Пошумели на VK Security Confab: BB edition 🤟
Вчера было так: приходишь на митап, а вокруг — свои. Кто-то давно знаком, кто-то наконец встретился лично после долгого общения в чатиках, а кто-то только познакомился — но сразу нашёл общие темы для разговоров.
О чем говорили:
🔹 Петр Уваров открыл митап докладом о том, почему не стоит слепо доверять ИИ и как триажеры разбирают потоки сгенерированных отчетов. Добавил живых примеров и даже мемчиков для наглядности.
🔹 Заур Заубаев выступил с историей создания HackAdvisor — платформы, созданной хакером для хакеров, которая помогает обеим сторонам и борется за справедливость.
🔹 Павел Никитин поделился инсайтами, как системно смотреть на большой технологический продукт и не бояться искать там уязвимости.
🔹 Завершал митап Всеволод Кокорин — продолжил тему ИИ, рассказал, как AI стал незаменимым помощником в хантинге, поделился своим успешным опытом и забрал победу в голосовании за лучший доклад.
📎 Презентации спикеров
Мы получили больше 400 заявок на участие! В этот раз зал еле-еле вместил всех, кто пришёл. Вызов принят: в следующий раз будем искать площадку побольше 🙌
Спасибо, что пришли и сделали этот вечер таким невероятным! Было очень круто🔹
Расскажите, а вам как?👇
Вчера было так: приходишь на митап, а вокруг — свои. Кто-то давно знаком, кто-то наконец встретился лично после долгого общения в чатиках, а кто-то только познакомился — но сразу нашёл общие темы для разговоров.
О чем говорили:
📎 Презентации спикеров
Мы получили больше 400 заявок на участие! В этот раз зал еле-еле вместил всех, кто пришёл. Вызов принят: в следующий раз будем искать площадку побольше 🙌
Спасибо, что пришли и сделали этот вечер таким невероятным! Было очень круто
Расскажите, а вам как?👇
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
❤23🔥11🆒5👍2🎉2😁1
В новом посте Тимур Лутфуллин, руководитель дежурных смен L1 в SOC, расскажет о том, как его команда перестала тонуть в потоке алертов. Десятки инцидентов в час, работа в разных системах, долгие расследования и лишние коммуникации — с этими вызовами знаком каждый, кто работает в дежурной смене. В материале — опыт внедрения ML в процессы, который изменил подход к обработке инцидентов и освободил время аналитиков.
🔹 Наша команда работает 24/7, и нагрузка постоянно растёт: в пиковые периоды поток алертов идёт почти непрерывно, среднее число — десятки в час.
Главные болевые точки были типичными:
аналитик тратит время на переключение между разными системами: логи, доступы, обогащение,
процесс расследования не стандартизирован, сложные кейсы затягиваются.
Взаимодействие со смежными командами, например, антифродом, требует лишних коммуникаций;
пользовательские подтверждения действий — боты-опросники — создают дополнительный шум.
🔹 Чтобы решить эти проблемы, мы сделали ставку на SOAR-систему, которая позволила аналитику работать в едином окне. К нам приходят алерты, сразу обогащаются, и из этого же интерфейса можно проводить реагирование.
🔹 Никаких копирований и поиска по разным вкладкам: вся информация о хосте, возможность проверить хэш, связаться с сотрудником в мессенджере или создать задачу в системе тикетинга — всё в одной карточке.
🔹 Для ускорения расследования мы добавили встроенные плейбуки и подсказки от внутренней LLM. Нейросеть прямо в карточке алерта даёт описание события на понятном языке и предлагает вердикт. Так аналитик быстрее понимает контекст, особенно в сложных или объёмных срабатываниях.
🔹 Следующий шаг — обучение ML-модели на наших данных. Мы отдаём ей все алерты, чтобы она обогащала новые срабатывания информацией из внутренних систем —должность сотрудника, история аналогичных событий — и помогала с предварительным вердиктом. Модель уже используется в нашем боте для подтверждения команд: если пользователь ранее запускал безопасные команды на хосте, ML это запомнит и больше не будет задавать вопросов, сокращая лишние взаимодействия.
🔹 Отдельно автоматизировали взаимодействие с антифродом. Раньше приходилось вручную оформлять алерты и ждать ответа. Теперь из SOAR алерт автоматически уходит в общий чат с кнопками «True Positive» / «False Positive», коллеги ставят вердикт, и он возвращается обратно в SOAR — всё закрывается без лишних движений.
🔹 Что это дало:
🔹 Время жизни алерта — от прихода до полного расследования — сократилось и вышло на стабильные показатели даже при пиковых нагрузках.
🔹 Аналитик работает в едином окне, не отвлекаясь на смежные системы.
🔹 Реагирование стало унифицированным. Многие действия: блокировка хоста, антивирусная проверка, создание инцидента — выполняются прямо из карточки алерта по нажатию кнопки.
🔹 Cнизилось количество ложных срабатываний и ручных подтверждений.
🔹 Взаимодействие со смежными подразделениями переведено в автоматический режим — время согласования сократилось с часов до минут.
Конечно, автоматизация не делается раз и навсегда. Мы постоянно дорабатываем правила, обучаем модели и расширяем возможности SOAR. Но полученный результат — наглядный пример того, как грамотное внедрение инструментов и пересмотр процессов помогает команде справляться с растущим потоком событий без потери качества.
#SOC #эксперты #разбор
VK Security | Буст этому каналу!
Главные болевые точки были типичными:
аналитик тратит время на переключение между разными системами: логи, доступы, обогащение,
процесс расследования не стандартизирован, сложные кейсы затягиваются.
Взаимодействие со смежными командами, например, антифродом, требует лишних коммуникаций;
пользовательские подтверждения действий — боты-опросники — создают дополнительный шум.
Конечно, автоматизация не делается раз и навсегда. Мы постоянно дорабатываем правила, обучаем модели и расширяем возможности SOAR. Но полученный результат — наглядный пример того, как грамотное внедрение инструментов и пересмотр процессов помогает команде справляться с растущим потоком событий без потери качества.
#SOC #эксперты #разбор
VK Security | Буст этому каналу!
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
❤9🔥4🏆2👍1
Добрый день, %bughunter_name%
Благодарим вас за отчёт и вклад в безопасность VK🔹
Основываясь на уровне угрозы и таблице вознаграждений в Q1 мы назначили выплаты в размере 40 000 000+ рублей.
Эта сумма получилась так:
🔹 отчёты в количестве более 200 уязвимостей, а также действующий накопительный бонус VK Bounty Pass до 5% за каждый отчет.
Ваш % Bounty Pass: информация доступна в личном кабинете по адресу:
https://bugbounty.vk.company.ru
С уважением, VK 💙
VK Security | Буст этому каналу!
#bugbounty #bountypass
Благодарим вас за отчёт и вклад в безопасность VK
Основываясь на уровне угрозы и таблице вознаграждений в Q1 мы назначили выплаты в размере 40 000 000+ рублей.
Эта сумма получилась так:
Ваш % Bounty Pass: информация доступна в личном кабинете по адресу:
https://bugbounty.vk.company.ru
С уважением, VK 💙
VK Security | Буст этому каналу!
#bugbounty #bountypass
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
👏12🔥8❤3😁3
Всем привет👋
Делимся отличным кейсом по AI-автоматизации от коллег из команды RuStore⬇️ ⬇️ ⬇️
Делимся отличным кейсом по AI-автоматизации от коллег из команды RuStore
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from RuStore Dev
Как ускорить работу ИБ-команды и не утонуть в рутине 🪲
Большая часть работы ИБ — это не «охота за хакерами», а операционка: разбор задач, ревью кода, проверка релизов. Она тоже важна, но отнимает время у того, что действительно требует экспертизы специалиста.
ИБ-команда RuStore сделала ставку на AI-автоматизацию, чтобы разгрузить команду и ускорить процессы. И не прогадала.
Что внедрили:
🔹 сервис для первичного ревью Security Check-задач
🔹 AI Code Review для поиска типовых уязвимостей
🔹 AI DAST — мультиагентную систему динамического тестирования
Как это всё встраивали в процессы, какие ограничения встретили и какие результаты получили, рассказали на Хабре.
🔗 Читать
#RuStore_Habr
Большая часть работы ИБ — это не «охота за хакерами», а операционка: разбор задач, ревью кода, проверка релизов. Она тоже важна, но отнимает время у того, что действительно требует экспертизы специалиста.
ИБ-команда RuStore сделала ставку на AI-автоматизацию, чтобы разгрузить команду и ускорить процессы. И не прогадала.
Что внедрили:
Как это всё встраивали в процессы, какие ограничения встретили и какие результаты получили, рассказали на Хабре.
#RuStore_Habr
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥9👍4🤪1
Технологии безопасности Big Tech #8
➡️ В 2024 году в одном из публичных репозиториев VK обнаружили уязвимость в GitHub Workflow: триггер pull_request запускал CI/CD-сценарий с правами и секретами базовой ветки, что позволяло внешнему исследователю получить привилегированный доступ — от слива секретов до подмены артефактов.
Оперативная митигация проблему решила, но стало ясно: точечные правки не работают, нужен системный подход.
Как именно команда ИБ провела аудит 57+ экшенов, категоризировала векторы атак, разработала харденинг, автоматизировала мониторинг и в итоге создала собственный сервис MGSA — в нашем новом видео рассказывает Владислав Верусь, старший инженер по безопасности инфраструктуры соцсетей VK.
🍿 Ссылка на видео
А как в вашей компании организован аудит безопасности GitHub-репозиториев?
VK Security | Буст этому каналу
#эксперты #проект #mgsa
Оперативная митигация проблему решила, но стало ясно: точечные правки не работают, нужен системный подход.
Как именно команда ИБ провела аудит 57+ экшенов, категоризировала векторы атак, разработала харденинг, автоматизировала мониторинг и в итоге создала собственный сервис MGSA — в нашем новом видео рассказывает Владислав Верусь, старший инженер по безопасности инфраструктуры соцсетей VK.
А как в вашей компании организован аудит безопасности GitHub-репозиториев?
VK Security | Буст этому каналу
#эксперты #проект #mgsa
Please open Telegram to view this post
VIEW IN TELEGRAM
❤8👍4🔥3
Сегодня — о том, где на практике ломается привычное представление о защите данных в продуктовых компаниях. А именно: что происходит, когда требования закона сталкиваются с реальной архитектурой продукта.
На уровне формулировок всё выглядит довольно просто: данные нужно хранить безопасно, ограничивать доступ, удалять по запросу, не передавать без оснований. Но как только это нужно реализовать в живой системе, появляется совсем другой уровень сложности. Потому что «персональные данные» внутри продукта — это не одна сущность. Это несколько хранилищ, аналитические витрины, антифрод-системы, интеграции с внешними сервисами, множество ролей и доступов. Требования понятны, а вот их реализация — это уже инженерная задача.
🔹 Типовой кейс
Пользователь запрашивает удаление своих данных.
Снаружи процесс выглядит линейно:
запрос → обработка → удаление → ответ.
Внутри всё значительно сложнее. К этому моменту данные уже могут:
• разъехаться по разным сервисам;
• использоваться в аналитике;
• участвовать в антифроде;
• лежать в резервных копиях;
• быть переданными третьим сторонам.
Если удалить всё без разбора — есть риск сломать продукт. Не удалить — нарушение требований законодательства.
Как это решается на практике? Сначала нужно понять:
• где обрабатываются данные;
• как устроены процессы передачи и потоков данных;
• как данные переиспользуются и обогащаются в процессах;
• как организован процесс работы с данными, кто и как к ним имеет доступ.
Дальше появляются инженерные решения:
• где необходимо удаление;
• где можно применить обезличивание;
• где — ограничение доступа через роли и IDM;
• где нужно изменить процессы обработки данных.
И всё это — баланс между законом, архитектурой и бизнесом.
🔹 За рамками compliance
На рынке часто функцию защиты данных закрывают через юридическую экспертизу.
Это логично: регуляторика сложная, требования и штрафы растут, коммуникация с регуляторами критична.
Но без технического слоя остаются слепые зоны, которые часто игнорируются при удалении:
• реальные механики хранения данных и доступа к ним,
• временные и файловые хранилища,
• аналитические данные,
• логи и технические журналы,
• локальные доступы,
• методы обезличивания,
• движение данных между сервисами и третьими лицами,
• каналы передачи данных,
• поведение бэкапов,
• процессы восстановления данных,
• фактическое состояние данных после «удаления»,
• идентификаторы или совокупность/связка данных, по которым можно восстановить данные,
• копии данных.
🔹 А как у нас?
Традиционный подход — когда за защиту данных отвечают юристы, а инженеры «исполняют требования» — неизбежно приводит к разрыву между документацией и реальностью.
Мы в VK выстраиваем защиту данных иначе: она изначально встроена в архитектуру и процессы разработки. Требования закона не появляются неожиданно на этапе релиза — они учитываются заранее, на этапе проектирования системы. Без встроенных инструментов даже прописанные политики и регламенты остаются просто бумагой. В VK реализованы инструменты для категорирования и маркировки данных, аудита доступов, ведения спецификаций, реестров и потоков данных, обезличивания и безопасной обработки данных при использовании AI. Это позволяет не просто «соблюдать законы», а сделать защиту данных прозрачной, измеримой и устойчивой к изменениям продукта.
Как это выглядит на практике, покажем на примере одного из наших сервисов в будущих публикациях.
Stay tuned! 😉
#эксперты #DPO
VK Security | Буст этому каналу
На уровне формулировок всё выглядит довольно просто: данные нужно хранить безопасно, ограничивать доступ, удалять по запросу, не передавать без оснований. Но как только это нужно реализовать в живой системе, появляется совсем другой уровень сложности. Потому что «персональные данные» внутри продукта — это не одна сущность. Это несколько хранилищ, аналитические витрины, антифрод-системы, интеграции с внешними сервисами, множество ролей и доступов. Требования понятны, а вот их реализация — это уже инженерная задача.
Пользователь запрашивает удаление своих данных.
Снаружи процесс выглядит линейно:
запрос → обработка → удаление → ответ.
Внутри всё значительно сложнее. К этому моменту данные уже могут:
• разъехаться по разным сервисам;
• использоваться в аналитике;
• участвовать в антифроде;
• лежать в резервных копиях;
• быть переданными третьим сторонам.
Если удалить всё без разбора — есть риск сломать продукт. Не удалить — нарушение требований законодательства.
Как это решается на практике? Сначала нужно понять:
• где обрабатываются данные;
• как устроены процессы передачи и потоков данных;
• как данные переиспользуются и обогащаются в процессах;
• как организован процесс работы с данными, кто и как к ним имеет доступ.
Дальше появляются инженерные решения:
• где необходимо удаление;
• где можно применить обезличивание;
• где — ограничение доступа через роли и IDM;
• где нужно изменить процессы обработки данных.
И всё это — баланс между законом, архитектурой и бизнесом.
На рынке часто функцию защиты данных закрывают через юридическую экспертизу.
Это логично: регуляторика сложная, требования и штрафы растут, коммуникация с регуляторами критична.
Но без технического слоя остаются слепые зоны, которые часто игнорируются при удалении:
• реальные механики хранения данных и доступа к ним,
• временные и файловые хранилища,
• аналитические данные,
• логи и технические журналы,
• локальные доступы,
• методы обезличивания,
• движение данных между сервисами и третьими лицами,
• каналы передачи данных,
• поведение бэкапов,
• процессы восстановления данных,
• фактическое состояние данных после «удаления»,
• идентификаторы или совокупность/связка данных, по которым можно восстановить данные,
• копии данных.
Традиционный подход — когда за защиту данных отвечают юристы, а инженеры «исполняют требования» — неизбежно приводит к разрыву между документацией и реальностью.
Мы в VK выстраиваем защиту данных иначе: она изначально встроена в архитектуру и процессы разработки. Требования закона не появляются неожиданно на этапе релиза — они учитываются заранее, на этапе проектирования системы. Без встроенных инструментов даже прописанные политики и регламенты остаются просто бумагой. В VK реализованы инструменты для категорирования и маркировки данных, аудита доступов, ведения спецификаций, реестров и потоков данных, обезличивания и безопасной обработки данных при использовании AI. Это позволяет не просто «соблюдать законы», а сделать защиту данных прозрачной, измеримой и устойчивой к изменениям продукта.
Как это выглядит на практике, покажем на примере одного из наших сервисов в будущих публикациях.
Stay tuned! 😉
#эксперты #DPO
VK Security | Буст этому каналу
Please open Telegram to view this post
VIEW IN TELEGRAM
✍4👍2🔥2
Нейросети помогают автоматизировать рутину, ускоряют анализ, позволяют быстрее разбирать большие объёмы данных и искать нестандартные векторы.
Мы сами видим много кейсов, где ИИ реально помогает хантерам усиливать свой подход.
Чаще всего это выглядит так:
Иногда это доходит до абсурда. Например:
Большой поток нейрослопа влияет на всю экосистему багбаунти:
Есть и менее очевидная проблема — замыливается восприятие.
Когда подряд смотришь десятки сгенерированных репортов без доказательств, к следующему отчёту автоматически появляется скепсис, даже если он валидный.
Некоторые зарубежные программы и платформы уже начали вводить ограничения:
За последний квартал мы обновили внутренние правила и усилили проверку подобных отчётов. В том числе протестировали механику промпт-инъекций против AI-агентов и вайбхантинга.
Если уязвимость нельзя воспроизвести, объяснить и показать её влияние на безопасность — это невалидный отчёт. Даже если он красиво оформлен и наполнен красивыми и сложными терминами, которые сгенерировала нейросеть. Если AI-агент «нашёл», что на ресурсе есть компонент с уязвимой версией, что может привести к critical devtools xss injection, и вы это сдали — это тоже будет невалидным отчётом.
Поэтому, если пользуетесь ИИ-агентами для поиска уязвимостей, перед отправкой репорта стоит задать простой вопрос: «Примут ли эту уязвимость в bug bounty?». Очень часто после этого вопроса агент сам отвечает: «Ты абсолютно прав, это не примут в bug bounty»
И, кстати, если вы пропустили — доклад Петра Уварова с митапа о том, почему не стоит слепо доверять ИИ и как триажеры разбирают потоки сгенерированных отчётов:
👉 Смотреть презентацию
P.S. Следите за новостями канала! Совсем скоро стартуем с новым проектом, в котором будем говорить о реальном опыте багхантеров. И, конечно, тема ИИ не останется без внимания!
VK Security | Буст этому каналу!
#bugbounty
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥11😁3👍1🆒1
This media is not supported in your browser
VIEW IN TELEGRAM
Ого, что?! Вышел первый выпуск нашего подкаста «Спасибо за репорт» 🎧
Это проект VK Bug Bounty для багхантеров, а также для всех, кто формирует индустрию. Поговорим с топ-хантерами, командами bug bounty-платформ, вендорами и теми, кому не всё равно, как развивается поиск уязвимостей.
Гость первого выпуска — Всеволод Кокорин aka Slonser.
Разбираемся с ИИ-агентами в багхантинге без восторженных «они всё заменят» и без паники. Что уже работает, что лучше перепроверять три раза и почему хороший результат не получить без реальных знаний. Всеволод как раз из тех, кто разбирается в этом по-настоящему. Он эффективно применяет ИИ-агентов в реальных задачах и точно знает, где они ускоряют работу, а где им не стоит доверять.
В выпуске:
– как ИИ-агенты меняют поиск уязвимостей?
– какие задачи можно отдавать агентам, а какие лучше оставить себе?
– где агенты начинают галлюцинировать вместо того, чтобы искать баги?
– от чего зависят аватарки Slonser'а?
🍿 Первый выпуск
Ставьте лайк, шерьте друзьям, репостите в чатики — будет полезно всем, кто хочет использовать агентов точнее и получать на выходе качественные репорты.
Пишите в комментариях: как вам запуск, кого позвать дальше и какие темы разобрать👇👇👇
VK Security | Буст этому каналу!
#bugbounty #подкаст
Это проект VK Bug Bounty для багхантеров, а также для всех, кто формирует индустрию. Поговорим с топ-хантерами, командами bug bounty-платформ, вендорами и теми, кому не всё равно, как развивается поиск уязвимостей.
Гость первого выпуска — Всеволод Кокорин aka Slonser.
Разбираемся с ИИ-агентами в багхантинге без восторженных «они всё заменят» и без паники. Что уже работает, что лучше перепроверять три раза и почему хороший результат не получить без реальных знаний. Всеволод как раз из тех, кто разбирается в этом по-настоящему. Он эффективно применяет ИИ-агентов в реальных задачах и точно знает, где они ускоряют работу, а где им не стоит доверять.
В выпуске:
– как ИИ-агенты меняют поиск уязвимостей?
– какие задачи можно отдавать агентам, а какие лучше оставить себе?
– где агенты начинают галлюцинировать вместо того, чтобы искать баги?
– от чего зависят аватарки Slonser'а?
Ставьте лайк, шерьте друзьям, репостите в чатики — будет полезно всем, кто хочет использовать агентов точнее и получать на выходе качественные репорты.
Пишите в комментариях: как вам запуск, кого позвать дальше и какие темы разобрать👇👇👇
VK Security | Буст этому каналу!
#bugbounty #подкаст
Please open Telegram to view this post
VIEW IN TELEGRAM
❤23🔥9✍5
Привет 👋 На связи Никита Галимов, руководитель команды безопасности Технического департамента VK.
🔹 Сейчас у нас открыта роль Архитектора информационной безопасности — человека, который умеет смотреть на систему целиком: от бизнес-рисков и модели угроз до DevOps-пайплайнов, сетевых политик, легаси и целевой архитектуры. Нужно разбираться в инфраструктуре «руками» — CI/CD, подписи артефактов, Kubernetes, сетевых логах — и уметь объяснять решения разработке, CTO и продукту на языке сроков, устойчивости и стоимости риска.
О задачах рассказываю ниже, смотрите и откликайтесь на сайте.
🔹 Больше вакансий от моих коллег:
🔹 AppSec
AppSec-инженер
AppSec-инженер в MAX
AppSec-инженер в VK ID
🔹 InfraSec:
Эксперт по инфраструктурной безопасности
Технический менеджер в MAX
🔹 AI Security
Специалист по безопасности Gen AI
🔹 SOC
Аналитик Threat Intelligence в MAX
Аналитик SOC (L2) в MAX
🔹 Antifraud
Аналитик антифрода (L2) в MAX
Аналитик антифрода (L3) в MAX
🔹 Контакт для связи: @nstslis
VK Security | Буст этому каналу!
#вакансии
О задачах рассказываю ниже, смотрите и откликайтесь на сайте.
AppSec-инженер
AppSec-инженер в MAX
AppSec-инженер в VK ID
Эксперт по инфраструктурной безопасности
Технический менеджер в MAX
Специалист по безопасности Gen AI
Аналитик Threat Intelligence в MAX
Аналитик SOC (L2) в MAX
Аналитик антифрода (L2) в MAX
Аналитик антифрода (L3) в MAX
VK Security | Буст этому каналу!
#вакансии
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥10👍5❤4🤔2🤩2✍1😁1🤪1