👉🏻 Перейти, чтобы узнать подробнее
VK Security | Буст этому каналу!
#VKSIEM #технологии
Please open Telegram to view this post
VIEW IN TELEGRAM
😁4❤2👍1🔥1🤝1
На связи команда безопасности Kubernetes. Наша ежедневная работа — это сделать жизнь кластеров предсказуемой и безопасной. Мы разрабатываем стандарты и рекомендации ИБ, внимательно следим за тем, что происходит в кластерах, контролируем соблюдение наших правил, подбираем и настраиваем инструменты защиты, занимаемся расследованием инцидентов, а также адаптируем ИБ инструменты под внутреннюю платформу One-сloud.
Сегодня мы начинаем серию постов, в которой подробно расскажем о рождении и эволюции нашего инструмента — Fast Audit Kubernetes🚀
С чего все начиналось: фокус на Network Policy
🔹 Изначально FAK задумывался как инструмент для наблюдения и анализа сетевых политик. Нам была нужна «легковесная» автоматизация, которая не лезет в прод и не отнимает ресурсы, не обладает избыточными правами, но при этом дает чёткую картину: какие политики применены, куда есть доступ и куда его быть не должно.
🔹 Принцип работы был следующим: раз в сутки FAK выгружал все Network Policy, парсил их и загружал в БД. На основе этих данных мы строили граф, который визуализировал все связи в кластере. Особенно полезной была фича подсветки новых политик — тех, что появились с момента прошлого скана.
Со временем графы стали такими большими, что разбираться в них вручную стало нереально. Чтобы решить эту проблему, мы научили FAK автоматически определять легитимность соединений.
🔹 Как мы классифицируем соединения:
На графе все соединения для удобства отмечены цветом.
🔸 Красные связи — сигнал тревоги. Такая связь означает либо нарушение правил, либо отсутствие согласования.
🔹 Синие — стабильный, известный и разрешенный ландшафт соединений.
🔹 Зелёные — новые, но уже одобренные командой ИБ соединения.
А чтобы не заглядывать в интерфейс каждый день, мы настроили алерты в Teams — теперь команды сами узнают о новых сетевых взаимодействиях.
В следующей части мы расскажем, какие фичи мы добавили и как FAK превратился для нас в центральный инструмент наблюдения за безопасностью Kubernetes.
Не переключайтесь!
VK Security | Буст этому каналу!
#инфраструктура #Kubernetes
Сегодня мы начинаем серию постов, в которой подробно расскажем о рождении и эволюции нашего инструмента — Fast Audit Kubernetes
С чего все начиналось: фокус на Network Policy
Со временем графы стали такими большими, что разбираться в них вручную стало нереально. Чтобы решить эту проблему, мы научили FAK автоматически определять легитимность соединений.
На графе все соединения для удобства отмечены цветом.
А чтобы не заглядывать в интерфейс каждый день, мы настроили алерты в Teams — теперь команды сами узнают о новых сетевых взаимодействиях.
В следующей части мы расскажем, какие фичи мы добавили и как FAK превратился для нас в центральный инструмент наблюдения за безопасностью Kubernetes.
Не переключайтесь!
VK Security | Буст этому каналу!
#инфраструктура #Kubernetes
Please open Telegram to view this post
VIEW IN TELEGRAM
1❤6🔥6👏5🤔1
Читать сначала:
1 часть
Со временем мы стали добавлять новые фичи, и FAK превратился для нас в центральный инструмент наблюдения за безопасностью Kubernetes. Мы решили начать с ключевых аспектов ИБ Kubernetes, которые критически важны, но отнимают уйму времени при ручном анализе:
🔹 Network Policy (то, с чего мы начинали)
🔹 RBAC
🔹 Манифесты подов и их Security Context
Большинство open-source решений обычно заточены под одну задачу. В то же время, платформенные продукты часто тяжелые, требуют привилегированного доступа в кластере и частично дублируют функционал наших текущих инструментов. Поэтому мы решили развивать свой инструмент.
Глубокий анализ RBAC
Если вы работали с Kubernetes, то знаете, что разбираться в RBAC без инструментов — это довольно трудоёмко. Роли создаются вручную, тянутся из helm-чартов, агрегируются... В итоге сложно понять, какие права есть у конкретного сервисного аккаунта или пользователя.
🔹 Здесь FAK действует как рентген:
🔹 сканирует, какие права принадлежат каждому пользователю, группе или сервис аккаунту
🔹 подсвечивает все опасные роли;
🔹 позволяет отфильтровать всех cluster-admin, все опасные роли, посмотреть разницу с предыдущим сканом или отобразить в виде наглядного графика;
🔹 показывает, какие поды используют сервис аккаунты с опасными правами;
🔹 как и в случае с сетевыми политиками, за любыми изменениями можно следить через уведомления в Teams.
🔹 Мы также ведем и регулярно пополняем базу опасных RBAC на основе документации Kubernetes, ИБ стандартов и рекомендаций, исследований, CVE. В нашей базе уже более 20 правил.
Один из примеров опасной роли:
На первый взгляд безобидный глагол list. Кажется, что он просто перечисляет названия секретов? На деле он дает чтение всех секретов. Если такая роль используется не в рамках одного неймспейса, а всего кластера, то мы получаем возможность читать все секреты во всем кластере.
Но что, если у нас wildcard роль, со звездочкой (*) в verbs (любое действие) или в resources (любой ресурс в указанных apiGroups)?
или так
Такую роль еще сложнее найти, и помимо совпадений глаголов и ресурсов, мы должны учитывать еще и наличие «*».
Таким образом, FAK помогает нам найти не только опасные RBAC, но и список подов, которые используют сервис аккаунты с опасными правами. Это ещё на шаг приближает нас к полному пониманию всей картины безопасности Kubernetes кластеров.
В следующих частях мы подробнее поговорим о том, как контролировать Security Context подов, не давая из них сбежать на ноду, и как мы мониторим наши ИБ-инструменты, такие как Gatekeeper и Tetragon.
VK Security | Буст этому каналу!
#инфраструктура #Kubernetes
1 часть
Со временем мы стали добавлять новые фичи, и FAK превратился для нас в центральный инструмент наблюдения за безопасностью Kubernetes. Мы решили начать с ключевых аспектов ИБ Kubernetes, которые критически важны, но отнимают уйму времени при ручном анализе:
Большинство open-source решений обычно заточены под одну задачу. В то же время, платформенные продукты часто тяжелые, требуют привилегированного доступа в кластере и частично дублируют функционал наших текущих инструментов. Поэтому мы решили развивать свой инструмент.
Глубокий анализ RBAC
Если вы работали с Kubernetes, то знаете, что разбираться в RBAC без инструментов — это довольно трудоёмко. Роли создаются вручную, тянутся из helm-чартов, агрегируются... В итоге сложно понять, какие права есть у конкретного сервисного аккаунта или пользователя.
Один из примеров опасной роли:
rules:
- apiGroups: [""]
resources: ["secrets"]
verbs: ["list"]
На первый взгляд безобидный глагол list. Кажется, что он просто перечисляет названия секретов? На деле он дает чтение всех секретов. Если такая роль используется не в рамках одного неймспейса, а всего кластера, то мы получаем возможность читать все секреты во всем кластере.
Но что, если у нас wildcard роль, со звездочкой (*) в verbs (любое действие) или в resources (любой ресурс в указанных apiGroups)?
rules:
- apiGroups: [""]
resources: ["*"]
verbs: ["list"]
или так
rules:
- apiGroups: [""]
resources: ["secrets"]
verbs: ["*"]
Такую роль еще сложнее найти, и помимо совпадений глаголов и ресурсов, мы должны учитывать еще и наличие «*».
Таким образом, FAK помогает нам найти не только опасные RBAC, но и список подов, которые используют сервис аккаунты с опасными правами. Это ещё на шаг приближает нас к полному пониманию всей картины безопасности Kubernetes кластеров.
В следующих частях мы подробнее поговорим о том, как контролировать Security Context подов, не давая из них сбежать на ноду, и как мы мониторим наши ИБ-инструменты, такие как Gatekeeper и Tetragon.
VK Security | Буст этому каналу!
#инфраструктура #Kubernetes
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥6❤5👍4👏1
1 часть
2 часть
Манифесты приложений — это еще одно минное поле. Есть много вариантов запустить привилегированный под, из которого будет легко сбежать на ноду. Предлагаем вспомнить самые частые и опасные:
* `privileged: true` — полные root привилегии на хосте, доступы к устройствам и многое другое;
* монтирование `hostPath` — монтирование любой директории хоста;
* `hostNetwork` — доступ к сетевому неймспейсу хоста (обход сетевых политик и сниффинг траффика);
* `hostPID` — доступ к PID неймспейсу хоста (доступ к env var и файловым дескрипторам других процессов);
* `hostIPC` — доступ к IPC неймспейсу хоста (доступ к shared memory);
* Лишние `capabilities` — «кусочки прав» root'а, которые могут быть использованы для повышения привилегий.
А также hostPort, использование root пользователя, не read-only файловая система, опция allowPrivilegeEscalation и другое.
👉 В FAK мы видим все поды с такими настройками, можем детально изучить, какие именно volume’ы монтируются или какие capabilities выданы. Важно, что мы можем гибко настраивать фильтры и списки исключений для подов, которые прошли аудит безопасности. И, конечно, автоматизировали оповещения командам о появлении подозрительных контейнеров.
Note: Мы не используем FAK для контроля запускаемых ворклоадов, этим занимается admission controller, про который мы расскажем далее. Тем не менее, подобный функционал полезен для первичного анализа кластера, для контроля списка исключений admission controller’а, а также дополнительной верификации.
В следующей части покажем, как FAK следит за нашими ИБ-инструментами и расскажем о его месте в нашей повседневной работе👇
VK Security | Буст этому каналу!
#инфраструктура #Kubernetes
2 часть
Манифесты приложений — это еще одно минное поле. Есть много вариантов запустить привилегированный под, из которого будет легко сбежать на ноду. Предлагаем вспомнить самые частые и опасные:
* `privileged: true` — полные root привилегии на хосте, доступы к устройствам и многое другое;
* монтирование `hostPath` — монтирование любой директории хоста;
* `hostNetwork` — доступ к сетевому неймспейсу хоста (обход сетевых политик и сниффинг траффика);
* `hostPID` — доступ к PID неймспейсу хоста (доступ к env var и файловым дескрипторам других процессов);
* `hostIPC` — доступ к IPC неймспейсу хоста (доступ к shared memory);
* Лишние `capabilities` — «кусочки прав» root'а, которые могут быть использованы для повышения привилегий.
А также hostPort, использование root пользователя, не read-only файловая система, опция allowPrivilegeEscalation и другое.
👉 В FAK мы видим все поды с такими настройками, можем детально изучить, какие именно volume’ы монтируются или какие capabilities выданы. Важно, что мы можем гибко настраивать фильтры и списки исключений для подов, которые прошли аудит безопасности. И, конечно, автоматизировали оповещения командам о появлении подозрительных контейнеров.
Note: Мы не используем FAK для контроля запускаемых ворклоадов, этим занимается admission controller, про который мы расскажем далее. Тем не менее, подобный функционал полезен для первичного анализа кластера, для контроля списка исключений admission controller’а, а также дополнительной верификации.
В следующей части покажем, как FAK следит за нашими ИБ-инструментами и расскажем о его месте в нашей повседневной работе👇
VK Security | Буст этому каналу!
#инфраструктура #Kubernetes
🔥7❤3👏3🤔1
Всем салют ✨
Время подвести итоги недавнего конкурса! Нас приятно удивила ваша активность, особенно в программе MAX! Спасибо каждому, кто искал уязвимости и отправлял отчёты!
А теперь — барабанная дробь 🥁
Наши победители:
🔹 Номинация «За самую ценную уязвимость»: Slift
🔹 Номинация «За наибольшее количество отчётов»: r0hack
🔹 Номинация «Счастливчик»: arkiix
Респект и поздравления, ребята 🏆
P.S. Присоединяйтесь к нашему уютному VK Bug Bounty Lounge на конференции! Здесь вас будут ждать: специальные активности, вкусные угощения, прохладительные напитки, кальян и комфортная зона для нетворкинга.
VK Security | Буст этому каналу!
#bugbounty #bountypass
Время подвести итоги недавнего конкурса! Нас приятно удивила ваша активность, особенно в программе MAX! Спасибо каждому, кто искал уязвимости и отправлял отчёты!
А теперь — барабанная дробь 🥁
Наши победители:
Респект и поздравления, ребята 🏆
P.S. Присоединяйтесь к нашему уютному VK Bug Bounty Lounge на конференции! Здесь вас будут ждать: специальные активности, вкусные угощения, прохладительные напитки, кальян и комфортная зона для нетворкинга.
VK Security | Буст этому каналу!
#bugbounty #bountypass
Please open Telegram to view this post
VIEW IN TELEGRAM
🎉11👍5🏆3
1 часть
2 часть
3 часть
🔹 Со временем мы задумались об интеграции с нашими обязательными ИБ-инструментами. Обычный мониторинг и анализ логов не покрывает все наши запросы. К тому же, разные команды и бизнес-юниты могут иметь свой собственный CI/CD. В таком случае, как нам убедиться, что инструменты безопасности остаются в том виде, в котором мы их настроили?
🔹 Gatekeeper — известный Admission Controller, который запрещает создавать ресурсы, которые не соответствуют заданным политикам. FAK теперь умеет парсить все его политики, следит за версиями, показывает списки исключений, а также режим (блокирующий/неблокирующий). В планах — сравнивать политики с эталонными и бить тревогу при расхождении.
🔹 Tetragon — агент на каждой ноде, который в реальном времени следит за системными вызовами, вызовами функций ядра и сетевой активностью через eBPF. Сейчас мы работаем над тем, чтобы FAK так же контролировал его версию и целостность политик.
Также у нас есть собственный ИБ-инструмент, который обеспечивает интеграцию кластера и нашего Security Gate, со временем он тоже появится в FAK.
🔹 Как мы используем FAK в повседневной работе
Если обобщить, FAK для нас — это:
▫️ база знаний и рекомендаций при онбординге нового кластера.
▫️ система наблюдения за тем, что и как меняется со временем.
▫️ механизм контроля за выполнением наших стандартов безопасности.
▫️ канал оперативного оповещения о сбое конфигураций или появлении рисков.
🔹 Что ждет Fast Audit Kubernetes дальше
Мы планируем развивать продукт в трёх ключевых направлениях, исходя из потребностей пользователей:
🟣 Функциональность: улучшение детектирования (опасные RBAC, wildcard-правила, pods) и добавление проверок на соответствие CIS Benchmark.
🟣 Аналитика: создание комплексной модели взаимосвязей между RBAC, Network Policies и Pods для оценки рисков.
🟣 Интеграции: API для отчетов, автоматизация Jira и применение LLM для умного анализа.
FAK для нас — это живой инструмент, который растет вместе с нашими задачами. И его главная цель — сделать сложную безопасность Kubernetes простой, наглядной и управляемой.
👉А с какими вызовами в безопасности K8s сталкиваетесь вы? Поделитесь опытом в комментариях — обсудим, как подходить к таким задачам!
VK Security | Буст этому каналу!
#инфраструктура #Kubernetes
2 часть
3 часть
Также у нас есть собственный ИБ-инструмент, который обеспечивает интеграцию кластера и нашего Security Gate, со временем он тоже появится в FAK.
Если обобщить, FAK для нас — это:
Мы планируем развивать продукт в трёх ключевых направлениях, исходя из потребностей пользователей:
FAK для нас — это живой инструмент, который растет вместе с нашими задачами. И его главная цель — сделать сложную безопасность Kubernetes простой, наглядной и управляемой.
👉А с какими вызовами в безопасности K8s сталкиваетесь вы? Поделитесь опытом в комментариях — обсудим, как подходить к таким задачам!
VK Security | Буст этому каналу!
#инфраструктура #Kubernetes
Please open Telegram to view this post
VIEW IN TELEGRAM
👍7🔥4❤2🤩2
Технологии безопасности Big Tech #6
Ранее мы уже подробно рассматривали различные типы атак на ML-модели, а также протестировали инструменты для анализа устойчивости моделей к атакам, в рамках совместного с НИУ ВШЭ исследования.
Сегодня поговорим о том, как выстроить защиту AI на примере inference платформы в практике VK.
Павел Литиков, архитектор информационной безопасности AI-направления VK, рассказывает о построении единой системы защиты для всех этапов жизненного цикла моделей.
В выпуске:
🔹 Как мы обеспечиваем безопасность на всех этапах — от данных до эксплуатации моделей.
🔹 Архитектурные решения платформы и унификация защитных механизмов.
🔹 Реальные примеры и уязвимости из практики VK.
💙 Смотреть полное видео
VK Security | Буст этому каналу!
#технологии #эксперты #AI #ML
Ранее мы уже подробно рассматривали различные типы атак на ML-модели, а также протестировали инструменты для анализа устойчивости моделей к атакам, в рамках совместного с НИУ ВШЭ исследования.
Сегодня поговорим о том, как выстроить защиту AI на примере inference платформы в практике VK.
Павел Литиков, архитектор информационной безопасности AI-направления VK, рассказывает о построении единой системы защиты для всех этапов жизненного цикла моделей.
В выпуске:
VK Security | Буст этому каналу!
#технологии #эксперты #AI #ML
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥11❤5👨💻2👏1😁1
Пятница — идеальный день, чтобы напомнить о главном событии следующей недели.
26 ноября встречаемся на ZeroNights! Мы ждём вас в VK Bug Bounty Lounge — нашем закрытом пространстве, созданном специально для сообщества багхантеров.
В программе:
🔹 захватывающий CTF с нетривиальными задачами;
🔹 эксклюзивный мерч и промокоды, которые увеличат выплаты за ваши следующие отчёты.
🔹 расслабленная атмосфера: прохладительные напитки, вкусные угощения и ароматные кальяны.
А пока готовимся к конференции — не забываем про главное!
Го сдавать ваши отчеты в программы VK Bug Bounty на платформах Standoff, BI.ZONE и Bugbounty.ru!
До встречи!
VK Security | Буст этому каналу!
#bugbounty #bountypass
26 ноября встречаемся на ZeroNights! Мы ждём вас в VK Bug Bounty Lounge — нашем закрытом пространстве, созданном специально для сообщества багхантеров.
В программе:
А пока готовимся к конференции — не забываем про главное!
Го сдавать ваши отчеты в программы VK Bug Bounty на платформах Standoff, BI.ZONE и Bugbounty.ru!
До встречи!
VK Security | Буст этому каналу!
#bugbounty #bountypass
Please open Telegram to view this post
VIEW IN TELEGRAM
❤9😎6🔥4✍1😁1🌚1🏆1
Вечер вторника — самое время, чтобы посмотреть вакансии.
А вот и они🔹 🔹 🔹
Старший специалист в команду безопасности сетей в VK, Москва
Ищем эксперта по сетевой безопасности для защиты инфраструктуры, реагирования на инциденты, аудита и автоматизации процессов.
Руководитель направления antifraud в VK ID, Москва
Ожидаем глубокое понимание мошеннических схем, уверенные навыки работы с данными: SQL, BI-инструменты, лог-аналитика и опыт построения Roadmap и CJM.
Эксперт продуктовой безопасности в VK Tech, Москва
Ищем эксперта по продуктовой безопасности для внедрения Security-by-Design, проведения SAST/SCA/DAST и анализа защищённости архитектуры на всех этапах жизненного цикла разработки SDLC.
Аналитик антифрода (L2) в MAX
Ключевая задача — преобразование сырых данных из различных источников (логи, метрики, события) в эффективные детектирующие правила и модели для противодействия сложным мошенническим атакам.
А всем, кто лайкнул эту подборку, +100 к удаче на этой неделе! 💫
Контакт для связи: @lisenkova_a
VK Security | Буст этому каналу!
#вакансии
А вот и они
Старший специалист в команду безопасности сетей в VK, Москва
Ищем эксперта по сетевой безопасности для защиты инфраструктуры, реагирования на инциденты, аудита и автоматизации процессов.
Руководитель направления antifraud в VK ID, Москва
Ожидаем глубокое понимание мошеннических схем, уверенные навыки работы с данными: SQL, BI-инструменты, лог-аналитика и опыт построения Roadmap и CJM.
Эксперт продуктовой безопасности в VK Tech, Москва
Ищем эксперта по продуктовой безопасности для внедрения Security-by-Design, проведения SAST/SCA/DAST и анализа защищённости архитектуры на всех этапах жизненного цикла разработки SDLC.
Аналитик антифрода (L2) в MAX
Ключевая задача — преобразование сырых данных из различных источников (логи, метрики, события) в эффективные детектирующие правила и модели для противодействия сложным мошенническим атакам.
А всем, кто лайкнул эту подборку, +100 к удаче на этой неделе! 💫
Контакт для связи: @lisenkova_a
VK Security | Буст этому каналу!
#вакансии
Please open Telegram to view this post
VIEW IN TELEGRAM
❤12👍5🎉2💯1💔1
Смотрите, какая атмосфера царит в пространстве VK на ZeroNights 🪩
Мы пару месяцев не спали, чтобы подготовить для вас:
☕️ уютные зоны для погружения в доклады!
🎮 возможность залутать мерч в различных активностях: от простых задачек до уровня суперхард!
🕵🏻 закрытую зона для багхантеров — тут свои CTF-задачи, кальяны, напитки, еда и особые призы, включая промокоды и бонусы к выплатам.
👉🏻Чтобы попасть в Bug Bounty Lounge, достаточно показать оплаченный отчёт в абсолютно любой программе — и добро пожаловать в клуб избранных!
Ставьте реакцию:
💙 - Я уже тут!
👍 - Хочу к вам!
Мы пару месяцев не спали, чтобы подготовить для вас:
☕️ уютные зоны для погружения в доклады!
🎮 возможность залутать мерч в различных активностях: от простых задачек до уровня суперхард!
🕵🏻 закрытую зона для багхантеров — тут свои CTF-задачи, кальяны, напитки, еда и особые призы, включая промокоды и бонусы к выплатам.
👉🏻Чтобы попасть в Bug Bounty Lounge, достаточно показать оплаченный отчёт в абсолютно любой программе — и добро пожаловать в клуб избранных!
Ставьте реакцию:
💙 - Я уже тут!
👍 - Хочу к вам!
❤13👍12🔥5✍1
Как цены-то выросли…
🔹 И у нас тоже! Повышаем выплаты до x2 за уязвимости в программе MAX — теперь можно получить до 10 млн рублей за находку.
Ищем везде:
🔹 все домены: *.max.ru, *.oneme.ru;
🔹 официальные боты VK;
🔹 мобильные приложения (RuStore, Google Play, AppStore);
🔹 десктоп: Windows, Linux и Mac.
Ждём ваши отчёты:
🔹 Standoff Bug Bounty
🔹 BI.ZONE Bug Bounty
🔹 Bugbounty.ru
И не забывайте про Bounty Pass: чем больше уязвимостей вы находите, тем выше выплаты!
VK Security | Буст этому каналу!
#bugbounty #bountypass #MAX
Ищем везде:
Ждём ваши отчёты:
И не забывайте про Bounty Pass: чем больше уязвимостей вы находите, тем выше выплаты!
VK Security | Буст этому каналу!
#bugbounty #bountypass #MAX
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥15❤7🤩4🏆1
ТОП-10 VK Bug Bounty 🏆
В рамках конференции ZeroNights 2025 наградили лучших багхантеров года! Ребята, вы — Легенды! Всем огромное спасибо за вашу работу! А тем, кто не смог быть с нами, уже готовим посылки с подарками!
ТОП-10:
1. brain
2. lobity
3. cutoffurmind
4. otuken
5. rolegiv
6. kedr
7. Slift
8. ratel_xx
9. Eptascript
10. fakeostap
Как формируется рейтинг?
Наш рейтинг — это не просто количество отчётов. Мы используем комплексный подход, в котором учитываются:
🔹 критичность найденной уязвимости;
🔹 размер назначенного вознаграждения;
🔹 регулярность и качество отчётов.
🔥 Следить за рейтингом в реальном времени можно 👉 на нашем сайте.
Хотите ворваться в ТОП в следующем году? Сейчас — лучшее время. Одна серьёзная находка может изменить многое...
VK Security | Буст этому каналу!
#bugbounty #bountypass
В рамках конференции ZeroNights 2025 наградили лучших багхантеров года! Ребята, вы — Легенды! Всем огромное спасибо за вашу работу! А тем, кто не смог быть с нами, уже готовим посылки с подарками!
ТОП-10:
1. brain
2. lobity
3. cutoffurmind
4. otuken
5. rolegiv
6. kedr
7. Slift
8. ratel_xx
9. Eptascript
10. fakeostap
Как формируется рейтинг?
Наш рейтинг — это не просто количество отчётов. Мы используем комплексный подход, в котором учитываются:
🔥 Следить за рейтингом в реальном времени можно 👉 на нашем сайте.
Хотите ворваться в ТОП в следующем году? Сейчас — лучшее время. Одна серьёзная находка может изменить многое...
VK Security | Буст этому каналу!
#bugbounty #bountypass
Please open Telegram to view this post
VIEW IN TELEGRAM
1🏆12🔥5😎4❤2👍2🤩1👨💻1🆒1
Кейс: как мы автоматизировали генерацию Nuclei-шаблонов для VK API с помощью LLM
Представьте, что у вас есть огромное количество новых методов в API, и вы хотите быстро и качественно тестировать их на уязвимости. Вручную это делать невозможно — слишком долго и скучно. Вот почему мы решили автоматизировать генерацию Nuclei-шаблонов на основе JSON-схем методов VK API, используя LLM.
🔹 Но задача оказалась не такой простой. Например, для создания комментария нужно сначала получить `postId`, а для этого вызвать другой метод. Как автоматически определить, какие данные нужны для каждого метода? И как понять, какие параметры можно использовать для тестирования уязвимостей, а какие — нет? Ведь не все поля одинаково «безопасны» для нагрузки.
Еще одна сложность — не всегда достаточно просто вызвать метод: иногда уязвимость проявится только после ряда действий на странице (например, открытие модального окна, клик по кнопке). Раньше такие сценарии писали вручную, но это не масштабируется. Мы искали способ автоматически собирать эти действия и использовать их для обучения LLM.
В итоге мы выбрали такой подход:
▫️ автоматически собираем актуальные методы VK API, чтобы всегда иметь самую свежую информацию;
обучаем LLM анализировать JSON-схемы, чтобы определять, какие параметры использовать для нагрузки, а какие — оставить в покое;
▫️ обогащаем модель контекстом: используем не только схемы методов, но и реальный трафик тестировщиков, а также автотесты, чтобы модель понимала, как методы применяются на практике;
▫️ запускаем бота на Selenium, который «проживает» основные пользовательские сценарии, чтобы фиксировать, какие методы используются на каких страницах;
▫️ для сложных сценариев, где методы вызываются не напрямую, собираем скрипты действий, чтобы расширить контекст обучения;
▫️ всё это позволяет нам избегать «галлюцинаций» — когда модель начинает выдумывать что-то лишнее — и поддерживать нужный баланс между информативностью и точностью.
Не обошлись без LLM и при выборе триггера сканирования. Как только завершаются функциональные тесты в пайплайне, в дело вступает модуль скоринга «фичи» на базе LLM. Модуль оценивает её на предмет существенности изменений: если фича больше про косметические правки, не затрагивает бизнес-логику, не порождает новых полей для пользовательского ввода, etc, то необходимости сканировать её нет.
🔹 Генерация Nuclei-шаблонов стала быстрой, масштабируемой и автоматической. Теперь мы можем быстро реагировать на появление новых методов, и количество тестов выросло в разы, а рутинная ручная работа — уменьшилась.
Но, конечно, не всё идеально: сложные user flows, вопросы с контекстом и галлюцинации — всё это мы учли и продолжаем дорабатывать.
🔹 Если у вас есть вопросы по нашему подходу или хотите обсудить детали — пишите!
Представьте, что у вас есть огромное количество новых методов в API, и вы хотите быстро и качественно тестировать их на уязвимости. Вручную это делать невозможно — слишком долго и скучно. Вот почему мы решили автоматизировать генерацию Nuclei-шаблонов на основе JSON-схем методов VK API, используя LLM.
Еще одна сложность — не всегда достаточно просто вызвать метод: иногда уязвимость проявится только после ряда действий на странице (например, открытие модального окна, клик по кнопке). Раньше такие сценарии писали вручную, но это не масштабируется. Мы искали способ автоматически собирать эти действия и использовать их для обучения LLM.
В итоге мы выбрали такой подход:
обучаем LLM анализировать JSON-схемы, чтобы определять, какие параметры использовать для нагрузки, а какие — оставить в покое;
Не обошлись без LLM и при выборе триггера сканирования. Как только завершаются функциональные тесты в пайплайне, в дело вступает модуль скоринга «фичи» на базе LLM. Модуль оценивает её на предмет существенности изменений: если фича больше про косметические правки, не затрагивает бизнес-логику, не порождает новых полей для пользовательского ввода, etc, то необходимости сканировать её нет.
Но, конечно, не всё идеально: сложные user flows, вопросы с контекстом и галлюцинации — всё это мы учли и продолжаем дорабатывать.
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
👍60❤55🤩55🔥51💯44🎉36👏5🤪1
Представьте, что у вас десятки сервисов и постоянный поток изменений в проде, поэтому одни и те же уязвимости регулярно «всплывают» снова и снова.
Так, в свободное от основных задач время, началась разработка первого MVP. Это был, по сути, набор скриптов, они обходили сайты, подставляли в поля разные тестовые пейлоады с помощью популярного инструмента Nuclei и смотрели, что на выходе. Такой подход дал ожидаемый, но неутешительный результат: уровень шума и ложных срабатываний оказался очень высоким, а доля действительно полезных находок — минимальной.
Смена парадигмы
Мы сели и переосмыслили подход. Зачем сканировать тысячи одинаковых ручек API по общему списку? Гораздо полезнее была бы автоматизация для решения конкретных задач. Так родилась ключевая идея «регрессивного DAST».
Проблемы роста
С первыми результатами пришли и первые сложности. Пока тесты гоняли сами авторы на своих проектах — всё работало. Но для масштабирования на десятки продуктов VK нужно было решить проблему авторизации. Как агенту легитимно зайти под пользователя в каждый сервис?
Мы пробовали разные пути, но в итоге элегантное решение нашлось внутри компании — VK ID. Почти все наши сервисы его поддерживают. Мы научили нашего агента работать с ним: создавать тестовые учётные записи, получать сессии и использовать их для проверок. Это стало универсальным решением.
Архитектура платформы
В процессе проектирования было принято решение реализовать единую платформу для DAST-сканирований, которую по факту можно разделить на две части:
🔹 Центр — VK Security Gate. Единый планировщик, который ставит задачи, принимает и обрабатывает результаты. Общий интерфейс, где можно настраивать проверки, цели и расписания.
🔹 Агенты (исполнители). Их может быть много, и они могут быть разными. Мы сделали центрального агента для базовых нужд. Команда ВКонтакте, столкнувшись со спецификой своих продуктов и написала своего агента с поддержкой нужных им фреймворков и протоколов.
Главное правило простое: если агент умеет общаться с центральным планировщиком по единому API и присылать результаты в нужном формате — он часть платформы.
От ручных шаблонов к генерации ИИ
С агентом и платформой появился новый вопрос: а что, собственно, проверять? Ручное написание шаблонов для каждой уязвимости — трудоёмко. Мы пошли дальше и начали пытаться упростить себе жизнь через LLM.
Мы взяли базу из тысяч найденных за годы уязвимостей (описания из Jira) и научили цепочку ИИ-агентов делать из них валидные шаблоны для Nuclei. Один агент классифицирует тип уязвимости, другой вытаскивает параметры (URL, пейлоады), третий генерирует код, четвёртый — проверяет его работоспособность. Это позволило почти автоматически создать базу регресс-тестов.
Что в итоге?
🔹 DAST — это контроль, а не только находка багов. Его главная ценность — в том, чтобы не допустить возврата уже исправленных уязвимостей. Это страховка от регрессий, которая работает постоянно.
Гибкость важнее «универсального решения». В большой и разнородной компании попытка сделать один идеальный инструмент для всех обречена. Сработала модель платформы: общий центр и простая возможность допиливать своих агентов под задачи конкретных команд.
VK Security | Буст этому каналу
#VKSecurityGate #DAST
Так, в свободное от основных задач время, началась разработка первого MVP. Это был, по сути, набор скриптов, они обходили сайты, подставляли в поля разные тестовые пейлоады с помощью популярного инструмента Nuclei и смотрели, что на выходе. Такой подход дал ожидаемый, но неутешительный результат: уровень шума и ложных срабатываний оказался очень высоким, а доля действительно полезных находок — минимальной.
Смена парадигмы
Мы сели и переосмыслили подход. Зачем сканировать тысячи одинаковых ручек API по общему списку? Гораздо полезнее была бы автоматизация для решения конкретных задач. Так родилась ключевая идея «регрессивного DAST».
Суть проста:
1. На аудите или пентесте мы находим реальную уязвимость.
2. Тестировщик, который её нашёл, описывает чёткие шаги для воспроизведения.
3. Эти шаги превращаются в шаблон (тест-кейс) для нашего инструмента.
4. Этот тест мы можем запускать снова и снова, чтобы проверить: а исправлена ли уязвимость после патча? Не просочилась ли она обратно после обновления кода?
Проблемы роста
С первыми результатами пришли и первые сложности. Пока тесты гоняли сами авторы на своих проектах — всё работало. Но для масштабирования на десятки продуктов VK нужно было решить проблему авторизации. Как агенту легитимно зайти под пользователя в каждый сервис?
Мы пробовали разные пути, но в итоге элегантное решение нашлось внутри компании — VK ID. Почти все наши сервисы его поддерживают. Мы научили нашего агента работать с ним: создавать тестовые учётные записи, получать сессии и использовать их для проверок. Это стало универсальным решением.
Архитектура платформы
В процессе проектирования было принято решение реализовать единую платформу для DAST-сканирований, которую по факту можно разделить на две части:
Главное правило простое: если агент умеет общаться с центральным планировщиком по единому API и присылать результаты в нужном формате — он часть платформы.
От ручных шаблонов к генерации ИИ
С агентом и платформой появился новый вопрос: а что, собственно, проверять? Ручное написание шаблонов для каждой уязвимости — трудоёмко. Мы пошли дальше и начали пытаться упростить себе жизнь через LLM.
Мы взяли базу из тысяч найденных за годы уязвимостей (описания из Jira) и научили цепочку ИИ-агентов делать из них валидные шаблоны для Nuclei. Один агент классифицирует тип уязвимости, другой вытаскивает параметры (URL, пейлоады), третий генерирует код, четвёртый — проверяет его работоспособность. Это позволило почти автоматически создать базу регресс-тестов.
Что в итоге?
Гибкость важнее «универсального решения». В большой и разнородной компании попытка сделать один идеальный инструмент для всех обречена. Сработала модель платформы: общий центр и простая возможность допиливать своих агентов под задачи конкретных команд.
VK Security | Буст этому каналу
#VKSecurityGate #DAST
Please open Telegram to view this post
VIEW IN TELEGRAM
❤6👍3🔥2✍1
Знакомьтесь с T-shaped подходом: когда глубокая экспертиза в безопасности встречается с пониманием разработки и DevOps. О том, как стать таким специалистом, на примере своего пути рассказывает ведущий DevOps-инженер VK, Андрей Шибалов.
Telegram
VK Team
Так-то я кибербезопасник. Разработка — это для души 😉
Рассказываем, как стать T-shaped специалистом и кто это такие. Андрей Шибалов, ведущий инженер DevOps в VK, поделился личным опытом развития и советами. Листайте карточки!
Рассказываем, как стать T-shaped специалистом и кто это такие. Андрей Шибалов, ведущий инженер DevOps в VK, поделился личным опытом развития и советами. Листайте карточки!
👍5🔥4👏3❤1😁1