Архив метки: VK

Впечатления от VK Security Confab Max 2024 самые приятные

Впечатления от VK Security Confab Max 2024 самые приятные. Как по мне, такая конфа давно напрашивалась и будет здорово, если она станет ежегодной. 🙂🔥

Основные преимущества:

🔹 Конфа бесплатна для докладчиков, нет странных ограничений на указание работодателя
🔹 Таймслоты на выбор (от 10 до 45 минут)
🔹 CFP закрывается не за месяцы до начала мероприятия, а за неделю
🔹 Адекватный программный комитет не пропускает маркетинговый трешак
🔹 Проведение в декабре - удобно подводить итоги года
🔹 Конфа бесплатна для зрителей и есть трансляция на сайте (без регистрации)
🔹 На видео нормально видны слайды, запись сразу доступна
🔹 Ведущие в теме и задают адекватные вопросы
🔹 До офиса VK удобно добираться и он комфортный
🔹 Если кейтеринга мало, есть доступ в приличную столовую от cafetera 🍛😉

Что можно улучшать:

🔸 Качество съёмки: было как-то зернисто и зеленовато 🤷‍♂️
🔸 Название конфы лучше бы покороче

А так всё супер! 🙂👍
Большое спасибо организаторам!

Выложил запись моего вчерашнего выступления на VK Security Сonfab Max 2024: Vulnerability Management, кризис NVD, трендовые уязвимости и БОСПУУ

Добавить комментарий

Выложил запись моего вчерашнего выступления на VK Security Сonfab Max 2024: Vulnerability Management, кризис NVD, трендовые уязвимости и БОСПУУ. Доступно на VK видео, Rutube и YouTube.

В 2024 году NIST NVD перестал справляться с ускоряющимися темпами прироста уязвимостей, а общее количество CVE-уязвимостей уже перевалило за 250 000. Какие из этих уязвимостей стали активно эксплуатироваться злоумышленниками в этом году и какие могут начать эксплуатироваться в ближайшем будущем? Как построить Vulnerability Management процесс в организации, чтобы снизить риски эксплуатации критичных уязвимостей?

00:00 Представляюсь
01:09 NVD в 2024 году: безудержный рост количества CVE и его причины (CNA организации), кризис обогащения данных
04:25 Как CNA вендор может творить дичь на примере Linux Kernel и Linux Patch Wednesday
06:29 Трендовые уязвимости и как мы их отбираем
08:12 Про проект "В тренде VM": ролики, дайджесты, хабропосты
08:50 Как я анализировал 70 трендовых уязвимостей с помощью Vulristics
11:21 Пример успешного предсказания трендовости
11:50 4 уязвимости 2023 года: почему они здесь?
12:13 Почему нет трендовых уязвимостей в отечественных продуктах?
13:20 32 уязвимости Microsoft
13:51 2 уязвимости Linux
14:34 Остальные группы уязвимостей: фишинг, сетевая безопасность, бэкапы и виртуалки, разработка ПО, совместная работа, CMS
17:01 ТОП-3
17:50 Не уязвимости, но важно (2 кейса)
19:49 Прогнозы на 2025 год
21:10 Базовая Оценка Состояния Процесса Управления Уязвимостями (БОСПУУ)
28:36 Вопрос про Vulnerability Management без бюджета
31:18 Вопрос про то, как выделять трендовые уязвимости
33:47 Вопрос про то, как заставить IT оперативно устранять уязвимости
36:20 Вопрос про отчёты о сканировании MaxPatrol VM
37:02 Вопрос про причины лавинообразного увеличения количества CVE (упоминаю BDU:2024-08516 от СайберОК)
38:50 Вопрос про хороший продукт по проблематике 0day

🗒 Полный отчёт Vulristics для трендовых уязвимостей 2024

Понравился доклад? 🗳 Проголосуй за него! 😉

Максим Казенков из команды VK рассказал про их самописный периметровый сканер портов Nmon

Добавить комментарий

Максим Казенков из команды VK рассказал про их самописный периметровый сканер портов Nmon. Если верить сравнению, он чуть медленнее masscan и при этом детектит точнее Nmap. Есть прикольная фича для детектирования ML-ем админок, дефейса, фишнига. VK коммерческие сканеры уязвимостей для сканирования периметра тоже используют, в основном для детектирования уязвимостей.

11 декабря в Москве пройдёт конференция по ИБ "VK Security Сonfab Max", осталась пара дней до завершения CFP!

Добавить комментарий

11 декабря в Москве пройдёт конференция по ИБ "VK Security Сonfab Max", осталась пара дней до завершения CFP! Раньше коллеги из VK-шечки проводили только ИБ-митапы (весьма крутые 🙂), а теперь замахнулись на полноценную собственную конфу на целый день с 11:00 до 19:00 + Афтепати до 22:00.

📩 До 29 ноября можно успеть подать доклад на CFP. Форматы выступления 15, 30 и 50 минут (+10 минут на вопросы).

Приятная фишечка: обещают выделить тихую зону коворкинга с розетками и столами, чтобы можно было поработать в течение дня. 👍

➡️ Бесплатная регистрация на сайте

Уютненький канал "Управления Уязвимостями и прочее" в информационных партнерах мероприятия, поэтому буду подсвечивать интересное. 😉

Интерактивчик: во время сегодняшнего мероприятия Qualys в 19:00 я буду делать пометки в чатике VK

Добавить комментарий

Интерактивчик: во время сегодняшнего мероприятия Qualys в 19:00 я буду делать пометки в чатике VK. Приглашаю всех выкатиться туда к этому времени. Перемоем косточки Qualys-ам, поугараем над штампами буржуйского ИБ-маркетинга, отметим полезные идеи и фичи. На само сообщество "Управление Уязвимостями и прочее" в VK тоже приглашаю подписаться. Пока это резервная площадка, но что-то мне подсказывает, что довольно скоро она может стать основной. 😏 Все посты туда дублирую и там открыты комментарии.

Awillix открыли приём заявок на Pentest Award 2024

1 комментарий

Awillix открыли приём заявок на Pentest Award 2024. Собирают заявки до 23 июня, награждать будут 2 августа. В этот раз будет 6 номинаций, по 3 призовых места в каждой.

3 номинации остались с прошлого года:

🔸 Hack the logic
🔸 Раз bypass, два bypass
🔸 Ловись рыбка

3 новых:

🔻 Пробив WEB (от BIZONE Bug Bounty)
🔻 Пробив инфраструктуры (от VK)
🔻 Девайс

Заявлены прикольные призы: макбуки, айфоны, смарт-часы, умные колонки и прочее.

Уютный канальчик "Управление Уязвимостями и прочее" в инфопартнёрах. 😉

Подавайтесь!

Закончилась пора ЕГЭ

2 комментария

Закончилась пора ЕГЭ. Начали задавать вопросы по поводу учёбы на безопасника в МГТУ им. Баумана (ИУ8). 🙂 Я учился в 2003-2009. Остался доволен. Ну так-то сложно быть недовольным, когда поступил довольно неожиданно и легко (собеседование для медалистов - была такая тема 😉), учился на бюджете, отсрочка от армии, военная кафедра, гос. диплом. Да ещё при этом научили чему-то полезному и дали неплохой начальный нетворкинг! Это ж просто праздник какой-то! 🤩

Нравилась ли мне программа обучения? Местами да, местами не особо. Часто говорят, что много лишних предметов. Как по мне, экология, валеология (!), философия, история это же всё чтобы мозги немного расслабились. Никаких проблем с этими предметами, естественно, не было. Основная жесть это была дискретка под разными соусами в конских количествах практически все 6 лет. Особенно Жуковы на первых курсах. 😱 До сих пор иногда снится, что мне её сдавать. 😅 Нужно ли было так много? Не знаю, возможно криптографам и нужно. Сейчас вроде появилась специализация с меньшими объемами математики и простым смертным стало чуть полегче. От предметов, которые преподавали Эшелоновцы у меня самые приятные воспоминания остались, особенно от курса ТОИБАС Валентина Цирлова и курса по выбору на основе CISSP CBK Алексея Маркова. Вот это действительно было полезно и отражало то, чем обычно безопасники в реальной жизни занимаются. Программирования можно было и побольше, а курсы по ОС и сетям были неплохие.

В целом же, что касается каких-то практических навыков, то тут мне кажется важнее найти развивающую первую работу на старших курсах или участвовать в дополнительных обучающих программах. В случае МГТУ это Образовательный центр VK или ISCRA. Конечно, было бы здорово, если бы основная программа была более полезной практически, чтобы не приходилось добирать на стороне, но тут всё упирается в образовательные стандарты. Поэтому я не сказал бы, что в Бауманке прямо идеальная программа обучения ИБшников, но сильно сомневаюсь, что где-то в России их готовят лучше.