Коллеги из Купер.тех (ex.SberMarket Tech) позвали нас на Frontend Meetup,
и мы сказали — а почему бы и нет?

⭐️ Наш DevSecOps-инженер — Александр Карпов, расскажет на митапе про механизмы GitLab, которые помогают практически сразу обнаруживать секреты в коде, и продемонстрирует, как это знание повлияло на нашу работу с коммитами.

📌 26 сентября в 19:00, присоединяйтесь к онлайн-трансляции.

#эксперты #доклады

20 сентября наш эксперт Никита Артемов выступал на мероприятии «Экономическая безопасность бизнеса 2024» с докладом про разные виды разведки — конкурентную, деловую и бизнес. 🕵️‍♂️

Посмотрите запись его выступления — там вы найдете ответы на вопросы про отличия всех этих видов разведки, какие риски для бизнеса снижает каждое из направлений, кто в компании решает подобные задачи, а также познакомитесь с реальными кейсами. 😮

CyberCamp 2024 (3-5 октября) стартует уже завтра 🤘

Три дня киберучений для Blue, Red и Yellow команд! 600 участников в корпоративной и студенческой лиге в этом году будут расследовать все аспекты Kill Chain. Мы будем болеть за наших ребят из SOC – команду ЭкзеКьюти, из фракции "синих". 🧢

💥 И завтра же в 12:55 наш DevSecOps-инженер – Александр Карпов выступит с докладом Коммитить нельзя сканировать: как мы боремся с секретами в коде.

О чем будет доклад ❓

🔹как проверять каждый новый коммит в GitLab на наличие секрета менее, чем за 5 минут
🔹какие точки контроля выбрать: CI/CD jobs, Git, server-side или web hooks
🔹какие подводные камни существуют
🔹как выстроить flow поиска секретов, чтобы разработчикам было максимально комфортно и понятно

Советуем послушать этот доклад – там будет много практических рекомендаций и полезных замечаний от нашей DevSecOps-команды. 😎

▶️ Присоединяйтесь к трансляции на платформе CyberCamp.

#эксперты #доклады

Bounty pass#2: Olymp – 18 дней до завершения олимпиады для багхантеров

Что такое Bounty pass ❓
В 2024 году VK Bug Bounty исполнилось 10 лет, и по этому поводу мы запустили уникальную программа лояльности для багхантеров. Здесь нет фиксированных максимальных выплат и лимита на накопительный бонус. Можно сказать, мы хакнули систему.

А что такое Bounty pass#2: Olymp? 🔍
На протяжении 2024 года мы объединяем багхантеров в разные соревнования по поиску багов. Сперва они все вместе заполняли прогресс-бар и открывали уникальные события в Bounty pass#1: Progress, а сейчас соревнуются по количеству сданных отчетов в личном зачете Olymp. Неизменно одно – это увеличенные вознаграждения с каждым новым отчетом.

Круто?! А знаете, как это работает? 👀
Каждый багхантер получает +5% к стоимости вознаграждений с каждым новым оплачиваемым отчётом. И эти бонусы накапливаются и еще плюсуются. Смотрите, как они это делают.

Олимпийски призеры 🥇🥈🥉
Мы регулярно обновляем таблицу олимпийцев, отмечая успех каждого призера. Сегодня мы поздравляем ratel_xx и bratka с завоеванным золотом и rohack – с серебром. А еще приветствуем новых бронзовых призеров zorkiy и AlexShev! 👏

Всего сейчас в таблице 22 призера, но до завершения Olymp – 21 октября, еще больше 2-ух недель.
Так что у вас еще есть все шансы, чтобы принести призовые отчеты, накопить бонус и получить уникальные наборы мерча. А если набагхантите больше всех, то еще и +10% для каждого оплачиваемого отчёта с октября 2024-го по октябрь 2025 года.

Заходите в программы VK Bug Bounty на платформах Standoff, BI.ZONE и Bugbounty.ru – тут много всего интересного!

#bugbounty #bountypass #olymp

Вот нашли вы все уязвимости, а что дальше?

Иван Василевич из команды VK Pay недавно выступал на конференции по безопасности платежных систем #PAYMENTSECURITY, которая уже традиционно собирает на несколько дней профессионалов финтеха, ИБ и хакинга. Расскажем вам немного про доклад Ивана – про процессы работы с уязвимостями, а точнее, про задачи, которые стоят перед командой информационной безопасности после выявления источников уязвимостей.

❓ Что делать, когда получены отчеты от SAST, DAST, ручного и автоматизированного анализа кода, пентестов, внутренних аудитов и Bug Bounty?

Со стороны может показаться, что этого вполне достаточно для выхода на новый уровень безопасности продукта. Но нет, говорит Иван, нельзя так просто взять и сгрузить все найденные уязвимости в администраторов и команды разработки.

💬Поделимся советами Ивана, как комплексно ускорить процесс устранения уязвимостей.

Итак, извлеченные уроки:

✔️Задачи должны быть максимально детальными и конкретными:
Точное описание уязвимости с определением ее уровня критичности помогут выстроить правильный диалог с IT и командами исполнителей.

✔️Сроки исправления должны быть обоснованными:
Ввод в действие нового требования регуляторов, аудит, пентест – всё это нужные обоснования, нельзя приходить к командам разработчиков с позиции силы.

✔️В задачах нужно указывать вид потенциального ущерба и риска для компании:
Чтобы бизнес- и техлидам были очевидны причины и необходимость устранения уязвимостей.

✔️Задачи должны быть правильно оценены и иметь обоснованный приоритет с учётом контекста:
Ресурсы IT-команд, как правило, всегда ограничены и попасть в план на исправление могут только самые критичные задачи, поэтому нужно рассчитывать приоритет исходя из потенциального ущерба с учетом рисков. Задачи с низкой критичностью оставляем в конце бэклога, но периодически его пересматриваем.

✔️Все участники процесса должны однозначно понимать задачу:
Всегда важно говорить на одном языке с исполнителями и принимающими решения о взятии задачи в бэклог.

✔️Время на устранение уязвимостей планируется заранее и по периодам:
Когда уязвимость приносят внезапно и без запланированного техдолга, то приходится сдвигать остальные планы. Но не всегда это приемлемо.

✔️Индивидуальный подход к каждому участнику ещё никому не повредил:
регулярные встречи для обсуждения статуса, работы с проектными менеджерами, kind reminders и максимум взаимопонимания с командами продукта позволят ускорить процесс и повысить ценность задач для исполнителей.

Если вам стало интересно узнать еще больше про процессы работы с уязвимостями, голосуйте за статью на Хабре:

👍🔥❤️ - будут засчитываться за голос

#эксперты #доклады

Форум КИБЕРТЕХ (7-8 октября, Кластер «Ломоносов»)

Мы участвуем в большом форуме по кибербезопасности — КИБЕРТЕХ 2024 🌐

🛡 Сегодня Илья Борисов, директор департамента по методологии ИБ, примет участие в дискуссии «Киберкультура как инструмент защищённости бизнеса».

Когда и где?
7 октября, 15:00, зал «Атом»

🛡 А завтра мы соберем CISO крупнейших российских big tech-компаний на дискуссию про «ИБ в технологических компаниях», чтобы обсудить актуальные вопросы индустрии:

🔹 Новые технологии и лучшие техники защиты продуктов и пользователей
🔹 Безопасность и ТТМ – как обеспечить безопасность продуктов и кода, не отставая от рынка
🔹 HighLoad – новые требования рынка
🔹 Автоматизация и новые технологии (AI, ML) – кейсы и тренды в ИБ
🔹 Поиск и работа с уязвимостями
🔹 По каким правилам живут в big tech

Модератором дискуссии выступит Антон Карпов, вице-президент, директор по информационной безопасности VK.

Когда и где?
8 октября, 12:15, зал «Кинетика»

#эксперты

Встретились как-то три багхантера и пентестер…

Так бы мог начаться какой-нибудь анекдот, но нет – это про новый выпуск Портрет багхантера в подкасте «Рынок уязвимостей» от Global Digital Space.

Мы пригласили Юрий Ряднина (circuit), Алексей Трофимов (Kwel), Дмитрий Прохоров (ratel_xx), чтобы поближе познакомиться с их личными историями, узнать о том, что их больше всего мотивирует в Bug Bounty, а что приносит разочарование и «боль».

И конечно, в выпуске обсудили:
🔹 Триаж, программы и платформы
🔹 Раскрытие отчетов
🔹 Этика и конкуренция в сообществе
🔹 Новое поколение багхантеров
🔹 Советы начинающим от профи

Ведущий этого выпуска – Сергей Зыбнев, пентестер и основатель проекта poxek.

Смотрите выпуск на платформах:

📱 VK Видео | 📱YouTube | 📺 RUTUBE

Подключайтесь! Будет интересно как новичкам, так и профи. 👉

#bugbounty #подкаст

Нам так понравилось общаться с багхантерами, что мы попросили каждого гостя подкаста ответить еще на несколько вопросов в формате блиц.

👀 Сегодня смотрим и слушаем, что Алексей Трофимов (он же kwel), ответил на вопросы:

🍎 Низко висящий фрукт или Kill Chain?
😎 Приватка или паблик?
🍿 Охота за багами или отдых на ивенте?
🤓 Самая первая бага, за которую получил вознаграждение
💲 Самая большая выплата

#bugbounty

А сегодня смотрим блиц с Юрой circuit Ряднина.

Итак, вопросы те же:

🔗 Kill Chain или низко висящие фрукты?
🏖 Отдых на ивенте для багхантеров или поиск багов?
🤫 Приватка или паблик?
👾 Самая первая бага и самая большая выплата?

а вот ответы… 👀 вас, возможно, удивят.

PS: кстати, а как вам выпуск подкаста с багхантерами? Уже успели посмотреть? Если нет, то впереди выходные – запасайтесь попкорном и го смотреть 🍿

📱 VK Видео | 📱YouTube | 📺 RUTUBE

#bugbounty

Ну и продолжая тему Bug Bounty, не можем не зафорсить исследование на Хабре, которе мы запустили вместе со Standoff Bug Bounty 👾

Для нас Bug Bounty – это уже больше, чем программа по поиску уязвимостей. 10 лет уже в этом "бизнесе" 😎 Мы дорожим нашим коммьюнити багхантеров, и нам всегда очень интересно узнавать, что их мотивирует, что нравится в программах, а чего не хватает.

Ну и конечно, нам бы хотелось узнать, что другие знают и думают про багхантинг 🤔

Поэтому будем очень рады, если вы поделитесь своим мнением 👉
https://habr.com/ru/specials/849390/

#bugbounty

Итак, последний блиц – с Димой ratel_xx Прохоровым 😎

Смотрим, что ответит Дима на вопросы про Kill Chain, отдых на мероприятиях для багхантеров, публичные программы и первую оплачиваемую багу. 👾

А еще бонусный вопрос: готов ли платить, чтобы раскрутить багу?

Ну что, какой блиц вам понравился больше ❓

#bugbounty

Фишинг, спам и роботы фроды 🥸

На митапе smartmail: antispam & antifraud эксперты команд Mail и VK поделились опытом защиты миллионов пользователей от мошеннических схем, рассказали о технологиях и прорывах в обучении ML, а также воспитании культуры кибербезопасности. И конечно, рассказали об эволюции фишинга и спама.

Смотрите видео этих докладов:

🎣 Фишинг: снаружи и изнутри
Ксения Кокорева, руководитель команды Антифишинга, Mail, и Павел Никитин, Red & Purple Team Lead, VK
🔹Про эволюцию фишинга, про использование ML, а также про таргетированные атаки и то, что случится после «пробива».

🤖 С чего начинаются фроды
Максим Бронзинский, руководитель команды AntiFraud, VK
🔹Простые правила борьбы с фродом, которые почему-то не так просто соблюдать, и причины, почему люди лучше роботов.

🔎 Как мы реализовали OCR в Почте
Сергей Сунцов, руководитель команды backend-разработки Антиспама, Mail, и Константин Хицко, руководитель команды Спаманализа, Mail.
🔹 Про то, как научились распознавать текст на картинках в потоке несколько миллионов писем в минуту и не тратить на это большое количество GPU.

#эксперты #доклады

🎙️ Новый выпуск подкаста про Bug Bounty – триаж уязвимостей

Сперва мы послушали багхантеров – узнали про их будни, достижения и «хотелки», а теперь настал черед тех, кто находится по другую сторону Bug Bounty. 😎

Позвали Дарью Афанасову (Standoff Bug Bounty), Елизавету Дудко (Т-Банк), Никиту Кузякина (BI.ZONE.Bug Bounty) и Петра Уварова (VK Bug Bounty), чтобы обсудить с ними насущные вопросы и проблемы триажа, а также ответить на «боли» багхантеров.

О чем поговорили ❓

🔹 Отчеты: процесс валидации, советы по оформлению и дисклоузы
🔹 Дубликатные дубликаты
🔹 Выплаты, бонусы и специальные программы
🔹 Хватает ли багхантеров на российском рынке Bug Bounty?
🔹 Советы начинающим ресерчерам

📺 Смотрите, что триажеры рассказали Сергею poxek Зыбневу, ведущему этого выпуска подкаста «Рынок уязвимостей»:

📺 VK Видео | 📺 YouTube | 📺 RUTUBE

⭐️ Новые призеры Bounty pass#2: Olymp

Это последний апдейт в таблице олимпийцев перед подведением итогов Bounty pass#2: Olymp – победителей объявим 25 октября.

А пока давайте поздравим:

🥇 zerodivisi0n и r0hack, которые поднялись на верхнюю ступеньку нашего багхантерского пьедестала

🥈 cutoffurmind – с завоеванным серебром

🥉 Dandomi, circuit и lobity с тем, что ворвались в борьбу и уверенно завоевали бронзу

Да, Bounty pass#2: Olymp завершится вечером 21 октября, но это не повод расстраиваться. У вас еще есть время, чтобы сдать отчеты о найденных уязвимостях, накопить бонус и попасть в число олимпийских призеров. На кону – уникальные наборы мерча, а победители получат несгораемый бонус 10% на целый год.

🚀Спешите в программы VK Bug Bounty на платформах Standoff, BI.ZONE и Bugbounty.ru.

#bugbounty #bountypass #olymp

Блиц, блиц, блиц!

После записи подкаста про Триаж уязвимостей мы попросили наших участников ответить на вопросы в формате блиц-интервью. Да, нам так понравилось, как это сделали багхантеры, что решили повторить.

Итак, сегодня показываем первый блиц, где Петр Уваров (VK Bug Bounty) отвечает на вопросы Сергея Зыбнева (poxek):

💦 Один отчет в день или непрерывный поток?

🫴 Что ответить на please, give me 500$"?

☕️ Сколько чашек кофе нужно утром, чтобы разобрать ночные отчеты?

📺 Какой сериал или фильм описывает работу триажеров?

🤔 Как сказать багхантеру, что отчет не воспроизводится, другими словами?

PS: надеемся, вы уже успели посмотреть выпуск подкаста про Триаж уязвимостей, а если нет – то вот ссылки, где его найти

📺 VK Видео | 📺 YouTube | 📺 RUTUBE

#bugbounty

🍿 Сегодня смотрим, что на вопросы Сергея poxek Зыбнева ответил Никита Кузякин из BI.ZONE Bug Bounty:

🌚 Может, все-таки один отчет в день? Или много и постоянно?

💰 Что все-таки ответить на Please, give me 500$?

☕️. Сколько чашек кофе нужно, чтобы разобрать все присланные за ночь отчеты?

📺 Какой фильм или сериал описывает работу триажеров?

👀 Как другими словами сказать багхантеру, что его отчет не воспроизводится?

#bugbounty