Мир сегодня с "Юрий Подоляка"

Труха⚡️Україна

查看

Николаевский Ванёк

查看

Мир сегодня с "Юрий Подоляка"

查看

Труха⚡️Україна

查看

Николаевский Ванёк

查看

VK Security

Новости, митапы и вакансии от команды информационной безопасности VK и, конечно, программа Bug Bounty.

TGlist 评分

类型公开

验证

未验证

可信度

不可靠

位置

语言其他

频道创建日期Aug 28, 2024

添加到 TGlist 的日期

Feb 18, 2025

我是频道所有者

变更历史

关联群组

VK Security chat

Telegram频道 VK Security 统计数据

详细信息

订阅者

2 407

24 小时00%一周00%一个月

431.8%

引用指数

300

提及1频道上的转发0频道上的提及1

每帖平均覆盖率

1 225

12 小时00%24 小时1 2250%48 小时1 2250%

参与率 (ER)

1.8%

转发4评论0反应18

覆盖率参与率 (ERR)

0%

24 小时0%一周0%一个月0%

每则广告帖子的平均覆盖率

1 225

1 小时00%1 – 4 小时00%4 - 24 小时00%

详细信息

将我们的机器人连接到频道以了解该频道的受众性别。

过去 24 小时内的帖子数

0

动态

"VK Security" 群组最新帖子

所有帖子

31.03.202512:59

Где ~~деньги~~ бонусы, Лебовски?

Отвечаем: вся активность и количество бонусов VK Bug Bounty в одном месте! Теперь каждый участник программы ❤️ Bug Bounty может отслеживать свой прогресс в новом личном кабинете на VK Bug Bounty.

В личном кабинете доступны:

🔵количество сданных отчетов
🔵накопленный бонус Bounty Pass
🔵срок его действия

Статистика собирается автоматически со всех платформ Standoff Bug Bounty, BI.ZONE Bug Bounty и Bugbounty.ru — ни один отчет не останется без внимания.

Не забывайте, бонусы можно накапливать! С каждым оплачиваемым отчетом — до +5% к следующему вознаграждению.

Больше критов — больше наград!

🔗 Регистрируйтесь прямо сейчас!

VK Security

#bugbounty #bountypass

28.03.202513:00

🖥 Вы просили — мы открыли!

Стартуем с практикой раскрытия отчетов от багхантеров! На платформе Standoff Bug Bounty уже доступны первые 7 отчетов, подготовленные cutoffurmind, kedr и circuit.

Делимся инсайтами авторов🔹

circuit:

«Начинающие багхантеры должны как-то учиться. Учиться на чужих примерах — это отличный вариант. Да и программы будут получать больше репортов после дисклозов, мне так кажется. Кого-то эти отчеты смогут мотивировать на поиск уязвимостей».

cutoffurmind:

«Это редкий вариант эксплуатации blind RCE, когда на выходе имеем только exit status код процесса. А еще уязвимость была найдена после анализа исходного кода проекта на GitHub».

kedr:

«Помимо обмена опытом (а большая часть багбаунти — это изучение находок других хантеров), дисклозы создают ощущение «движухи» и подталкивают тебя к тому, чтобы тоже пойти и потыкать программу. Кроме того, можно посмотреть, как компания оценивает уязвимости и высчитывает критичность — ведь одна и та же XSS может быть как medium, так и high-critical».

🔹 Поддерживаем мнение авторов — что может быть более вдохновляющим, чем чужой репорт?

🔹Поэтому не собираемся на этом заканчивать, следите за обновлениями — в будущем вас ждут новые дисклозы.

🔹 Надеемся, что опубликованные отчеты натолкнут вас на новые поиски — ждем ваши отчеты в программу VK Bug Bounty!

И не забывайте, что с Bounty Pass можно копить бонусы к выплатам на целый год.

VK Security

#bugbounty #bountypass #reports

25.03.202512:59

🔹 VK Tech: ищем эксперта продуктовой безопасности

Если вы умеете строить безопасные процессы разработки, знаете, как проводить тестирование и анализ безопасности, то эта вакансия для вас:

🔹 Построение процесса безопасной разработки
🔹 Формирование требований по ИБ к продуктам
🔹 Проведение архитектурного ревью и анализ безопасности
🔹 Тестирование на проникновение и динамический анализ
🔹 Взаимодействие с командами разработки и эксплуатации

Ваш опыт:

▪️Знания стандартов сертификации ПО и технологий безопасности
▪️Опыт тестирования и анализа безопасности
▪️Навыки работы с инструментами SAST, SCA, динамическим анализом

Прислать резюме: @lisenkova_a
Подробнее о вакансии: https://vk.cc/cJVHJP

VK Security

#job #VKTech

17.03.202510:01

💬 Как RuStore защищает свои релизы?

🔹 Когда хочется быстрее выпустить релиз, безопасность может оказаться на втором плане. Но, вместо того чтобы идти на компромиссы, можно сделать так, чтобы релизы выходили быстро и безопасно.

🔹 Дмитрий Морев, руководитель информационной безопасности RuStore, в статье на Хабре объясняет, как с помощью автоматизированных проверок, архитектурных ревью, автосогласования релизов и Security Gate минимизировать риски.

🔹 Читать статью

VK Security

#RuStore #статья #SecurityGate

14.03.202508:15

SSRF: маленькая уязвимость – большие проблемы

На недавней конференции VK Security Confab Max Иван Буряков, эксперт отдела аудита безопасности приложений VK, выступил с докладом на тему, почему SSRF — это не просто «небольшая уязвимость», а реальная головная боль для разработчиков и безопасников.

Мы подготовили карточки с ключевыми моментами из его доклада:

🔹Где можно неожиданно встретить SSRF
🔹Какие атаки возможны и к чему они приводят
🔹Какие меры защиты действительно работают

👉 Листайте, а полное видео с разбором смотрите тут: https://vk.cc/cJDLUt

07.03.202509:03

🔎 Ищем эксперта по Архитектуре ИБ

Если вы умеете строить защищенные системы, знаете векторы атак и умеете управлять рисками ИБ, то у нас есть для вас интересные задачи:

✅ проектирование безопасной архитектуры;
✅ контроль эффективности защитных решений;
✅ сопровождение интеграций, пентестов и категоризации данных;
✅ оценка соответствия при выводе систем в прод;
✅ поддержка команд разработки по вопросам ИБ.

Если мы вас заинтересовали или в памяти сразу всплыл подходящий кандидат — не думайте долго и напишите @lisenkova_a

Подробнее 👉 в описании вакансии: https://vk.cc/cJp3ib

VK Security

#вакансии #security

05.03.202513:00

⚙️ Владимир Соперников, эксперт-аналитик информационной безопасности Почта Mail, рассказал в новой статье на Хабре, как он автоматизировал мониторинг, заменив устаревшие скрипты на гибкую систему autobb.

За 7 минут (именно столько займет чтение) вы узнаете:

🔵Как организован поиск доменов, портов и HTTP-ресурсов.

🔵 Почему MongoDB, Docker и Project Discovery стали основой решения.

🔵Как мы научились находить уязвимости до того, как о них сообщат багхантеры?

🔵Какие нюансы и подводные камни учли при внедрении.

Бонус: много кода и ссылки на репозиторий!

🔗 Читать статью: https://vk.cc/cJmdfs

28.02.202511:59

🔹Багхантеры, вы тут?!

У нас для вас отличная новость: 💙 VK Видео увеличивает выплаты за уязвимости в 2️⃣ раза!

🔹 Когда: 28 февраля – 28 марта

🔹 И не забывайте про плюшки от Bounty Pass Forever:

🔵до +5% бонусов за баги

🔵уникальный мерч за 4+ оплачиваемых отчета до конца марта

Ждем ваши отчеты на платформах Standoff Bug Bounty, BI.ZONE Bug Bounty и Bugbounty.ru!

@VK Security

#bugbounty #bountypass #forever

26.02.202509:02

Атаки на сервисы становятся всё сложнее и массовее. Чтобы эффективнее противостоять ботнетам, мы вышли за рамки стандартного анализа и пошли дальше — вглубь трафика, геолокации и паттернов атак.

🔹 Интересными кейсами поделился руководитель группы AntiFraud Максим Бронзинский.

🔹 Подробнее читайте в новой статье.

VK Security

#боты #antiddos #эксперты@vk_security

24.02.202509:10

VK Security Confab #3: регистрация завершена

Друзья, спасибо за ваш интерес к VK Security Confab! Мы получили очень большое количество заявок на митап ~~surprise-surprise~~ 🔹 поэтому все еще занимаемся их обработкой...

🔹Если вы еще не получили ответ от нас — пожалуйста, подождите чуть-чуть, мы обязательно свяжемся с каждым.

🔹Совсем скоро увидимся и обсудим всё самое интересное из мира Bug Bounty!

VK Security

#митап #confab #bugbounty

17.02.202514:03

🔹VK Security Confab #3: всё о Bug Bounty

27 февраля в московском офисе 💙 встречаемся на митапе VK Security Confab. В этот раз обсудим секреты и подводные камни Bug Bounty, техники поиска, инструменты и найденные уязвимости.

Программа митапа уже на сайте, а вот небольшой спойлер:

🔵Петр Уваров поделится планами VK Bug Bounty в 2025 году.

🔵Алексей Лямкин расскажет, как устроен триаж изнутри.

🔵Анна Куренова (SavAnna) поделится мнением, почему дубликат — это не проклятие, а ценный урок.

🔵Юрий Ряднина (circuit) покажет дисклозы нескольких уязвимостей ВКонтакте.

🔵Алексей Жучков (zerodivisi0n) продемонстрирует реальные кейсы, которые могут привести к удаленному исполнению кода.

И конечно, афтепати! 🔹
Обсудим доклады, обменяемся идеями и классно проведем время.

🔹 Скорее регистрируйтесь!
Встреча пройдет только офлайн, онлайн-трансляции и записи не будет.

🔹 Сбор гостей в 18:30, начало — в 19:00.

VK Security

#митап #confab #bugbounty

13.02.202510:35

🔍 Поиск угроз: с чего начать и как найти аномалию

Threat Hunting (или проактивный поиск киберугроз) – один из самых увлекательных и тяжелых процессов в работе аналитиков SOC.

И если вы давно хотели узнать, что делают специалисты, чтобы вовремя обнаружить следы угроз в периметре компании, то вот очень подробная статья на Хабре, которую написал наш эксперт – Иван Костыря из группы реагирования VK SOC.

В этой статье я описал свой опыт и основные мысли, которыми руководствуются аналитики SOC, когда различными способами раскручивают аномалии, чтобы они не превратились в инцидент. В каких-то примерах я опирался на общую TH/TI практику, а где-то ссылался на то, как выстроены процессы внутри нашей команды.

Статья не сильно нагружена в техническом плане, но позволяет выработать свой собственный алгоритм действий и понять, какие шаги нужно делать на том или ином этапе работы, с чего начать поиск внутренних угроз, которые не всегда выражены в явном виде.

📎Что еще вы узнаете:

🔵в идеальной картине мира VS как на практике
🔵погружение в процесс поиска угроз с элементами детектива
🔵инструменты и техники для обкатки навыков
🔵зачем нужна пирамида боли
🔵есть ли предел у поиска и зачем так много вопросов

💬 Делитесь вашими впечатлениями от статьи в комментариях.

PS: все ваши 🔹🔹🔹 улетят в карму автора

VK Security

#soc #threathunting #угрозы

06.02.202509:10

💙 SIEM: что под капотом новой системы мониторинга безопасности?

Наши инженеры SOC разработали и запустили собственную SIEM:

🔹 Модульная система, которая способна обрабатывать очень большое количество данных. Она объединяет как новые, так и успешно зарекомендовавшие себя инженерные решения VK.

🔹 Инфраструктура размещена в едином облаке VK (OneCloud) – там же, где находятся сервисы ВКонтакте, Одноклассников, Дзен, VK Видео и других сервисов VK. Что это значит? Огромные вычислительные мощности и масштабируемость, что делает VK SIEM невероятно быстрым.

Дмитрий Куколев, руководитель VK SOC, рассказывает, как устроена VK SIEM и что изображено на схеме:

1️⃣ Модуль нормализации: преобразование «сырых» логов в CEF+
Для обработки всех поступающих событий мы используем универсальную схему Common Event Format, но постоянно расширяем ее (сейчас она содержит 300+ полей).
🔹 Для нормализации событий используем Vector.dev.

2️⃣ Модуль обогащения: наша реализация «активных листов»
Сразу на потоке добавляем контекст, чтобы уже на моменте корреляции получать всю необходимую информацию о событии.
🔹 Реализовали функционал «статических активных листов» (обновление списков обогащения раз в несколько часов) и «динамических активных листов» (обновление списков обогащений несколько раз в минуту на основе информации из предыдущих событий). Один из сценариев «динамических активных листов» – обновления на основе результатов коррелятора.

3️⃣ Хранилище обогащений
Key-value хранилище, источник модуля обогащения.

4️⃣ Коррелятор
Потоковый коррелятор событий, который анализирует на скоростях в миллионы EPS. Может легко масштабироваться без потери производительности. Все правила написаны и обновляются нашими аналитиками.
🔹 Также дополнительно разрабатываем «ретроспективный» коррелятор для корреляции и поиска IoC в логах, автоматически записанных в наши базы данных.

5️⃣ Пользовательский интерфейс (UI) для аналитиков SOC
Используем OpenSearch Dashboards: во-первых, чтобы сохранить пользовательский опыт наших инженеров (это очень удобный инструмент для работы с логами и выявления аномалий), а во-вторых, это Open Source, который мы можем использовать как конструктор и дорабатывать под наши потребности.

6️⃣ Холодное хранилище
Выбрали YTSaurus как успешно зарекомендовавшее себя внутри VK (и не только) решение для распределенного хранения данных, особенно, с потенциалом для масштабирования. Наша задача – получать доступ к логам, полученные минимум за последние полгода, а в идеале – без ограничения по сроку.

7️⃣ Индексатор
Разработали модуль индексации, чтобы обеспечить быстрый полнотекстовый поиск по петабайтам событий и возможностью сложных агрегаций.

8️⃣ Горячее хранилище
Чтобы максимально быстро находить актуальные события, в нашей архитектуре предусмотрено горячее хранилище. В сочетании с индексатором это дает аналитикам возможность за несколько секунд получать доступ к данным за последние 3 месяца.
🔹 Здесь используем Click House, который предоставляется в нашей инфраструктуре как сервис.

9️⃣ Транслятор
Так как наше модульное решение включает ClickHouse (горячее хранилище), YTSaurus (холодное хранилище), собственный индексатор и ядро OpenSearch Dashboard (только UI, от хранения событий в OpenSearch мы сознательно отказались), то для их объединения и бесшовного функционирования нам понадобилось создать транслятор.
🔹Используя внешний индексатор, он преобразовывает запросы пользователя в базы данных, а затем снова преобразовывает для отображения ответа в UI. Транслятор умеет одновременно работать с холодным и горячим хранилищем, поэтому аналитику не нужно думать, где хранятся те или иные данные, все работает по одной кнопке.

🔹 О том, как мы в VK пришли к созданию своей собственной SIEM-системы – про новые реалии и вызовы BigTech, как формулировали задачу и с какими сложностями столкнулись на пути, можно послушать здесь.

💬 Оставляйте ваши вопросы в комментариях.

VK Security

#soc #siem

05.02.202513:02

🔹Save the Date: Всем багхантерам приготовиться – приглашаем на митап 27 февраля

Мы долго думали, какой теме посвятить наш первый VK Security Confab в 2025 году, и для бодрого старта выбрали Bug Bounty 🔹

📒 О регистрации на митап сообщим позже, а пока – ничего не планируйте на вечер 27 февраля.

Уже по традиции, встречаемся в нашем московском офисе 💙 на Ленинградском проспекте.

Обещаем, будут крутые доклады от багхантеров и нашей команды VK Bug Bounty.
И конечно, афтепати. 😎

🔔 Call for Papers
Есть интересная тема для доклада? Готов поделиться своими секретами с сообществом?

💬 Тогда напиши до 12 февраля Петру Уварову (@s3n_q) о своем желании выступить на митапе.

Ждем ваши заявки и до встречи!

VK Security

#confab #bugbounty #митап

04.02.202513:42

🔹 Сейчас нашей команде требуется специалист MLSecOps, который будет принимать участие в создании надежной и безопасной ML-инфраструктуры в тесном сотрудничестве с командами AI и ИБ.

➡️ Читай подробнее о том, какие задачи тебя ждут, в описании вакансии.

Если ты когда-то пытался взломать LLM или другие генеративные модели, знаешь, куда будут целить злоумышленники и как избежать восстания машин, то вот твой шанс ✨

📩 Присылай резюме нашему рекрутеру Дарье @dsvorobyova

VK Security

#вакансии #ml #ai #security

所有帖子

已广告11 小时

21.04.202512:26VK Education

8.8K

详细信息

记录

21.04.202523:59

2.4K订阅者

17.02.202523:59

300引用指数

26.03.202513:18

1.2K每帖平均覆盖率

01.04.202513:18

1.2K广告帖子的平均覆盖率

01.04.202513:18

1.80%ER

02.03.202513:18

52.62%ERR

发展

详细信息

订阅者

引用指数

每篇帖子的浏览量

每个广告帖子的浏览量

ERR

详细信息

VK Security 热门帖子

所有帖子

28.03.202513:00

«Начинающие багхантеры должны как-то учиться. Учиться на чужих примерах — это отличный вариант. Да и программы будут получать больше репортов после дисклозов, мне так кажется. Кого-то эти отчеты смогут мотивировать на поиск уязвимостей».

cutoffurmind:

«Это редкий вариант эксплуатации blind RCE, когда на выходе имеем только exit status код процесса. А еще уязвимость была найдена после анализа исходного кода проекта на GitHub».

kedr:

«Помимо обмена опытом (а большая часть багбаунти — это изучение находок других хантеров), дисклозы создают ощущение «движухи» и подталкивают тебя к тому, чтобы тоже пойти и потыкать программу. Кроме того, можно посмотреть, как компания оценивает уязвимости и высчитывает критичность — ведь одна и та же XSS может быть как medium, так и high-critical».

31.03.202512:59

25.03.202512:59

登录以解锁更多功能。