Всем привет! Давайте сегодня поговорим о важной теме — что делать, если другие open-source проекты не успели защититься и уже оказались взломаны? Как нам действовать в такой ситуации? У нас для этого в Security Gate появилось два сервиса, и сегодня я расскажу о них подробно.

👉 Первый — это SG Malware Protector. Важно понимать разницу между обычной уязвимостью и malware. Уязвимость — это ошибка в коде, которую можно использовать. Malware — это целенаправленное вредоносное действие. Его встраивают в зависимости для кражи данных, создания бэкдоров или шифрования файлов. Такая угроза может пройти весь путь от компьютера разработчика до продакшена. В случае, если вы используете проксирующий сервис – то malware зависимость останется в ней, даже после удаления из публичного регистра.

🔹В этом году было несколько заметных атак. Одна из них — Shai Hulud, червь для кражи секретов. Злоумышленники скомпрометировали популярные библиотеки, встроив в их код вредоносный компонент червя, который с помощью сканера секретов TruffleHog извлекал секреты и публиковал их на GitHub. А если находил npm-токены — начинал выпускать новые версии легитимных пакетов, но уже с тем же вредоносом. Результат — экспоненциальный рост заражений: более 25 000 репозиториев за первые 72 часа, по 2000 новых заражений в час на пике и около 14 000 утекших секретов. Червя можно было даже отследить по маске названий репозиториев на GitHub, куда он всё складывал. В нашей практике был случай, когда через заражённый пакет скомпрометировались секреты сотрудника — пришлось проводить форензику, ротировать ключи.

🔹Другой пример — компрометация популярных фронтенд-библиотек, таких как debug, chalk, ansi-styles. Через социальную инженерию злоумышленники получили доступ к аккаунту в npm и загрузили вредоносные версии. Эти пакеты крали криптокошельки из браузеров пользователей. Суммарная загрузка данных пакетов из NPM превышает 1 млрд в неделю.

🔹Рост подобных атак составляет около 250% в год, поэтому нужны эффективные меры. Для этого и был создан SG Malware Protector. Он автоматически отслеживает новые источники информации о malware, находит угрозы в нашем Nexus и блокирует их. Также он ищет использование вредоносных зависимостей в проектах компании через инвентаризатор зависимостей Security Gate. Поддерживаются npm, Maven, PyPI, Go, NuGet.

Мы внедрили ежедневное дежурство для отслеживания новых угроз. Security Gate сканирует репозитории, а SG Malware Protector проверяет инвентаризатор и корпоративный Nexus. Мы уже подключили кастомный Nexus для RuStore.
В результате мы заблокировали 220 000 вредоносных зависимостей. Среднее количество новых malware-угроз в неделю — 202. Поиск по 70 000 фидам занимает менее часа по всем источникам.

Наши планы по развитию:

🔹Карантин для новых пакетов: будем отстаивать свежие версии, так как среднее время выявления malware в пакете — около 5 дней.
🔹 Расширение покрытия: подключение большего количества Nexus-репозиториев.
🔹Malware byte search: сигнатурный анализ самих артефактов.
🔹Быстрая инвентаризация: В Security Gate она занимает пару дней, что для опасных зависимостей всё ещё долго.

И здесь мы плавно переходим ко второму сервису, который как раз помогает закрыть вопрос скорости и не пропускать угрозы на самых ранних этапах. О нём расскажу подробнее в следующем посте. Не переключайтесь!

VK Security | Буст этому каналу!

#технологии #appsec
#devsecops #VKSecurityGate

Продолжаем разговор об инструментах Security Gate. Если SG Malware Protector защищает нас от уже попавших в экосистему вредоносов, то второй сервис — SG Fast Scanner — создан для быстрого сканирования Merge Request’ов, чтобы не допустить появления новых проблем.

🔹Ранее существовала следующая проблема: разработчик вливает merge request, содержащий, например, уязвимую зависимость. Мы узнаём об этом уже после того, как код попал в основную ветку, и начинается долгий цикл исправления — выпуск патча, новый MR. Схема работала, но создавала временной лаг и требовала эскалаций.

🔹В настоящее время процесс выглядит иначе: инструмент SG Fast Scanner анализирует изменения в коде непосредственно в момент создания merge request. Он выявляет открытые секреты, уязвимые зависимости и различные проблемы через SAST, после чего автоматически оставляет в MR комментарий с предупреждением. Разработчик может исправить проблему сразу, не покидая интерфейс, благодаря чему в основную ветку попадает только безопасный код.

🔹Визуально это выглядит следующим образом: в интерфейсе GitLab появляется комментарий с перечнем обнаруженных проблем — будь то SAST-предупреждения, секреты или уязвимые библиотеки. Интеграция выполняется через настройки интерфейса, без необходимости открывать консоль. Можно даже настроить блокировку вливания небезопасных MR.

Что мы получили в итоге?
🔹Уязвимости находят и устраняют до попадания в основную ветку.
🔹Разработчики видят проблемы в своём коде сразу.
🔹Среднее время сканирования MR — чуть больше 21 секунды.
🔹Подключение занимает до 10 минут целыми группами.
🔹Реализован сбор новых зависимостей в единую систему инвентаризации для оперативного реагирования на критические уязвимости
🔹Постоянное улучшение UX на основе обратной связи.
🔹Уязвимости в зависимостях разделены на те, которые были в проекте до MR, и те, которые были добавлены или изменены в рамках данного MR.

А планы у нас ещё амбициознее:
▫️интеграция с Security Gate для просмотра сработок прямо в интерфейсе;
▫️плагин для IDE на основе того же API;
▫️автофикс некоторых проблем с помощью LLM;
▫️подключение всех репозиториев GitLab через глобальные хуки, что исключает необходимость настройки для каждого проекта в отдельности.

📱Нам удалось решить проблему каскадных обновлений уязвимых зависимостей. Ранее нередко возникала ситуация, когда рекомендуемая для исправления версия сама содержала новые уязвимости. Из-за этого приходилось проходить повторный цикл обновлений — и так до тех пор, пока не находилась действительно безопасная версия.

Теперь Security Gate работает иначе. Инструмент собирает информацию обо всех известных уязвимостях и обо всех доступных версиях зависимости. На основе этих данных формируется конечный перечень безопасных версий, не имеющих уязвимостей.

VK Security | Буст этому каналу!

#технологии #appsec
#devsecops #VKSecurityGate

Пошумели на VK Security Confab: BB edition 🤟 
  
Вчера было так: приходишь на митап, а вокруг — свои. Кто-то давно знаком, кто-то наконец встретился лично после долгого общения в чатиках, а кто-то только познакомился — но сразу нашёл общие темы для разговоров. 
  
О чем говорили: 
  
🔹Петр Уваров открыл митап докладом о том, почему не стоит слепо доверять ИИ и как триажеры разбирают потоки сгенерированных отчетов. Добавил живых примеров и даже мемчиков для наглядности.

🔹Заур Заубаев выступил с историей создания HackAdvisor — платформы, созданной хакером для хакеров, которая помогает обеим сторонам и борется за справедливость.

🔹Павел Никитин поделился инсайтами, как системно смотреть на большой технологический продукт и не бояться искать там уязвимости.

🔹Завершал митап Всеволод Кокорин — продолжил тему ИИ, рассказал, как AI стал незаменимым помощником в хантинге, поделился своим успешным опытом и забрал победу в голосовании за лучший доклад.

📎 Презентации спикеров 
  
Мы получили больше 400 заявок на участие! В этот раз зал еле-еле вместил всех, кто пришёл. Вызов принят: в следующий раз будем искать площадку побольше 🙌  
  
Спасибо, что пришли и сделали этот вечер таким невероятным! Было очень круто🔹

Расскажите, а вам как?👇

В новом посте Тимур Лутфуллин, руководитель дежурных смен L1 в SOC, расскажет о том, как его команда перестала тонуть в потоке алертов. Десятки инцидентов в час, работа в разных системах, долгие расследования и лишние коммуникации — с этими вызовами знаком каждый, кто работает в дежурной смене. В материале — опыт внедрения ML в процессы, который изменил подход к обработке инцидентов и освободил время аналитиков.

🔹Наша команда работает 24/7, и нагрузка постоянно растёт: в пиковые периоды поток алертов идёт почти непрерывно, среднее число — десятки в час.
Главные болевые точки были типичными:
аналитик тратит время на переключение между разными системами: логи, доступы, обогащение,
процесс расследования не стандартизирован, сложные кейсы затягиваются.
Взаимодействие со смежными командами, например, антифродом, требует лишних коммуникаций;
пользовательские подтверждения действий — боты-опросники — создают дополнительный шум.

🔹Чтобы решить эти проблемы, мы сделали ставку на SOAR-систему, которая позволила аналитику работать в едином окне. К нам приходят алерты, сразу обогащаются, и из этого же интерфейса можно проводить реагирование.

🔹Никаких копирований и поиска по разным вкладкам: вся информация о хосте, возможность проверить хэш, связаться с сотрудником в мессенджере или создать задачу в системе тикетинга — всё в одной карточке.

🔹Для ускорения расследования мы добавили встроенные плейбуки и подсказки от внутренней LLM. Нейросеть прямо в карточке алерта даёт описание события на понятном языке и предлагает вердикт. Так аналитик быстрее понимает контекст, особенно в сложных или объёмных срабатываниях.

🔹Следующий шаг — обучение ML-модели на наших данных. Мы отдаём ей все алерты, чтобы она обогащала новые срабатывания информацией из внутренних систем —должность сотрудника, история аналогичных событий — и помогала с предварительным вердиктом. Модель уже используется в нашем боте для подтверждения команд: если пользователь ранее запускал безопасные команды на хосте, ML это запомнит и больше не будет задавать вопросов, сокращая лишние взаимодействия.

🔹Отдельно автоматизировали взаимодействие с антифродом. Раньше приходилось вручную оформлять алерты и ждать ответа. Теперь из SOAR алерт автоматически уходит в общий чат с кнопками «True Positive» / «False Positive», коллеги ставят вердикт, и он возвращается обратно в SOAR — всё закрывается без лишних движений.

🔹Что это дало:

🔹Время жизни алерта — от прихода до полного расследования — сократилось и вышло на стабильные показатели даже при пиковых нагрузках.
🔹Аналитик работает в едином окне, не отвлекаясь на смежные системы.
🔹Реагирование стало унифицированным. Многие действия: блокировка хоста, антивирусная проверка, создание инцидента — выполняются прямо из карточки алерта по нажатию кнопки.
🔹Cнизилось количество ложных срабатываний и ручных подтверждений.
🔹Взаимодействие со смежными подразделениями переведено в автоматический режим — время согласования сократилось с часов до минут.

Конечно, автоматизация не делается раз и навсегда. Мы постоянно дорабатываем правила, обучаем модели и расширяем возможности SOAR. Но полученный результат — наглядный пример того, как грамотное внедрение инструментов и пересмотр процессов помогает команде справляться с растущим потоком событий без потери качества.

#SOC #эксперты #разбор

VK Security | Буст этому каналу!

Добрый день, %bughunter_name%

Благодарим вас за отчёт и вклад в безопасность VK 🔹

Основываясь на уровне угрозы и таблице вознаграждений в Q1 мы назначили выплаты в размере 40 000 000+ рублей.
Эта сумма получилась так:
🔹 отчёты в количестве более 200 уязвимостей, а также действующий накопительный бонус VK Bounty Pass до 5% за каждый отчет.

Ваш % Bounty Pass: информация доступна в личном кабинете по адресу:
https://bugbounty.vk.company.ru

С уважением, VK 💙

VK Security | Буст этому каналу!

#bugbounty #bountypass