerscrolls
- Стало ли лучше от бездны доступных материалов вокруг
- Каких обучающих материалов при этом изобилии все равно не хватает
- Сертификаты (OSCP/OSCE/CISSP/etc) это полезно? Помогают ли они на собеседовании? Может лучше HackTheBox решать
- Почему у известных исследователей редко когда есть какой-то сданный сертификат
- Зачем работать после работы, чтобы сдать на сертификат
Первый выпуск в новом году.
Сегодня у нас в гостях Антон - lead application security engineer в компании Semrush.
Общаемся про облака, доверие к ним и уйдем ли мы от старого доброго VPN.
Выбиваемся из нашего обычного графика - 3 месяца еще не прошли, а уже новый выпуск. Непорядок.
Как-то летом собрались с наши хорошим другом Иваном (https://twitter.com/igc_iv) из Digital Security поговорить о том, чего стоила для Твиттера возможность писать от другого имени. Повлияло ли это на цену компании? Какой прайс на гром багу?
(Звук местами хромает, так как это наш первый выпуск с гостем=)