ZeroNights снова с нами!

В этом году конференция пройдет при участии 💙
Мы поддерживаем это важное для сообщества событие и готовим для участников кое-что особенное!

Ждём вас 26 ноября в LOFT HALL#7:

🔹Целый день хардкорных докладов
🔹Крутые спикеры
🔹Вечерняя спикер-пати и нетворкинг — всё, как мы любим!

Следите за нашими анонсами!

🔹Зарегистрироваться

VK Security | Буст этому каналу!

#конференция

Мы разыгрываем билеты на конференцию по практической безопасности — ZeroNights!

Как принять участие:
С 10 октября по 10 ноября ищите баги в программе VK Bug Bounty, отправляйте отчёты и получайте баунти, а также возможность выиграть проходку на главное событие осени!

Что на кону:
🔹1 билет на конференцию с доступом на спикер-пати: за самую ценную уязвимость;
🔹1 билет на конференцию: за самое большое количество уязвимостей;
🔹и еще 1 билет мы разыграем случайным образом среди всех багхантеров, чьи отчёты были приняты.

Ждём ваши отчёты:
• Standoff Bug Bounty
• BI.ZONE Bug Bounty
• Bugbounty.ru

VK Security | Буст этому каналу!

#bugbounty #bountypass

Технологии безопасности Big Tech #5.
Масштабируемый сбор логов: проектируем прокси-слой

Обеспечить аналитикам мгновенный поиск по петабайтам логов — сложно. А что, если данные распределены между горячим хранилищем, холодным архивом и системами индексов? Прямые запросы к таким объемам просто неэффективны.

Так мы создали собственный прокси-слой — интеллектуальный маршрутизатор запросов для нашей SIEM-системы.

🔹О том, как он устроен изнутри, расскажет Татьяна Хуртина, руководитель группы средств мониторинга VK.

Из выпуска вы узнаете:

🔹Почему без прокси не обойтись: как один слой объединяет OpenSearch, ClickHouse и YTsaurus, делая их прозрачными для аналитика.

🔹Как работает трансляция запросов: превращаем запросы из OpenSearch DSL в оптимизированный SQL для аналитических хранилищ.

🔹Как оптимизировать поиск: за счет предварительного отбора ID через индексатор мы минимизируем объем обрабатываемых данных.

💙 Смотреть полное видео

VK Security | Буст этому каналу!

#технологии #эксперты #VKSIEM

MLSecOps: практические векторы атак

Пока индустрия массово внедряет ML-системы, классический AppSec оказывается недостаточным. Угрозы теперь — в самих данных и поведении моделей. Именно эту проблему на практике разбирает прикладное исследование выпускника ВШЭ Алексея Солдатова. Куратором проекта выступил Павел Литиков, архитектор ИБ в команде AI VK. Он отвечал за интеграцию практического опыта: помогал формировать гипотезы атак, проверять инструменты тестирования на жизнеспособность и направлять команду студентов к результату, который можно использовать для построения безопасности в VK.

🔹 В статье вы узнаете о:
• классификации угроз на всех этапах жизни ML-модели;
• обзоре open-source инструментов для атак (и их актуальности);
• примерах реальных атак: Data Poisoning и Model Stealing;
• разработке собственного инструмента для тестирования безопасности ML-моделей.

🔹 Читать исследование

VK Security | Буст этому каналу!

#эксперты #AI #исследование

🛠️ VK SIEM: Исследуем кейс масштабирования

🔹Когда VK SIEM должна была обрабатывать миллионы событий в секунду, классические подходы перестали работать. Проблема была не только в объёмах, а в том, что события приходили с десятков тысяч серверов, рабочих станций и приложений в разных форматах.

🔹 Если применить классические подходы, которые используются в SIEM для обработки логов, то при таких нагрузках система может захлёбываться: возникал эффект backpressure, когда задержки в одном компоненте останавливали весь поток.

🔹 Для решения этой проблемы мы внедрили многоуровневую архитектуру, аналогичную той, что используется в нашей компании для обработки пользовательских данных. Теперь события проходят через цепочку коллекторов, нормализаторов и буферов, прежде чем попасть в VK SIEM. Да, это усложнило систему, но зато мы получили стабильность даже при нагрузке в 3,5 млн событий в секунду.
Но на этом история не закончилась — оказалось, что собрать события это лишь полдела...

Во второй части мы расскажем, с какой неочевидной проблемой столкнулись на этапе поиска. Не переключайтесь!

VK Security | Буст этому каналу!

#VKSIEM #технологии

🔹 Читать первую часть

🔹 Итак, мы научились собирать гигантские объёмы данных. Казалось бы, можно выдохнуть. Но тут нас ждал новый вызов: собранные события в VK SIEM оказалось невозможно нормально искать, точнее можно, но это было бы очень и очень долго, что нас, конечно же, не устраивало. Стандартный поиск был перегружен, а аналитики не могли оперативно находить инциденты.

🔹 Мы поняли, что нужно внедрять отдельное решение и применили гибридную схему. Она выглядела следующим образом:

🔹быстрый внешний индекс для определения диапазонов и хранения токенов поиска;
🔹две различные БД для горячего и холодного хранения с гибким управлением.

🔹 Сегодня мы управляем всей этой сложной системой через GitOps, а ее надежность измеряем по SLO. Если поток событий с критического сервера пропадает — VK SIEM автоматически генерирует алерт. Это значит, что мы можем быть уверены: ни одна важная угроза не останется незамеченной.

👉🏻 Перейти, чтобы узнать подробнее

🔹 Возможно, именно наш опыт решения сложных задач масштабирования будет полезен и вашему бизнесу!

VK Security | Буст этому каналу!

#VKSIEM #технологии

На связи команда безопасности Kubernetes. Наша ежедневная работа — это сделать жизнь кластеров предсказуемой и безопасной. Мы разрабатываем стандарты и рекомендации ИБ, внимательно следим за тем, что происходит в кластерах, контролируем соблюдение наших правил, подбираем и настраиваем инструменты защиты, занимаемся расследованием инцидентов, а также адаптируем ИБ инструменты под внутреннюю платформу One-сloud.

Сегодня мы начинаем серию постов, в которой подробно расскажем о рождении и эволюции нашего инструмента — Fast Audit Kubernetes 🚀

С чего все начиналось: фокус на Network Policy

🔹 Изначально FAK задумывался как инструмент для наблюдения и анализа сетевых политик. Нам была нужна «легковесная» автоматизация, которая не лезет в прод и не отнимает ресурсы, не обладает избыточными правами, но при этом дает чёткую картину: какие политики применены, куда есть доступ и куда его быть не должно.

🔹 Принцип работы был следующим: раз в сутки FAK выгружал все Network Policy, парсил их и загружал в БД. На основе этих данных мы строили граф, который визуализировал все связи в кластере. Особенно полезной была фича подсветки новых политик — тех, что появились с момента прошлого скана.
Со временем графы стали такими большими, что разбираться в них вручную стало нереально. Чтобы решить эту проблему, мы научили FAK автоматически определять легитимность соединений.

🔹 Как мы классифицируем соединения:
На графе все соединения для удобства отмечены цветом.

🔸Красные связи — сигнал тревоги. Такая связь означает либо нарушение правил, либо отсутствие согласования.
🔹Синие — стабильный, известный и разрешенный ландшафт соединений.
🔹Зелёные — новые, но уже одобренные командой ИБ соединения.
А чтобы не заглядывать в интерфейс каждый день, мы настроили алерты в Teams — теперь команды сами узнают о новых сетевых взаимодействиях.

В следующей части мы расскажем, какие фичи мы добавили и как FAK превратился для нас в центральный инструмент наблюдения за безопасностью Kubernetes.

Не переключайтесь!

VK Security | Буст этому каналу!

#инфраструктура #Kubernetes

Читать сначала:
1 часть

Со временем мы стали добавлять новые фичи, и FAK превратился для нас в центральный инструмент наблюдения за безопасностью Kubernetes. Мы решили начать с ключевых аспектов ИБ Kubernetes, которые критически важны, но отнимают уйму времени при ручном анализе:

🔹Network Policy (то, с чего мы начинали)
🔹RBAC
🔹Манифесты подов и их Security Context

Большинство open-source решений обычно заточены под одну задачу. В то же время, платформенные продукты часто тяжелые, требуют привилегированного доступа в кластере и частично дублируют функционал наших текущих инструментов. Поэтому мы решили развивать свой инструмент.

Глубокий анализ RBAC

Если вы работали с Kubernetes, то знаете, что разбираться в RBAC без инструментов — это довольно трудоёмко. Роли создаются вручную, тянутся из helm-чартов, агрегируются... В итоге сложно понять, какие права есть у конкретного сервисного аккаунта или пользователя.

🔹 Здесь FAK действует как рентген:

🔹сканирует, какие права принадлежат каждому пользователю, группе или сервис аккаунту
🔹подсвечивает все опасные роли;
🔹позволяет отфильтровать всех cluster-admin, все опасные роли, посмотреть разницу с предыдущим сканом или отобразить в виде наглядного графика;
🔹показывает, какие поды используют сервис аккаунты с опасными правами;
🔹как и в случае с сетевыми политиками, за любыми изменениями можно следить через уведомления в Teams.

🔹 Мы также ведем и регулярно пополняем базу опасных RBAC на основе документации Kubernetes, ИБ стандартов и рекомендаций, исследований, CVE. В нашей базе уже более 20 правил.

Один из примеров опасной роли:

rules:
- apiGroups: [""]
resources: ["secrets"]
verbs: ["list"]

На первый взгляд безобидный глагол list. Кажется, что он просто перечисляет названия секретов? На деле он дает чтение всех секретов. Если такая роль используется не в рамках одного неймспейса, а всего кластера, то мы получаем возможность читать все секреты во всем кластере.
Но что, если у нас wildcard роль, со звездочкой (*) в verbs (любое действие) или в resources (любой ресурс в указанных apiGroups)?

rules:
- apiGroups: [""]
resources: ["*"]
verbs: ["list"]

или так

rules:
- apiGroups: [""]
resources: ["secrets"]
verbs: ["*"]

Такую роль еще сложнее найти, и помимо совпадений глаголов и ресурсов, мы должны учитывать еще и наличие «*».

Таким образом, FAK помогает нам найти не только опасные RBAC, но и список подов, которые используют сервис аккаунты с опасными правами. Это ещё на шаг приближает нас к полному пониманию всей картины безопасности Kubernetes кластеров.

В следующих частях мы подробнее поговорим о том, как контролировать Security Context подов, не давая из них сбежать на ноду, и как мы мониторим наши ИБ-инструменты, такие как Gatekeeper и Tetragon.

VK Security | Буст этому каналу!

#инфраструктура #Kubernetes

Всем салют ✨

Время подвести итоги недавнего конкурса! Нас приятно удивила ваша активность, особенно в программе MAX! Спасибо каждому, кто искал уязвимости и отправлял отчёты!

А теперь — барабанная дробь 🥁

Наши победители:
🔹Номинация «За самую ценную уязвимость»: Slift
🔹Номинация «За наибольшее количество отчётов»: r0hack
🔹Номинация «Счастливчик»: arkiix

Респект и поздравления, ребята 🏆

P.S. Присоединяйтесь к нашему уютному VK Bug Bounty Lounge на конференции! Здесь вас будут ждать: специальные активности, вкусные угощения, прохладительные напитки, кальян и комфортная зона для нетворкинга.

VK Security | Буст этому каналу!

#bugbounty #bountypass

1 часть
2 часть
3 часть

🔹Со временем мы задумались об интеграции с нашими обязательными ИБ-инструментами. Обычный мониторинг и анализ логов не покрывает все наши запросы. К тому же, разные команды и бизнес-юниты могут иметь свой собственный CI/CD. В таком случае, как нам убедиться, что инструменты безопасности остаются в том виде, в котором мы их настроили?

🔹Gatekeeper — известный Admission Controller, который запрещает создавать ресурсы, которые не соответствуют заданным политикам. FAK теперь умеет парсить все его политики, следит за версиями, показывает списки исключений, а также режим (блокирующий/неблокирующий). В планах — сравнивать политики с эталонными и бить тревогу при расхождении.

🔹Tetragon — агент на каждой ноде, который в реальном времени следит за системными вызовами, вызовами функций ядра и сетевой активностью через eBPF. Сейчас мы работаем над тем, чтобы FAK так же контролировал его версию и целостность политик.

Также у нас есть собственный ИБ-инструмент, который обеспечивает интеграцию кластера и нашего Security Gate, со временем он тоже появится в FAK.

🔹 Как мы используем FAK в повседневной работе

Если обобщить, FAK для нас — это:
▫️база знаний и рекомендаций при онбординге нового кластера.
▫️система наблюдения за тем, что и как меняется со временем.
▫️механизм контроля за выполнением наших стандартов безопасности.
▫️канал оперативного оповещения о сбое конфигураций или появлении рисков.

🔹 Что ждет Fast Audit Kubernetes дальше

Мы планируем развивать продукт в трёх ключевых направлениях, исходя из потребностей пользователей:

🟣Функциональность: улучшение детектирования (опасные RBAC, wildcard-правила, pods) и добавление проверок на соответствие CIS Benchmark.
🟣Аналитика: создание комплексной модели взаимосвязей между RBAC, Network Policies и Pods для оценки рисков.
🟣Интеграции: API для отчетов, автоматизация Jira и применение LLM для умного анализа.

FAK для нас — это живой инструмент, который растет вместе с нашими задачами. И его главная цель — сделать сложную безопасность Kubernetes простой, наглядной и управляемой.

👉А с какими вызовами в безопасности K8s сталкиваетесь вы? Поделитесь опытом в комментариях — обсудим, как подходить к таким задачам!

VK Security | Буст этому каналу!

#инфраструктура #Kubernetes

Технологии безопасности Big Tech #6

Ранее мы уже подробно рассматривали различные типы атак на ML-модели, а также протестировали инструменты для анализа устойчивости моделей к атакам, в рамках совместного с НИУ ВШЭ исследования.

Сегодня поговорим о том, как выстроить защиту AI на примере inference платформы в практике VK.

Павел Литиков, архитектор информационной безопасности AI-направления VK, рассказывает о построении единой системы защиты для всех этапов жизненного цикла моделей.

В выпуске:
🔹Как мы обеспечиваем безопасность на всех этапах — от данных до эксплуатации моделей.
🔹Архитектурные решения платформы и унификация защитных механизмов.
🔹Реальные примеры и уязвимости из практики VK.

💙 Смотреть полное видео

VK Security | Буст этому каналу!

#технологии #эксперты #AI #ML

Пятница — идеальный день, чтобы напомнить о главном событии следующей недели.

26 ноября встречаемся на ZeroNights! Мы ждём вас в VK Bug Bounty Lounge — нашем закрытом пространстве, созданном специально для сообщества багхантеров.

В программе:

🔹захватывающий CTF с нетривиальными задачами;
🔹эксклюзивный мерч и промокоды, которые увеличат выплаты за ваши следующие отчёты.
🔹расслабленная атмосфера: прохладительные напитки, вкусные угощения и ароматные кальяны.

А пока готовимся к конференции — не забываем про главное!

Го сдавать ваши отчеты в программы VK Bug Bounty на платформах Standoff, BI.ZONE и Bugbounty.ru!

До встречи!

VK Security | Буст этому каналу!

#bugbounty #bountypass

Вечер вторника — самое время, чтобы посмотреть вакансии.

А вот и они 🔹🔹🔹

Старший специалист в команду безопасности сетей в VK, Москва
Ищем эксперта по сетевой безопасности для защиты инфраструктуры, реагирования на инциденты, аудита и автоматизации процессов.

Руководитель направления antifraud в VK ID, Москва
Ожидаем глубокое понимание мошеннических схем, уверенные навыки работы с данными: SQL, BI-инструменты, лог-аналитика и опыт построения Roadmap и CJM.

Эксперт продуктовой безопасности в VK Tech, Москва
Ищем эксперта по продуктовой безопасности для внедрения Security-by-Design, проведения SAST/SCA/DAST и анализа защищённости архитектуры на всех этапах жизненного цикла разработки SDLC.

Аналитик антифрода (L2) в MAX
Ключевая задача — преобразование сырых данных из различных источников (логи, метрики, события) в эффективные детектирующие правила и модели для противодействия сложным мошенническим атакам.

А всем, кто лайкнул эту подборку, +100 к удаче на этой неделе! 💫

Контакт для связи: @lisenkova_a

VK Security | Буст этому каналу!

#вакансии