Blue (h/c)at Café

💥 Встречайте VK Security Confab, теперь в формате Max!

Нам так понравилось проводить митапы VK Security Confab, что мы решили устроить еще один. Но сделать его еще больше, еще практичнее, еще интереснее!

Приглашаем 11 декабря на нашу первую конференцию по практической информационной безопасности.
Мы будем говорить только о том, что имеет значение – технологии, кейсы и best practices. Только техника, только хардкор! 🤟

📣 Call for Papers (до 29 ноября)
Есть крутая экспертиза? Расскажите нам о ней!
Скорее отправляйте ваши заявки в форме на сайте.

VK Security Confab Max – это

📍 Место встречи экспертов и практиков

💡 5 основных тем: SOC, AppSec, безопасность пользователей, облаков и инфраструктуры

👍 Программа на целый день: технические доклады, нетворкинг и афтепати

📺 Онлайн-трансляция для тех, кто не сможет приехать к нам в офис


Все подробности и регистрация 👉 на сайте

#confab #max #конференция

Жизненный
#meme

Вечерние полежанки

💙 AppSec weekly digest #5

Немного перенеслись посты из-за командировки, но интересного уйма. Сейчас все основные приоритеты отданы DAST-у и адаптации SecurityGate под наши реалии.


👀 Немного социального

🔵 Будем присутствовать на ИБ-митапе;

🔵 Финализировали результаты Bounty pass#2: Olymp, а также были разосланы приглашения на на вечеринку BB Advent Party 19 декабря в Москве!

🛠 Рабочие процессы

🔵 Командировка прошла успешно. Мы посетили наш второй офис в Питере и пообщались с ОК-ами;

🔵 Начали продуктивное сотрудничество с командой ИБ ОК. Как оказалось у них много интересных и классных ребят, а в наших "рабочих проблемах" есть общий знаменатель. Надеюсь, что у нас будет продуктивное сотрудничество. Осталось найти время на новый 5-ти часовой созвон, чтобы обсудить оставшиеся вопросы;

🔵 Мы завершаем подготовительные работы к запуску в пилотном режиме нашего DAST-сканнера. Будет проводиться тестирование только на тестовых данных, ничего реального трогать пока не будем. Также я начал процесс по автоматизированному наполнению пейлоадами/постами/фотками/иной информацией. Тут хочется отметить, что над этой задачей работаю не только я, но ещё и мой коллега. Именно он написал на Python данный POC, который мне нужно адаптировать и переписать на Go. Для этого мы берём заранее собранные данных и список пейлоадов и начинаем процесс наполнения данными (очень похоже на то, что делают QA для тестов). На выходе получаем json с подробной информацией на каждый пост/комментарий/ответ_на_комментарий/запись и тп. Пока не могу точно сказать, что будет входить в конечный JSON, т.к. только работаю над этим;

🔵 Мы переписали часть кода SecurityGate и адаптировали его под себя в рамках сотрудничества между ИБ всего VK. Сейчас будем тестировать и добавлять необходимый нам функционал, а потом он будет в master ветке и развернут на всех. В данный момент ждем пайплайнов раскатки, из-за особенностей внутренней архитектуры;

🔵 Мы продолжаем развивать идею SecurityQA и уже провели несколько on-boarding сессий для наших QA-профессионалов.

💡 Обратная связь

Буду рад как критике, так и пожеланиям к постам. Если Вы appsex, то Вам сюда - ТЫК

#meme

#meme

#meme

#meme

💙 AppSec weekly digest #4

👀 Немного социального
🔵 Вышел новый выпуск подкаста SafeCode Live. Петр Уваров (VK Bug Bounty) и Сергей Зыбнев (пентестер Бастион, создатель похека) рассказали ведущему – Алексею Федулаеву (MTC Web Services и автор Ever Secure) много интересного;
🔵 Готовится <ДАННЫЕ_УДАЛЕНЫ>;
🔵 Обновился багхантерский адвент-календарь, зацените новинку – ТЫК;
🔵 Появились результаты внутреннего CTF, мы поборолись и заняли достойное место. Задачи и райтапы выложить не получится, сказали что нельзя 😪.

🛠 Рабочие процессы

🔵 Для нас очень важно каждую неделю привносить что-то новое в наш DAST инструмент. На этой неделе был доделан режим с использованием нескольких токенов доступа - появилось автоопределение нужного токена (user, group, app...). Также продолжаю причесывать код и вместе с этим комментирую сложные функции для удобства работы команды;

🔵 После анализа внешнего сегмента, совещаний с внутренними и внешними командами безопасности было принято решение ❄️заморозить❄️ на месяц-два процесс создания и допиливания нашего ASM. Остановились на этапе распилки кода на core и агентов;

🔵 Принято решение о создании golden-образов для внутренних задач. На первое время будут для `Go`, `Python`, `alpine`, `test` (для быстрой раскатки наших скриптов) и `full-test` (для тестирования нашего хайлоад-ПО и тяжелых скриптов). Задача находится на стадии планирования;

🔵 Процесс SecurityQA начал работу! Мы начали on-boarding наших тестеров. Хочу сказать, что они молодцы, особенно их лиды, которые понимают важность и удобство взаимодействия между командами. Сейчас у наших тестеров есть обучающие материалы и желание сделать продукт безопаснее;

🔵 Уже некоторое время (ещё до момента, когда я пришел) не было общего процесса для задач на пентест в jira. Изучив то, как лучше это стандартизировать и раскатить на всех мы пришли к этой структуре (схема ниже). Теперь процесс идет более прозрачно и легче стало ориентироваться новичкам.

// Из структуры удалены confdata

               [NEW]
                 |
     +-----------+-----------+
     |           |           |
[NEED INFO]   [TO DO]    [BACKLOG]
                 |
                 v
            [IN PROGRESS]
                 |
                 v          
               [DONE]        

💡 Обратная связь

Повторяюсь, очень важно Ваше мнение. Негативные комментарии по процесам, помощь по созданию чего-либо и Ваши пожелания к будущим weekly digest-ам очень ценятся мной и нашей командой.

😑Наше сообщество тут – ТЫК

#meme

Бьётся родная, в экстазе пылая
Владивосток, 2️⃣0️⃣0️⃣0️⃣

Как ни крути, но уже 2000 человек присоединились к Blue (h/c)at Café ☕️! Ну или, скажем честно, около 100 из них точно настоящие, а остальные – наши «преданные» боты 😂 (может и не шутка...).

Спасибо ❤️❤️, что заходите в наше виртуальное Café, где собираются люди разных ИБ-профессий. Здесь можно обсудить как сварить идеальный кофе (я так-то больше по чаю 🫖) и одновременно узнать мнение soc-а, appsec-а, devsecops-а или настоящего мастера по мемам 😎. Blue (h/c)at Café ☕️ – место, где каждый находит свой столик и интересные диалоги.

😌🐱🐱
Мы сами не заметили, как стали для некоторых читателей источником свежих идей и полезных статей. Ну что ж, похоже, this is the way! В конце концов, разве не приятно, когда каждый глоток контента/мема на уровне утреннего кофе – насыщенный и бодрящий?

Спасибо Вам за доверие, за Ваше время и за каждый тёплый комментарий 😘.

#meme