CyberCamp 2024 (3-5 октября) стартует уже завтра 🤘

Три дня киберучений для Blue, Red и Yellow команд! 600 участников в корпоративной и студенческой лиге в этом году будут расследовать все аспекты Kill Chain. Мы будем болеть за наших ребят из SOC – команду ЭкзеКьюти, из фракции "синих". 🧢

💥 И завтра же в 12:55 наш DevSecOps-инженер – Александр Карпов выступит с докладом Коммитить нельзя сканировать: как мы боремся с секретами в коде.

О чем будет доклад ❓

🔹как проверять каждый новый коммит в GitLab на наличие секрета менее, чем за 5 минут
🔹какие точки контроля выбрать: CI/CD jobs, Git, server-side или web hooks
🔹какие подводные камни существуют
🔹как выстроить flow поиска секретов, чтобы разработчикам было максимально комфортно и понятно

Советуем послушать этот доклад – там будет много практических рекомендаций и полезных замечаний от нашей DevSecOps-команды. 😎

▶️ Присоединяйтесь к трансляции на платформе CyberCamp.

#эксперты #доклады

Bounty pass#2: Olymp – 18 дней до завершения олимпиады для багхантеров

Что такое Bounty pass ❓
В 2024 году VK Bug Bounty исполнилось 10 лет, и по этому поводу мы запустили уникальную программа лояльности для багхантеров. Здесь нет фиксированных максимальных выплат и лимита на накопительный бонус. Можно сказать, мы хакнули систему.

А что такое Bounty pass#2: Olymp? 🔍
На протяжении 2024 года мы объединяем багхантеров в разные соревнования по поиску багов. Сперва они все вместе заполняли прогресс-бар и открывали уникальные события в Bounty pass#1: Progress, а сейчас соревнуются по количеству сданных отчетов в личном зачете Olymp. Неизменно одно – это увеличенные вознаграждения с каждым новым отчетом.

Круто?! А знаете, как это работает? 👀
Каждый багхантер получает +5% к стоимости вознаграждений с каждым новым оплачиваемым отчётом. И эти бонусы накапливаются и еще плюсуются. Смотрите, как они это делают.

Олимпийски призеры 🥇🥈🥉
Мы регулярно обновляем таблицу олимпийцев, отмечая успех каждого призера. Сегодня мы поздравляем ratel_xx и bratka с завоеванным золотом и rohack – с серебром. А еще приветствуем новых бронзовых призеров zorkiy и AlexShev! 👏

Всего сейчас в таблице 22 призера, но до завершения Olymp – 21 октября, еще больше 2-ух недель.
Так что у вас еще есть все шансы, чтобы принести призовые отчеты, накопить бонус и получить уникальные наборы мерча. А если набагхантите больше всех, то еще и +10% для каждого оплачиваемого отчёта с октября 2024-го по октябрь 2025 года.

Заходите в программы VK Bug Bounty на платформах Standoff, BI.ZONE и Bugbounty.ru – тут много всего интересного!

#bugbounty #bountypass #olymp

Вот нашли вы все уязвимости, а что дальше?

Иван Василевич из команды VK Pay недавно выступал на конференции по безопасности платежных систем #PAYMENTSECURITY, которая уже традиционно собирает на несколько дней профессионалов финтеха, ИБ и хакинга. Расскажем вам немного про доклад Ивана – про процессы работы с уязвимостями, а точнее, про задачи, которые стоят перед командой информационной безопасности после выявления источников уязвимостей.

❓ Что делать, когда получены отчеты от SAST, DAST, ручного и автоматизированного анализа кода, пентестов, внутренних аудитов и Bug Bounty?

Со стороны может показаться, что этого вполне достаточно для выхода на новый уровень безопасности продукта. Но нет, говорит Иван, нельзя так просто взять и сгрузить все найденные уязвимости в администраторов и команды разработки.

💬Поделимся советами Ивана, как комплексно ускорить процесс устранения уязвимостей.

Итак, извлеченные уроки:

✔️Задачи должны быть максимально детальными и конкретными:
Точное описание уязвимости с определением ее уровня критичности помогут выстроить правильный диалог с IT и командами исполнителей.

✔️Сроки исправления должны быть обоснованными:
Ввод в действие нового требования регуляторов, аудит, пентест – всё это нужные обоснования, нельзя приходить к командам разработчиков с позиции силы.

✔️В задачах нужно указывать вид потенциального ущерба и риска для компании:
Чтобы бизнес- и техлидам были очевидны причины и необходимость устранения уязвимостей.

✔️Задачи должны быть правильно оценены и иметь обоснованный приоритет с учётом контекста:
Ресурсы IT-команд, как правило, всегда ограничены и попасть в план на исправление могут только самые критичные задачи, поэтому нужно рассчитывать приоритет исходя из потенциального ущерба с учетом рисков. Задачи с низкой критичностью оставляем в конце бэклога, но периодически его пересматриваем.

✔️Все участники процесса должны однозначно понимать задачу:
Всегда важно говорить на одном языке с исполнителями и принимающими решения о взятии задачи в бэклог.

✔️Время на устранение уязвимостей планируется заранее и по периодам:
Когда уязвимость приносят внезапно и без запланированного техдолга, то приходится сдвигать остальные планы. Но не всегда это приемлемо.

✔️Индивидуальный подход к каждому участнику ещё никому не повредил:
регулярные встречи для обсуждения статуса, работы с проектными менеджерами, kind reminders и максимум взаимопонимания с командами продукта позволят ускорить процесс и повысить ценность задач для исполнителей.

Если вам стало интересно узнать еще больше про процессы работы с уязвимостями, голосуйте за статью на Хабре:

👍🔥❤️ - будут засчитываться за голос

#эксперты #доклады

Форум КИБЕРТЕХ (7-8 октября, Кластер «Ломоносов»)

Мы участвуем в большом форуме по кибербезопасности — КИБЕРТЕХ 2024 🌐

🛡 Сегодня Илья Борисов, директор департамента по методологии ИБ, примет участие в дискуссии «Киберкультура как инструмент защищённости бизнеса».

Когда и где?
7 октября, 15:00, зал «Атом»

🛡 А завтра мы соберем CISO крупнейших российских big tech-компаний на дискуссию про «ИБ в технологических компаниях», чтобы обсудить актуальные вопросы индустрии:

🔹 Новые технологии и лучшие техники защиты продуктов и пользователей
🔹 Безопасность и ТТМ – как обеспечить безопасность продуктов и кода, не отставая от рынка
🔹 HighLoad – новые требования рынка
🔹 Автоматизация и новые технологии (AI, ML) – кейсы и тренды в ИБ
🔹 Поиск и работа с уязвимостями
🔹 По каким правилам живут в big tech

Модератором дискуссии выступит Антон Карпов, вице-президент, директор по информационной безопасности VK.

Когда и где?
8 октября, 12:15, зал «Кинетика»

#эксперты

Встретились как-то три багхантера и пентестер…

Так бы мог начаться какой-нибудь анекдот, но нет – это про новый выпуск Портрет багхантера в подкасте «Рынок уязвимостей» от Global Digital Space.

Мы пригласили Юрий Ряднина (circuit), Алексей Трофимов (Kwel), Дмитрий Прохоров (ratel_xx), чтобы поближе познакомиться с их личными историями, узнать о том, что их больше всего мотивирует в Bug Bounty, а что приносит разочарование и «боль».

И конечно, в выпуске обсудили:
🔹 Триаж, программы и платформы
🔹 Раскрытие отчетов
🔹 Этика и конкуренция в сообществе
🔹 Новое поколение багхантеров
🔹 Советы начинающим от профи

Ведущий этого выпуска – Сергей Зыбнев, пентестер и основатель проекта poxek.

Смотрите выпуск на платформах:

📱 VK Видео | 📱YouTube | 📺 RUTUBE

Подключайтесь! Будет интересно как новичкам, так и профи. 👉

#bugbounty #подкаст

Нам так понравилось общаться с багхантерами, что мы попросили каждого гостя подкаста ответить еще на несколько вопросов в формате блиц.

👀 Сегодня смотрим и слушаем, что Алексей Трофимов (он же kwel), ответил на вопросы:

🍎 Низко висящий фрукт или Kill Chain?
😎 Приватка или паблик?
🍿 Охота за багами или отдых на ивенте?
🤓 Самая первая бага, за которую получил вознаграждение
💲 Самая большая выплата

#bugbounty

А сегодня смотрим блиц с Юрой circuit Ряднина.

Итак, вопросы те же:

🔗 Kill Chain или низко висящие фрукты?
🏖 Отдых на ивенте для багхантеров или поиск багов?
🤫 Приватка или паблик?
👾 Самая первая бага и самая большая выплата?

а вот ответы… 👀 вас, возможно, удивят.

PS: кстати, а как вам выпуск подкаста с багхантерами? Уже успели посмотреть? Если нет, то впереди выходные – запасайтесь попкорном и го смотреть 🍿

📱 VK Видео | 📱YouTube | 📺 RUTUBE

#bugbounty

Ну и продолжая тему Bug Bounty, не можем не зафорсить исследование на Хабре, которе мы запустили вместе со Standoff Bug Bounty 👾

Для нас Bug Bounty – это уже больше, чем программа по поиску уязвимостей. 10 лет уже в этом "бизнесе" 😎 Мы дорожим нашим коммьюнити багхантеров, и нам всегда очень интересно узнавать, что их мотивирует, что нравится в программах, а чего не хватает.

Ну и конечно, нам бы хотелось узнать, что другие знают и думают про багхантинг 🤔

Поэтому будем очень рады, если вы поделитесь своим мнением 👉
https://habr.com/ru/specials/849390/

#bugbounty

Итак, последний блиц – с Димой ratel_xx Прохоровым 😎

Смотрим, что ответит Дима на вопросы про Kill Chain, отдых на мероприятиях для багхантеров, публичные программы и первую оплачиваемую багу. 👾

А еще бонусный вопрос: готов ли платить, чтобы раскрутить багу?

Ну что, какой блиц вам понравился больше ❓

#bugbounty

Фишинг, спам и роботы фроды 🥸

На митапе smartmail: antispam & antifraud эксперты команд Mail и VK поделились опытом защиты миллионов пользователей от мошеннических схем, рассказали о технологиях и прорывах в обучении ML, а также воспитании культуры кибербезопасности. И конечно, рассказали об эволюции фишинга и спама.

Смотрите видео этих докладов:

🎣 Фишинг: снаружи и изнутри
Ксения Кокорева, руководитель команды Антифишинга, Mail, и Павел Никитин, Red & Purple Team Lead, VK
🔹Про эволюцию фишинга, про использование ML, а также про таргетированные атаки и то, что случится после «пробива».

🤖 С чего начинаются фроды
Максим Бронзинский, руководитель команды AntiFraud, VK
🔹Простые правила борьбы с фродом, которые почему-то не так просто соблюдать, и причины, почему люди лучше роботов.

🔎 Как мы реализовали OCR в Почте
Сергей Сунцов, руководитель команды backend-разработки Антиспама, Mail, и Константин Хицко, руководитель команды Спаманализа, Mail.
🔹 Про то, как научились распознавать текст на картинках в потоке несколько миллионов писем в минуту и не тратить на это большое количество GPU.

#эксперты #доклады

🎙️ Новый выпуск подкаста про Bug Bounty – триаж уязвимостей

Сперва мы послушали багхантеров – узнали про их будни, достижения и «хотелки», а теперь настал черед тех, кто находится по другую сторону Bug Bounty. 😎

Позвали Дарью Афанасову (Standoff Bug Bounty), Елизавету Дудко (Т-Банк), Никиту Кузякина (BI.ZONE.Bug Bounty) и Петра Уварова (VK Bug Bounty), чтобы обсудить с ними насущные вопросы и проблемы триажа, а также ответить на «боли» багхантеров.

О чем поговорили ❓

🔹 Отчеты: процесс валидации, советы по оформлению и дисклоузы
🔹 Дубликатные дубликаты
🔹 Выплаты, бонусы и специальные программы
🔹 Хватает ли багхантеров на российском рынке Bug Bounty?
🔹 Советы начинающим ресерчерам

📺 Смотрите, что триажеры рассказали Сергею poxek Зыбневу, ведущему этого выпуска подкаста «Рынок уязвимостей»:

📺 VK Видео | 📺 YouTube | 📺 RUTUBE

⭐️ Новые призеры Bounty pass#2: Olymp

Это последний апдейт в таблице олимпийцев перед подведением итогов Bounty pass#2: Olymp – победителей объявим 25 октября.

А пока давайте поздравим:

🥇 zerodivisi0n и r0hack, которые поднялись на верхнюю ступеньку нашего багхантерского пьедестала

🥈 cutoffurmind – с завоеванным серебром

🥉 Dandomi, circuit и lobity с тем, что ворвались в борьбу и уверенно завоевали бронзу

Да, Bounty pass#2: Olymp завершится вечером 21 октября, но это не повод расстраиваться. У вас еще есть время, чтобы сдать отчеты о найденных уязвимостях, накопить бонус и попасть в число олимпийских призеров. На кону – уникальные наборы мерча, а победители получат несгораемый бонус 10% на целый год.

🚀Спешите в программы VK Bug Bounty на платформах Standoff, BI.ZONE и Bugbounty.ru.

#bugbounty #bountypass #olymp

Блиц, блиц, блиц!

После записи подкаста про Триаж уязвимостей мы попросили наших участников ответить на вопросы в формате блиц-интервью. Да, нам так понравилось, как это сделали багхантеры, что решили повторить.

Итак, сегодня показываем первый блиц, где Петр Уваров (VK Bug Bounty) отвечает на вопросы Сергея Зыбнева (poxek):

💦 Один отчет в день или непрерывный поток?

🫴 Что ответить на please, give me 500$"?

☕️ Сколько чашек кофе нужно утром, чтобы разобрать ночные отчеты?

📺 Какой сериал или фильм описывает работу триажеров?

🤔 Как сказать багхантеру, что отчет не воспроизводится, другими словами?

PS: надеемся, вы уже успели посмотреть выпуск подкаста про Триаж уязвимостей, а если нет – то вот ссылки, где его найти

📺 VK Видео | 📺 YouTube | 📺 RUTUBE

#bugbounty

🍿 Сегодня смотрим, что на вопросы Сергея poxek Зыбнева ответил Никита Кузякин из BI.ZONE Bug Bounty:

🌚 Может, все-таки один отчет в день? Или много и постоянно?

💰 Что все-таки ответить на Please, give me 500$?

☕️. Сколько чашек кофе нужно, чтобы разобрать все присланные за ночь отчеты?

📺 Какой фильм или сериал описывает работу триажеров?

👀 Как другими словами сказать багхантеру, что его отчет не воспроизводится?

#bugbounty

🎁 Встречайте Bounty pass#3: Advent,
или Mission Possible: собрать все подарки до Нового года

На календаре 22 октября, а значит, время объявить о старте нового Bounty pass#3: Advent. В финальном событии этого юбилейного для VK Bug Bounty года мы приготовили для багхантеров кучу подарков:

💲 Бонусы-бонусы-бонусы
Все любят бонусы, а когда на них нет лимита – еще больше! Поэтому продлили действие уже накопленных бонусов с Bounty pass#1: Progress и Bounty pass#2: Olymp и +5% с каждым новым оплачиваемым отчетом до 19 декабря.

🎁 Адвент-календарь багхантера
Что может быть лучше вознаграждений? Конечно, подарки – уникальный мерч и промокоды, которые можно получать с каждым новым оплачиваемым отчетом (или за каждые 100 000 рублей в отчёте)!

В адвент-календаре на сайте уже открыто 3 подарка, а новые будут появляться каждый вторник до 10 декабря.

🎄 BB Advent Party
Большая новогодняя вечеринка 19 декабря, куда мы пригласим:

🏆 победителей и топ-20 призёров Bounty pass #1: Progress
🥇🥈🥉 всех победителей и призеров Bounty pass #2: Olymp
😎 и всех, кто сдаст 3 оплачиваемых отчёта или получит суммарную выплату на 300 и более тысяч рублей в Bounty pass #3: Advent до 10 декабря 2024 года

🐱 Сезон волшебства и новогодних подарков объявляем открытым! Ждем всех в нашей программе VK Bug Bounty на трех платформах платформах Standoff, BI.ZONE и Bugbounty.ru!

#bugbounty #bountypass #advent

Последний, но зато какой 😎

Да, напоследок решили показать наш самый необычный блиц с гостями выпуска про триаж уязвимостей – с Дарьей Афанасовой из Standoff.

Простите за спойлер (как говорил Никита Кузякин BI.ZONE Bug Bounty в прошлом выпуске), но в этот раз не обошлось без спецэффектов ✨✨✨

А все почему? У ведущего – Сергея Зыбнева (poxek) возник вопрос про самую интересную уязвимость, которую нашли на площадке в этом году.

Интрига? 👀

Скорее смотрим блиц!

#bugbounty

✌️ Победители Bounty pass#2: Olymp

Поздравляем mr4nd3r50n, который сдал больше всего отчетов, и act1on3, который получил больше всего баунти за время проведения Bounty pass#2: Olymp 🎉

🎁 Начиная с этого дня они будут получать +10% к выплатам за все найденные уязвимости в программе VK Bug Bounty до октября 2025-го.

🙌 Благодарим всех участников Bounty pass#2: Olymp за участие и сданные отчеты вплоть до последних часов 21 октября – еще увлеченно триажим их, поэтому финальную расстановку призеров в таблице олимпийцев объявим чрез 2 недели (8 ноября).

А пока ждем результатов – продолжаем искать уязвимости в программе VK, копить бонусы и собирать подарки с Bounty pass#3: Advent!

#bugbounty #bountypass #olymp

🛡 Bug Bounty vs Pentest

В новом выпуске подкаста SafeCode Live Петр Уваров (VK Bug Bounty) и Сергей poxek Зыбнев (пентестер Бастион) рассказали ведущему – Алексею Федулаеву (MTC Web Services и автору канала Ever Secure) о том:

🔹 зачем компаниям нужны внешние исследователи безопасности,

🔹 когда нужны пентесты, а когда нужно запускать программу Bug Bounty,

🔹 и поделились забавными случаями из жизни хакинга.

📺 Смотрите выпуск на 📱 YouTube

🎧 Или слушайте в формате аудио на платформах:

📱 ВКонтакте | 📱 Apple Podcasts | 📱 Яндекс Музыка

🎁 Bounty pass#3: Advent
Новая неделя – новые подарки

Наш багхантерский адвент-календарь начинается по вторникам, поэтому сегодня открыли для вас два новых окошка с подарками. 😲

Итак, в четвертом окошке вы найдете наш Special Advent Edition аксессуар, а что скрывалось в пятом – смотрите на сайте Bounty pass#3: Advent.

Уже получили ваши отчеты об уязвимостях - смотрим, триажим... 🤔

и ждем новые на платформах Standoff, BI.ZONE Bug Bounty и Bugbounty.ru!

#bugbounty #bountypass #advent

🤖 AI на страже VK

Сейчас ИИ уже активно используют во многих технических сферах, но по поводу их применения в ИБ – в индустрии еще много споров и мнений.

В VK мы нашли решение – разработали на основе ИИ систему защиты от DDoS-атак и бот-активностей. Планируем внедрить его во все популярные проекты VK до конца 2024 года. 🗓

🛡 Наш новый сервис WARP (Web Application Resilient Protection) анализирует трафик и выявляет вредоносные запросы на основе постоянно меняющегося поведения пользователей и структуры атак.

🔎 Технология помогает выявлять аномалии и бороться с новым типом нагрузок (длительными атаками на несколько дней), а также распознавать сложные атаки, которые совмещают сразу несколько угроз (программы-парсеры, программы-брутфорсеры и другой вредоносный софт).

🤖 ИИ-модели обучены на обезличенных и обобщенных данных о поведении пользователей каждого сервиса VK. Они отличают злонамеренные действия от органических всплесков активности на площадке.

PS: при создании этого поста мы использовали ИИ – попросили нейронку показать нам, как выглядит WARP.

Именно так мы его себе и представляли. Наверное... 😕

#технологии #AI #WARP #защита_инфраструктуры