⚙️ Владимир Соперников, эксперт-аналитик информационной безопасности Почта Mail, рассказал в новой статье на Хабре, как он автоматизировал мониторинг, заменив устаревшие скрипты на гибкую систему autobb.

За 7 минут (именно столько займет чтение) вы узнаете:

🔵Как организован поиск доменов, портов и HTTP-ресурсов.

🔵 Почему MongoDB, Docker и Project Discovery стали основой решения.

🔵Как мы научились находить уязвимости до того, как о них сообщат багхантеры?

🔵Какие нюансы и подводные камни учли при внедрении.

Бонус: много кода и ссылки на репозиторий!

🔗 Читать статью: https://vk.cc/cJmdfs

#разработка #защита_инфраструктуры

💬 Как RuStore защищает свои релизы?

🔹 Когда хочется быстрее выпустить релиз, безопасность может оказаться на втором плане. Но, вместо того чтобы идти на компромиссы, можно сделать так, чтобы релизы выходили быстро и безопасно.

🔹 Дмитрий Морев, руководитель информационной безопасности RuStore, в статье на Хабре объясняет, как с помощью автоматизированных проверок, архитектурных ревью, автосогласования релизов и Security Gate минимизировать риски.

🔹 Читать статью

VK Security

#RuStore #статья #SecurityGate

🔹 VK Tech: ищем эксперта продуктовой безопасности

Если вы умеете строить безопасные процессы разработки, знаете, как проводить тестирование и анализ безопасности, то эта вакансия для вас:

🔹 Построение процесса безопасной разработки
🔹 Формирование требований по ИБ к продуктам
🔹 Проведение архитектурного ревью и анализ безопасности
🔹 Тестирование на проникновение и динамический анализ
🔹 Взаимодействие с командами разработки и эксплуатации

Ваш опыт:

▪️Знания стандартов сертификации ПО и технологий безопасности
▪️Опыт тестирования и анализа безопасности
▪️Навыки работы с инструментами SAST, SCA, динамическим анализом

Прислать резюме: @lisenkova_a
Подробнее о вакансии: https://vk.cc/cJVHJP

VK Security

#вакансии #VKTech

🖥 Вы просили — мы открыли!

Стартуем с практикой раскрытия отчетов от багхантеров! На платформе Standoff Bug Bounty уже доступны первые 7 отчетов, подготовленные cutoffurmind, kedr и circuit.

Делимся инсайтами авторов🔹

circuit:

«Начинающие багхантеры должны как-то учиться. Учиться на чужих примерах — это отличный вариант. Да и программы будут получать больше репортов после дисклозов, мне так кажется. Кого-то эти отчеты смогут мотивировать на поиск уязвимостей».

cutoffurmind:

«Это редкий вариант эксплуатации blind RCE, когда на выходе имеем только exit status код процесса. А еще уязвимость была найдена после анализа исходного кода проекта на GitHub».

kedr:

«Помимо обмена опытом (а большая часть багбаунти — это изучение находок других хантеров), дисклозы создают ощущение «движухи» и подталкивают тебя к тому, чтобы тоже пойти и потыкать программу. Кроме того, можно посмотреть, как компания оценивает уязвимости и высчитывает критичность — ведь одна и та же XSS может быть как medium, так и high-critical».

🔹 Поддерживаем мнение авторов — что может быть более вдохновляющим, чем чужой репорт?

🔹Поэтому не собираемся на этом заканчивать, следите за обновлениями — в будущем вас ждут новые дисклозы.

🔹 Надеемся, что опубликованные отчеты натолкнут вас на новые поиски — ждем ваши отчеты в программу VK Bug Bounty!

И не забывайте, что с Bounty Pass можно копить бонусы к выплатам на целый год.

VK Security

#bugbounty #bountypass #reports

Где деньги бонусы, Лебовски?

Отвечаем: вся активность и количество бонусов VK Bug Bounty в одном месте! Теперь каждый участник программы ❤️ Bug Bounty может отслеживать свой прогресс в новом личном кабинете на VK Bug Bounty.

В личном кабинете доступны:

🔵количество сданных отчетов
🔵накопленный бонус Bounty Pass
🔵срок его действия

Статистика собирается автоматически со всех платформ Standoff Bug Bounty, BI.ZONE Bug Bounty и Bugbounty.ru — ни один отчет не останется без внимания.

Не забывайте, бонусы можно накапливать! С каждым оплачиваемым отчетом — до +5% к следующему вознаграждению.

Больше критов — больше наград!

🔗 Регистрируйтесь прямо сейчас!

VK Security

#bugbounty #bountypass

- Скажи мне три главных слова.
- Security. Operation. Center.

🔹 24 апреля в 19:00 приглашаем аналитиков и инженеров SOC в московский офис VK на новый митап VK Security Confab!

Обсудим:

🔘Какие изменения необходимы современному SOC?
🔘Как автоматизировать рутину и освободить время для сложных задач?
🔘Какие технологии применяют в BigTech?

🔹Обещаем — будут внутренние кейсы и выступления приглашённых экспертов.

🔹Совсем скоро опубликуем программу и начнем регистрацию, а пока берите на заметку дату и планируйте ваш визит в офис VK!

Будет интересно!

VK Security

#митап #confab #SOC

Открытые порты: невидимая угроза, которая может стоить миллионы

🔎 Публикуем тезисы из доклада Максима Казенкова, эксперта направления DevOps.

💵 В 2019 Capital One потерял данные 100+ млн клиентов из-за одного открытого порта. Обошли firewall → попали в базу. Штрафы, компенсации, удар по репутации — на десятки миллионов долларов.

Почему это важно?
Каждый открытый порт = потенциальная дыра в системе. Если не заметить или настроить неправильно — злоумышленник это сделает за вас.

Что с этим делать?
Регулярно сканировать периметр. Но тут есть свои нюансы:

- Nmap — точный, но слишком медленный при масштабном сканировании.
- Masscan — очень быстрый, но часто выдаёт ложные срабатывания и не подходит для глубокого анализа.
- Коммерческие сканеры — как стрелять из пушки по воробьям: тяжёлые, дорогие и зачастую избыточные. Их настраивать — отдельный квест, а стоят как крыло от Боинга. Да и заточены они под всё подряд: уязвимости, инфраструктура, политика, а не просто периметр и порты.

➡️Так родился NMon, который объединяет скорость Masscan и точность Nmap, поддерживая распределенное сканирование.

Это позволяет:

🔹 анализировать периметр в реальном времени.

🔹 гибко настраивать параметры сканирования.

🔹 встраивать в системы безопасности.

🤖 Впереди — ML для автоматического распознавания административных панелей и анализа изменений в инфраструктуре.

🔗 Смотреть полное видео

VK Security

#NMon #технологии #эксперты #доклады