Veuillez indiquer ce qu'il faut lire. Partie 1

C'est toujours un plaisir de partager des informations utiles avec la communauté. Nous avons demandé à nos employés de recommander des ressources qu'ils visitent eux-mêmes afin de se tenir au courant des événements dans le monde de la sécurité de l'information. La sélection s'est avérée grande, j'ai donc dû la diviser en deux parties. Partie un.

Twitter

• Sécurité des informations du groupe NCC est un blog technique d'une grande entreprise de sécurité de l'information qui publie régulièrement ses recherches, outils/plugins pour Burp.
• Gynvael Vent-froid — chercheur en sécurité, fondateur de la meilleure équipe ctf Dragon Sector.
• Octet nul – des tweets sur le piratage et le matériel.
• HackSmith - Développeur SDR et chercheur dans le domaine de la sécurité RF et IoT, tweets/retweets, notamment sur le piratage matériel.
• AnnuaireRanger — sur la sécurité d'Active Directory et de Windows.
• Binni Shah — écrit principalement sur le matériel, retweete des articles sur divers sujets liés à la sécurité de l'information.

Telegram

• Equipe [MIS]ter & [MIS]sis — IB à travers les yeux de RedTeam. Beaucoup de matériel de qualité sur les attaques sur Active Directory.
• Guillemet — une chaîne typique sur les bugs Web pour les fans de bugs Web. Le plus souvent, l'accent est mis sur les analyses sur la façon d'exploiter les vulnérabilités typiques et les conseils sur l'utilisation efficace des logiciels, fonctionnalités moins connues mais utiles.
• Cyberfuck — une chaîne sur la technologie et la sécurité de l'information.
• Fuites d'informations — résumé des fuites de données.
• Administrateur avec lettre — une chaîne sur l'administration du système. Pas exactement la sécurité des informations, mais utile.
• lienmeup est une chaîne de podcast Linkmeup où les passionnés discutent des réseaux, des technologies et de la sécurité de l'information depuis 2011. Nous vous recommandons également de jeter un œil à site Web.
• Life-Hack [Life-Hack]/Piratage — des articles sur le piratage et la protection en langage clair (le meilleur pour les débutants).
• Équipe r0 (chaîne) — un résumé de documents utiles principalement sur RE, les exploits de développement et l'analyse des logiciels malveillants.

Github référentiel

• kabachook/k8s-sécurité - notes sur la sécurité de Kubernetes.
• Alexis Ahmed/hacker101 — un ensemble de cours vidéo sur la sécurité web, l'analyse des vulnérabilités, des tâches pratiques.
• Hack-avec-Github/Awesome-Hacking - une collection de référentiels sur des sujets destinés aux hackers, pentesters et chercheurs en sécurité. Nous devons aller plus loin.
• Aide-mémoire EdOverflow/bugbounty
• infosecn1nja/AD-Attaque-Défense

Blogs

• Project Zero - n'ont généralement pas besoin d'être présentés, mais si vous n'en avez pas entendu parler : il s'agit d'une équipe de spécialistes sympas qui recherchent des vulnérabilités au niveau du « jailbreak à distance pour iOS haut de gamme sans interaction de l'utilisateur », et non pour le plaisir de de l'argent, mais pour le bien de la sécurité de tous.
• Blog PortSwigger — blog des développeurs de Burp Suite, devenu le standard de facto en matière de sécurité web. Dédié bien entendu à la sécurité des applications web.
• Sécurité du micrologiciel
• Sécurité Active Directory
• Sécurité des informations des Black Hills — ils ont écrit de nombreux utilitaires/scripts très utiles pour l'audit ; en plus du blog, ils partagent activement leurs connaissances dans leurs podcasts.
• Sjörd Langkemper. Sécurité des applications Web
• Terre Pentester — chaque semaine, un résumé de vidéos et d'articles sur le pentesting est publié ici.

Youtube

Blogueurs

• GynvaelFR — des articles vidéo, notamment du célèbre Gynvael Coldwind de l'équipe de sécurité de Google et fondateur de la meilleure équipe CTF Dragon Sector, où il raconte beaucoup de choses intéressantes sur l'ingénierie inverse, la programmation, la résolution des tâches CTF et l'audit de code .
• LiveOverflow - une chaîne avec un contenu de très haute qualité - dans un langage simple sur des méthodes d'exploitation sympas. Il existe également des analyses de rapports intéressants sur BugBounty.
• STÖK — une chaîne mettant l'accent sur BugBounty, des conseils précieux et des interviews avec les meilleurs chasseurs de bugs de la plateforme HackerOne.
• IppSec — passage de voitures sur Hack the box.
• Académie CQURE est une société spécialisée dans l'audit des infrastructures Windows. De nombreuses vidéos utiles sur divers aspects des systèmes Windows.

Conférence

• ZéroNuits
• Black Hat
• DEFCON
• Fête de la sécurité
• RUXCON
• OffensiveCon
• RECON
• SyScan
• TROPERScon
• Shakacon LLC
• Infiltrer
• DEFCONConférence
• CCC
• Conférence sur la sécurité Hack In The Box
• Microsoft BlueHat
• H2HC
• Conférence sur la sécurité d'EkoParty
• BugCrowd
• OwaspGlobal

Conférences académiques

• Symposium du SNSD
• Symposium IEEE sur la sécurité et la confidentialité
• FOSDEM
• USÉNIX
• Conférence Énigme USENIX
• Symposium international sur la recherche sur les attaques, les intrusions et les défenses (RAID)

Conférences industrielles

• La fondation Linux
• LLVM

Systématisation des connaissances (SoK)

Ce type de travail académique peut être très utile au tout début de l'immersion dans un nouveau sujet ou lors de l'organisation de l'information. Trouver un tel travail n'est pas difficile, voici quelques exemples :

• SoK : (État de) L'art de la guerre : techniques offensives en analyse binaire
• SoK : la guerre éternelle en mémoire
• SoK : rendre JIT-Spray à nouveau génial
• SoK : le consensus à l’ère des blockchains
• SoK : Lumière brillante sur les piles d'ombres
• SoK : assainissement pour la sécurité
• SoK : diversité des logiciels automatisés
• SoK : examen systématique de la détection logicielle du phishing sur le Web
• SoK : appliquer l'apprentissage automatique à la sécurité – Une enquête
• SoK : sécurité de l'authentification unique

Source originale

Nous espérons que vous avez trouvé quelque chose de nouveau pour vous-même. Dans la partie suivante, nous vous dirons quoi lire si vous êtes intéressé, par exemple, par le problème de satisfiabilité des formules dans les théories et l'apprentissage automatique dans le domaine de la sécurité, et nous vous dirons également quels rapports sur le jailbreak iOS seront sois utile.

Nous serons heureux si vous partagez vos trouvailles ou le blog de votre auteur dans les commentaires.

Source: habr.com