Security Wine (бывший - DevSecOps Wine) (@sec_devops) — Telegram-канал | Telegram Dialogs
Все каналы
Security Wine (бывший - DevSecOps Wine)

Security Wine (бывший - DevSecOps Wine)

@sec_devops

7.1K подписчиков технологии 💬 Комментарии открыты

https://radcop.online/ "Security everywhere!" 🐛🦋Канал, в котором публикуются материалы о "выращивании" безопасности в организации (а начиналось все с безопасного DevOps и shift security left!) По всем вопросам: @surmatmg

Последние публикации

Security Wine (бывший - DevSecOps Wine)
23.04.2026 14:10 · 👁 3.1K
Немного об ИИшнице 🕵‍♂️ Как давно вы не размышляли об ИИ? В экосистемах, продуктах, сервисах, повседневной работе и личной эффективности - оно повсюду. Но как оно соотносится с Кибербезом и насколько нам стоит бежать/игнорировать/бояться/любить ИИшницу? Готовясь к ИБ-митапу подсобрал некоторый фактаж в презентацию "Безопасника ИИ заменить нельзя терпеть" (см. вложение с содержательными картиночками и графиками в комментариях) + попытал бесплатный гугловский Gemini относительно парадокса Солоу и реальной отдачи от ИТ с точки зрения экономики и общества. Справочно. Суть парадокса Солоу в том, что в 1980е годы его автор показал, что по-видимому любимая ИТшечка НИКАК не влияет на реальную производительность труда, и в этом смысле вся наша индустрия - "странненькая". Денег и ресурсов закачивает в себя много, а выхлопа сравнимого с электричеством или двигателем внутреннего сгорания не дает. Более того, имеет тенденцию становится "вещью в себе", которая самоподдерживает свое существование. И в этом смысле активное развитие ИИ внедрений делает старый парадокс актуальным как никогда вновь. Если кратко подсобирать тезисы: А. Цикл хайпа и Гартнер никто не отменял. Любая "сквозная технология" (или претендующая на это) порождает характерную социальную динамику, на которой пытаются заработать производители, консультанты, внедренцы, что создает ажиотаж пользоватей сродни "дефицита лопат в эпоху золотой лихорадки"; Б. ИИшница точно имеет свою область успешного применения, и точно не является "чудом", в том смысле, что все достоверные кейсы её полезной реализации (не считая капитализации NVIDIA и т.п., если их можно считать полезными) завязаны на нелюбимые многими: люди-процессы-технологии и все классические проблемы скучных разработок-внедрений-сопровождений; В. Заменит ли ИИница конкретно вас, как сложится будущее, будет ли создан Super AI и СкайНет, или все упрется в дефицит чипов, электричества, технологическое плато или глупость человеческую - вопросы больших систем, теории хаоса и личного и группого выборов (на уровнях конкретных личностей, организаций, сообществ, государств). Одно можно сказать точно. Ценность усиления естественного интеллекта, задачи разностороннего развития личности, компетенции по управлению вниманием и внутренним психологическим состоянием, эмоциональная зрелость - сегодня становятся ценны как никогда. По планете шагает вероятная "сквозная технология", и чтобы оставаться на волне и не сходить с ума, нужно учиться примиряться с жизнью, применять ИИшницу в тех вопросах, где она вполне релевантна и хотя бы немного заглядывать в зоны ближайшего развития. А проверить насколько роботы могут заменить конкретно вашу работу и решить куда ставить запятую в предложении: Безопасника ИИ заменить нельзя терпеть, можно по адресу: https://willrobotstakemyjob.com/​ Stand Firm, товарищи. Пока так 🤝 P.S. Презентация создавалась с помощью AI, так что не обессудьте от шероховатостей 😇
Security Wine (бывший - DevSecOps Wine)
02.10.2025 14:56 · 👁 6.2K
Если вы давно не виделись с командой РАД КОП и хотели бы пообщаться с нами лично, то этот пост для вас 🕵‍♂️ Встречаемся на конференции АБИСС! 8 октября наша команда будет участвовать в ежегодной конференции ассоциации АБИСС. Эксперты Александр Осипов и Владимир Алферов выступят в роли спикера и модератора на двух сессиях. ⚪ Сессия 5: «Информационная безопасность финансовых организаций» Спикер: Александр Осипов, руководитель направления комплаенса и методологии, ведущий эксперт ПК «РАД КОП» Тема: «Системный подход и трансформация ИБ из статьи расходов в фактор ценности» Александр расскажет, как выстроить ИБ-функцию, которая не тратит ресурсы компании впустую и не создает убытки, а реально увеличивает ценность бизнеса, обеспечивая устойчивость и доверие. ⚪ Сессия 6: «Разработка безопасного ПО» Модератор: Владимир Алферов, руководитель направления безопасности приложений ПК «РАД КОП». Эта сессия обещает быть насыщенной, вместе с экспертами обсудим: 🔗 Требования приказа ФСТЭК № 117 — практические шаги внедрения процессов РБПО Башарина Екатерина, руководитель группы аудита и стратегии, Swordfish Security 🔗 Практико-ориентированный подход в обучении специалистов безопасной разработки Насонов Виталий, начальник отдела безопасной разработки, ООО «СИГМА» 🔗 Возможен ли Sec между Dev и Ops? Васин Александр, начальник управления комплексной защиты информации, ПАО «МКБ» 🔗 Бизнес-прозрачность безопасности приложений через метрики и автоматизацию Султанов Денис, руководитель направления безопасности приложений, Компания БКС А в конце сессии вместе с докладчиками и приглашенным гостем председателем ПК «РАД КОП» Рустамом Гусейновым обсудим эффект синергии людей, процессов и технологий в области безопасной разработки ПО 🤝 Ждем встречи с вами, чтобы поделиться лучшими практиками и пообщаться вживую ❤️ #АБИСС #DevSecOps
Security Wine (бывший - DevSecOps Wine)
02.10.2025 14:56 · 👁 4.8K
‼️ Официальное объявление ниже, в приложении. Если кратко - приходите, потусим и позагружаемся мудротой на профильной конференции по ИБ от АБИСС. Наш кооператив растет и слава богу "шапочку единственного фронтмена" можно снимать - у нас пока не "Ласковый май" с пятью составами музыкантов, но уже уверенная "рок-н-ролл банда". Конкретном мы будем говорить про трансформацию ИБ в нечто явно ценное для организаций + про безопасную разработку и её последние тренды. P.S. Участие для заказчиков и клиентов - бесплатное, насколько я понимаю с обедом и фуршетом по принципу "все включено" 🕵‍♂️
Security Wine (бывший - DevSecOps Wine)
14.09.2025 08:52 · 👁 5.6K
В этом видео я показываю свой майндмэп по внешней разведке для физического пентеста. Мы разберём основные направления: OSINT — поиск информации в открытых источниках; GEOINT — анализ геолокационных данных и карт; SIGINT — перехват и анализ радиосигналов; А также вспомогательные техники, которые помогают на подготовительном этапе Red Team и физического теста на проникновение.
Security Wine (бывший - DevSecOps Wine)
11.09.2025 07:39 · 👁 10.2K
Искусство ради искусства, или чем полезна безопасность? 🪨 🖋 О проблеме результативной ИБ и ценности ИБ для организаций, сегодня в России не говорит только ленивый. Отрасль становится более зрелой. Вендоры, интеграторы и консультанты стараются развивать рынок на фоне общеэкономического кризиса и создавать спрос, несмотря на высокую ставку и другие проблемы. Профессиональное сообщество окончательно сформировалось и превращается в "гильдию безопасников" с собственной спецификой и культурными практиками. Но говорить и знать, и активно делать и применять - разные вещи. Таким образом, фактическая результативность ИБ, способы диалога с руководством или собственниками организаций, взаимодействия с ИТ и бизнесом, подходы к приоритезации задач - продолжают оставаться камнем преткновения для многих. ⚪ Эта ситуация может быть неочевидна узкотехническим специалистам, с установкой "мы просто делаем свою работу за зарплату". Но как только человек из оппортунистической позиции "без ТЗ - результат ХЗ" начинает эволюционировать в зрелую позицию "мы делаем общее дело, и мне бы не хотелось потратить 80 тысяч часов своей жизни впустую", то начинается магия. Человек начинает задумываться над тем, а чем он "зарабатывает себе на жизнь". То есть уже недостаточно "получать зарплату", важно создать ценность для организации, её клиентов и общества, и таким образом "заслужить долю" от её благосостояния. Разница здесь примерно такая же, как между пассивным удовольствием от потребления "алкоголя и веществ" и радостью от активного решения "сложной творческой задачи" или "спортивной тренировки". Субъективно и то и другое - радость, но объективно качество опыта и его последствия для самого человека и окружающих его лиц кардинально отличаются. ‼️ К чему это длинное вступление о "половцах и печенегах"? К тому, что вопросы ценности ИБ, ценности нашего вклада в те организации, где мы работаем - рано или поздно встают перед каждым развивающимся в профессии безопасником. Не важно - проработка ли это синдрома самозванца с психологом, или прохождение аттестации для получения грейда на повышение, или размышления над тем, как доказать коллегам из ИТ и бизнеса, что надо внести корректировки в работу, или обоснование внедрения (или не внедрения) нового средства защиты... В конечном итоге вопросы нашего субъективного счастья, и нашего объективного положения внутри организаций оказываются завязаны на ценностях, а те в свою очередь примыкают к понятию "риска". Понимание этого, умение рассказать об ИБ не в отрыве от реальности, а в привязке к целям всей организации и её сквозным бизнес-процессам - базовый hard skill любого безопасника. Ключ к результативной и эффективной ИБ. 📄 Поэтому я очень рад поделиться с вами полезным материалом от Миши Толчельникова, который был подготовлен им в рамках нашего проекта отраслевых клубов в Кибердоме. Как говорится - это точно не повредит, а скорее всего даже сильно усилит любого ИБ специалиста, который в силу неизбежного ограничения времени и сил упустил тематику рисков и ценности из фокуса своего внимания. 🤝 А как вы отвечаете на вопрос о собственной ценности для своей компании и общества, ребята? 🕵‍♂️ *Презентация выложена в комментариях #Риски #Фундамент #Ценность #Философия
Security Wine (бывший - DevSecOps Wine)
25.06.2025 11:46 · 👁 8.4K
Кадры решают все 🤝 Находясь на одной ESG конференции (так называется популярная в мире и России повестка: экология-общество-руководство, призванная воплотить тренды чистоты и человеколюбия на Земле) и слушая про пресловутый "дефицит кадров" вспоминаю наш путь мытарств и ошибок. 🪨 ‼️ С кадрами, как и с devsecops, отлично работает парадигма shift left. Чем раньше мы выявляем подходящего или неподходящего человека, тем лучше и дешевле нам даются последующие коммуникация, интеграция, адаптация и сотрудничество. А в самоуправляемой организации, где рядовые сотрудники включены даже в контур стратегирования и как в "красных отрядах" 1917 могут буквально выбирать своих руководителей - адекватность подбора людей "на входе" становится ещё более критичной. ⚙️ Поэкспериментировав с разными подходами: от "как здорово, что все мы здесь сегодня собрались" до "берем крутых профессионалов с репутацией" и пообжигавшись на всех возможных практиках, мы выработали следующую схему подбора: А. Подбор в кооп всегда конкурсный (исключения возможны, но в суперредких случаях, когда человек либо приводит гарантированную клиентскую базу, либо передает внутрь какую-то супер технологию и практику, либо имеет длительный анамнез работы с кооперативом как фрилансер и проявился в разных ситуациях с лучшей стороны ❤️); Б. Подбор построен на онлайн-игре в Zoom, где соискатели решают максимально релевантный их роли кейс в составе команд из 2-3 человек (дополнительно проверяется кооперативность игроков). В одной команде - другие конкурсанты, соревнующиеся за роль (например, пентестеры пытаются взломать тестовый сайт; менеджеры проектов решают задачу реорганизации сквозного бизнес-процесса; аналитики вычитывают документы ⏳); В. Оценки лучших и наиболее адекватных для конкретной роли людей ставятся не только кооператорами, но и самими участниками игры, с использованием релевантных для роли аргументов и обоснований (мы спрашиваем участников: кого на ваш взгляд надо взять на роль и почему, т.е. люди не отчуждаются от процесса и не превращаются в "коней, которым смотрят зубы"❔). 🖋Под капотом подхода лежит синтез трех инструментов: фреймворка вертикального развития У. Торберта, теории мотивации В. Герчикова и интерпретации процессного бизнеса в изложении М. Рыбакова. И пока полет, идущий по нарастающей с марта 2025 года, показывает отличные результаты (полностью мы поймем как это работает года через три!). Люди, отобранные по конкурсу априори гораздо более открыты к сотрудничеству, лучше переносят стресс характерный для консалтинговых компаний, а главное четко понимают "во что они вписались" и какой конкурс был на их место. Сами соискатели, прошедшие игру, отзываются о ней позитивно, и что наиболее интересно: в 60% случаях советуют взять другого человека. А иногда просят создать общий чат с другими игроками - так им нравится формат обмена опытом и синхронизации. 🌄 А как вы относитесь к "групповушке" в хорошем смысле этого слова? Был ли у вас подобный опыт? На какие роли? В каких организациях? М.б. были кейсы неудач? Давайте обменяемся мудротой 🤝 P.S. Во вложении - пример второго этапа подбора. Психометрическое тестирование ПИФ Экопси. Результаты которого, вместе с рекомендациями по персональному развитию, выдаются всем участникам, которым мы готовы сделать оффер (это позволяет нам причесать субъективный взгляд "приемной комиссии" об некий "объективный" внешний измеритель). #Люди #HR #КадрыРешаютВсе
Security Wine (бывший - DevSecOps Wine)
22.05.2025 09:42 · 👁 7.5K
Не о PHD, а об уровне развития DevOps/DevSecOps в этой стране🕵‍♂️ Пока значительная часть ИБв и всех им сочувствующих находится на PHD, мы предлагаем вашему вниманию опрос: https://anketolog.ru/service/survey/fill/extraLink/98347249/Qq2EcVbF ‼️ 🤝 Партнер кооператива РАД КОП — компания Экспресс 42 — проводит ежегодное исследование DevOps в России. Когда-то этот канал начинался как производная от DevSecOps и личной потребности автора разобраться в теме. Сегодня, когда мы называемся Security Wine и исследуем вопросы ИБ в широком смысле, мы сохраняем интерес к альма-матер. На наш взгляд, состояние DevOps — хороший индикатор развития отрасли и её зрелости. Через эволюцию этих практик и инструментов можно смотреть на актуальные тренды в ИТ: от состояния внедрения ИИ до возникновения принципиально новых технологий и практик ИБ, влияющих на каждого из нас. 🤝 В прилагаемом опросе примут участие более 4000 представителей индустрии. Результаты опроса будут опубликованы в открытом доступе и помогут нам всем лучше понять Точку А: где мы находимся сейчас как отрасль, кто какие технологии использует, кто куда смотрит и т.д. и т.п. Это позволит каждому выработать свою личную или командную Точку Б: куда нам и нашим командам стоит смотреть и идти, чтобы соответствовать «духу времени» (или не соответствовать — возможно кто-то из нас занял отличную эволюционную нишу, которой «на их век хватит»! ❤️). ⏳ Опрос займет около 20 минут. Еще раз дублируем ссылку для прохождения: https://anketolog.ru/service/survey/fill/extraLink/98347249/Qq2EcVbF . P.S. Среди участников опроса состоится розыгрыш мерча и билетов на Highload++ и DevOpsConf. P.P.S. Если есть мысли или комментарии к опросу — делитесь мудротой в комментариях, этот канал — место для дискуссий 💻
Security Wine (бывший - DevSecOps Wine)
03.04.2025 08:02 · 👁 8.2K
🤝 На Территории безопасности в секции Алексея Лукацкого обсуждаем "вечный вопрос" - как оценить результативность ИБ и как нашему брату коммуницировать с лицами принимающими решения 🖋 Вариант 1. Смотреть как это устроено у других (сюда же отнесем стандарты и бенчмарки), похожих на тебя, и выделять такой же бюджет, людей, средства защиты, и делать по аналогии❔ Вариант 2. Использовать риск-ориентированный подход, рисовать карты рисков, создавать перечни недопустимых событий, мониторить индикаторы и математизироваьь принятие решений❔ Вариант 3. Осваивать техники публичных выступлений и эффективно убеждать собственников и топ-руководство в своей полезности для получения карт-бланша❔ И как обычно опытные, сильные, крутые профессионалы с кучей хороших идей уходят в частности и полумеры. В ответ на реплику Лукацкого про то, что по статистике CISO нужно 3 года для наведения порядка в своей организации, а в нашей реальности они меняют работу каждые 2 года, кто-то по-стахановски заявляет: значит надо ускориться и успевать все делать за 2 года! Вспоминаю историю про 9 женщин и перевыполнение плана рождения ребёнка в 9 раз. 🕵‍♂️ А моё имхо очень простое: из-за того, что безопасность встроена в какое-то дело, в какой-то бизнес, то к ней нужно относиться так же, как мы относимся к сквозным бизнес-процессам. Выстраивать ее от А до Я в привязке не к комплаенсу или инженерно-техническим представлениям о прекрасном, а в привязке к измеримому импакту на бизнес, как это делается в маркетинге с CJM (Customer Journey Map). И помнить, что люди-процессы-технологии - это не красивые слова, а суровая реальность. И в этой реальности из-за того, что в формуле есть ЛЮДИ, определённая доля хаоса и неопределенности - неизбежны. И система, или процессы, чтобы они работали должны быть ВНЕДРЕНЫ, т.е. прежде всего приняты ответственными ЛЮДЬМИ. А это уже вопросы психологии, социологии и мотивации труда всего коллектива организации, равно далёкие как от технических штуковин, так и от решений принятых в высоких кабинетах топами и собственниками. Ближе всех в отечественной практике подошли стандарты семейства 57580 от Центрального Банка, которые включают и акценты на человеческий фактор, и на внедрение, и поддержку, и баланс техники и организации. За сложностью формулировок 57580 скрывается здравая установка на синтез целей организации (бизнеса/дела), её безопасности (пресловутый КЦД) и удовлетворённости клиентов (через непрерывность и качество услуги). А это и есть признак результативности и полезности ИБ. ✅ Приходится ли вам доказывать свою полезность коллегам, топам и собственникам? Каким образом это делаете вы? 🎙 #Мудрота #Мероприятие #ТерриторияБезопасности2025 #PDCA #Процессы #Люди #Технологии #Риски
Security Wine (бывший - DevSecOps Wine)
19.02.2025 13:18 · 👁 7.3K
А вы импортозаместили виртуализацию? Тогда мы идем к вам! С момента мая 2022 и 250 Указа прошло почти 3 года. И хотя в рамках некоторых базовых технологий типа отечественного NGFW активно продолжается так называемое развитие и конкуренция, в других областях, больше привязанных не к "железу", а к "софту", российские решения уже достигли определенного уровня зрелости. Речь не только об известных кейсах типа антивируса Касперского, который еще в досанкционные времена успешно конкурировал с западными вендорами на рынках Америки, но и о множестве других продуктов. 2022 подстегнул этот тренд и дал отечественным разработчикам дополнительные шансы "быть замеченными в своем отечестве" на фоне проверенных решений зарубежных поставщиков. И те разработчики, кто начал развитие собственных продуктов заранее, а не под влиянием "дедлайна 1 января 2025 года" получили возможность "разыграться на полную". Из критичных для импортозамещения технологий интересно посмотреть на аналитику в области VDI, где согласно аналитикам iKS-Consulting по итогам 2023 года выделился явный фаворит отечественных виртуализаторов - компания "Базис", которая согласно исследованию: Заняла 52% рынка виртуальных рабочих мест, а следующие игроки - ГК «Астра» и «Даком М», заняли соответственно, 9 и 8 процентов. Образованный в 2021 году через слияние активов "Ростелекома", YADRO и Rubytech "Базис" позиционирует свои решения как импортонезависимую экосистему продуктов "от инструментов управления виртуальной инфраструктурой и средств ее защиты до конвейера для организации полного цикла разработки". Решения, само собой, сертифицируются по "высшему разряду": 4 уровень доверия согласно требованиям ФСТЭК России и возможность использования в ОКИИ 1 категория значимости, ИСПДн и АСУ ТП 1 уровня защищенности, ГИС 1 класса защиты. В сегодняшних реалиях, когда основным заказчиком подобных продуктов является крупный бизнес и государственные структуры, наличие сертификатов давно стало must have для разработчиков подобного уровня. А малосредние покупатели всегда могут найти оупен сурсные и бесплатные аналоги. На этом фоне возникает глобальный вопрос: в сообществе много представителей как крупных, так и малых и средних компаний, оставшихся работать в России. Каков ваш опыт работы с отечественными решениями? И что вы можете сказать о своем опыте перехода/использования импортозамещенной виртуализации (особенно интересно послушать опыт товарищей, которые несмотря на большие размеры инфраструктуры остаются на оупен сурс и не собираются никуда уходить)? Можно не только о VDI, но шире... Чувствую особую остроту вопроса после начала форума Банка России. Источник картинки: исследование iKS-Consulting #Тренды #Импортозамещение #VDI #Виртуализация
Security Wine (бывший - DevSecOps Wine)
18.02.2025 12:45 · 👁 5.5K
🤝У ИБ есть своя сезонность. Когда работаешь на стороне заказчика или в крупном вендоре - это может не ощущаться. Но в консалтинге в силу привязки проектов к временам года последний квартал - это часто половина годовой выручки или больше. Вот и получается как в "Бриллиантовой руке": - Неужели ты ничего не помнишь? - Почему? Помню! Поскользнулся, потерял сознание, очнулся, гипс... С 30 октября прошло больше 3х месяцев. Год закрыт. Месячный отпуск отгулян. Пора возвращаться в эфир на новом витке восходящей спирали. Продолжим развитие Wine в ключе комплексной ИБ и расширения горизонтов. Цель: минимум 2 поста в неделю, а там видно будет. 🤝 P.S. Этот пост не считается. 😁 #Рефлексия #Оргвопрос
Чат поддержки
Ответим здесь же, обычно быстро
Здравствуйте! Напишите ваш вопрос — оператор ответит в этом чате.