Атаковали Positive Hack Days двумя докладами и тремя круглыми столами
Вот расписание гастролей нашего секьюрити бэнда на PHD12:
19 мая:
⣿ Шоу «Свой среди чужих, Чужой среди своих». CISO Антон Жаболенко ответит на вопросы CDTO.
20 мая:
⣿ «Строим свой PAM на основе Teleport». Антон Жаболенко и Павел Пархомец поделятся опытом проектирования PAM для большой и распределенной Linux-инфры.
⣿ «Три opensource-инструмента для повышения видимости сети». Коллаба от Ягодок и Райффайзенбанка: Иван Дьячков (WB) и Иван Советкин (Райффайзенбанк) продемонстрируют на практике сильные и слабые стороны opensource-инструментов для анализа трафика.
⣿ Круглый стол «Как оценить готовность компании к выходу на багбаунти?». Поговорим о том, как подготовить к запуску и эффективно провести багбаунти-программу: приоритеты, бюджет, специалисты и инфраструктура.
⣿ Круглый стол «Багбаунти! Есть ли результат?». И снова про багбаунти: как «продать» мысль о необходимости bb топ-менеджменту и как оценить влияние полученных уязвимостей на бизнес, получив максимальный профит.
#wbtech #wbsecurity #phd #phd12
Вот расписание гастролей нашего секьюрити бэнда на PHD12:
19 мая:
⣿ Шоу «Свой среди чужих, Чужой среди своих». CISO Антон Жаболенко ответит на вопросы CDTO.
20 мая:
⣿ «Строим свой PAM на основе Teleport». Антон Жаболенко и Павел Пархомец поделятся опытом проектирования PAM для большой и распределенной Linux-инфры.
⣿ «Три opensource-инструмента для повышения видимости сети». Коллаба от Ягодок и Райффайзенбанка: Иван Дьячков (WB) и Иван Советкин (Райффайзенбанк) продемонстрируют на практике сильные и слабые стороны opensource-инструментов для анализа трафика.
⣿ Круглый стол «Как оценить готовность компании к выходу на багбаунти?». Поговорим о том, как подготовить к запуску и эффективно провести багбаунти-программу: приоритеты, бюджет, специалисты и инфраструктура.
⣿ Круглый стол «Багбаунти! Есть ли результат?». И снова про багбаунти: как «продать» мысль о необходимости bb топ-менеджменту и как оценить влияние полученных уязвимостей на бизнес, получив максимальный профит.
#wbtech #wbsecurity #phd #phd12
sudo chmod -R -f 777 *Wildberries выплатил белым хакерам более 2 млн. рублей по итогам первого в России багбаунти-ивента Standoff Hacks!
На протяжении двух недель 30 топовых багхантеров c платформы Standoff 365 Bug Bounty в закрытом режиме испытывали на прочность ваш любимый маркетплейс.
Кое-что нашли, но мы уже почти все поправили, спасибо ;-)
Программа багбаунти позволяет нам находить уязвимости до того, как ими воспользуются плохие парни. А этичным хакерам – проверить свои силы и подзаработать.
Да что уж там, жизнь самого Кевина Митника могла бы сложиться по-другому.
Подробности нашей ББ-программы здесь. Репорты от сотрудников WB не принимаем ;-)
#wbsecurity #bugbounty
На протяжении двух недель 30 топовых багхантеров c платформы Standoff 365 Bug Bounty в закрытом режиме испытывали на прочность ваш любимый маркетплейс.
Кое-что нашли, но мы уже почти все поправили, спасибо ;-)
Программа багбаунти позволяет нам находить уязвимости до того, как ими воспользуются плохие парни. А этичным хакерам – проверить свои силы и подзаработать.
Да что уж там, жизнь самого Кевина Митника могла бы сложиться по-другому.
Подробности нашей ББ-программы здесь. Репорты от сотрудников WB не принимаем ;-)
#wbsecurity #bugbounty
Как мы управляем доступом в распределенной Linux-инфраструктуре и выявляем атаки
26-27 июня даем гастроли в Питере!
Будете на Saint Highload++, забегайте послушать, как мы поем:
🗣 Антон Жаболенко и Павел Пархомец расскажут на бис об управлении доступом в распределённой Linux-инфраструктуре и проектировании PAM-системы на основе опенсорс-решений.
🗣 Лиана Остапчук и Антон Жаболенко (опять он!) поделятся опытом мониторинга и выявления атак в высоконагруженной распределённой Linux-инфраструктуре.
#wbtech #wbsecurity #sainthighload
26-27 июня даем гастроли в Питере!
Будете на Saint Highload++, забегайте послушать, как мы поем:
#wbtech #wbsecurity #sainthighload
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
Passwordless для финансовых сервисов, миф или реальность?
Поговорим об этом завтра в Питере на #PAYMENTSECURITY.
Артем Гяммер расскажет о методе Passwordless (аутентификация без пароля): зачем метод нужен и как он ложится на требования безопасности стандартов платежных сервисов (PCI DSS, ГОСТ 57580).
Рассмотрим кейсы других компаний: плюсы и минусы подхода, способы уменьшения рисков. Разберем использование Passwordless на каждом этапе доступа инфраструктуры с примерами реализации и методами решения.
#wbtech #wbsecurity #paymentsecurity
Поговорим об этом завтра в Питере на #PAYMENTSECURITY.
Артем Гяммер расскажет о методе Passwordless (аутентификация без пароля): зачем метод нужен и как он ложится на требования безопасности стандартов платежных сервисов (PCI DSS, ГОСТ 57580).
Рассмотрим кейсы других компаний: плюсы и минусы подхода, способы уменьшения рисков. Разберем использование Passwordless на каждом этапе доступа инфраструктуры с примерами реализации и методами решения.
#wbtech #wbsecurity #paymentsecurity
На днях подкаст SafeCode Live собрал в прямом эфире классных гостей: наши ИБ-шники Алексей Федулаев и Лев Хакимов, Даниил Сигалов из SolidSoft обсудили спортивные состязания хакеров в формате Capture the Flag (CTF).
Поговорили про защиту и нападение, мифические и реальные уязвимости в продукте, и о том, как их находить и как от них защититься: attack-defense и task-based (jeopardy) — что это и зачем, и можно ли зарабатывать на поиске уязвимостей.
Обсудили разные виды соревнований: Standoff, Attack-Defense, Polygon, Bull’s Eye, VSFI;
Разобрали пример типового захвата флага, и какие могут быть задачи в процессе (криптография, фронтенд, бэкенд, хранилища данных, алгоритмы, реверс-инжиниринг), и как CTF помогает лучше понять пентесты и реверс-инжиниринг.
В общем, приятного просмотра.
#wbtech #wbsecurity #wbspeakers
Поговорили про защиту и нападение, мифические и реальные уязвимости в продукте, и о том, как их находить и как от них защититься: attack-defense и task-based (jeopardy) — что это и зачем, и можно ли зарабатывать на поиске уязвимостей.
Обсудили разные виды соревнований: Standoff, Attack-Defense, Polygon, Bull’s Eye, VSFI;
Разобрали пример типового захвата флага, и какие могут быть задачи в процессе (криптография, фронтенд, бэкенд, хранилища данных, алгоритмы, реверс-инжиниринг), и как CTF помогает лучше понять пентесты и реверс-инжиниринг.
В общем, приятного просмотра.
#wbtech #wbsecurity #wbspeakers
Будете на DevOooooooooops, забегайте к нам на огонек!
Круглый стол «Безопасность: консультативная vs запрещающая» с Антоном Жаболенко (Wildberries), Дмитрием Евдокимовым (Luntry) и Александром Каледой (Яндекс).
Сравним консультативный и запрещающий подходы, выявим плюсы и минусы каждого, рассмотрим риски и сложности, которые ждут на каждом из путей.
Ведущий: Алексей Федулаев (Wildberries).
#wbtech #wbsecurity #devoops #wbspeakers
Круглый стол «Безопасность: консультативная vs запрещающая» с Антоном Жаболенко (Wildberries), Дмитрием Евдокимовым (Luntry) и Александром Каледой (Яндекс).
Сравним консультативный и запрещающий подходы, выявим плюсы и минусы каждого, рассмотрим риски и сложности, которые ждут на каждом из путей.
Ведущий: Алексей Федулаев (Wildberries).
#wbtech #wbsecurity #devoops #wbspeakers
Собираем карьеру: Security Operation Centre
Портал Global Digital Space взял интервью у Ивана Дьячкова, руководителя центра информационной безопасности Wildberries.
Получился теплый ламповый подкаст о том, как эникею пересечь третью линию: как выбрать специализацию ИБ по душе, какими знаниями нужно обладать и сколько времени потребуется на то, чтобы стать руководителем в сфере информационной безопасности.
Ведущий: Лев Палей (Вебмониторэкс).
#wbtech #wbsecurity #wbspeakers
PS. Если хотите к Ване в команду, то вот они, вакансии:
— SOC Analysts Tech Lead
— SOC Engineer
Портал Global Digital Space взял интервью у Ивана Дьячкова, руководителя центра информационной безопасности Wildberries.
Получился теплый ламповый подкаст о том, как эникею пересечь третью линию: как выбрать специализацию ИБ по душе, какими знаниями нужно обладать и сколько времени потребуется на то, чтобы стать руководителем в сфере информационной безопасности.
Ведущий: Лев Палей (Вебмониторэкс).
#wbtech #wbsecurity #wbspeakers
PS. Если хотите к Ване в команду, то вот они, вакансии:
— SOC Analysts Tech Lead
— SOC Engineer
пВЭЕУФЧП вЕМЩИ ыМСР РТЙЗМБЫБЕФ ЧУФХРЙФШ Ч УЧПЙ ТСДЩ МАДЕК Ч ВЕМЩИ РМБЭБИ!
¶ Team Lead Red Team
¶ Information Security Tech Lead (корпоративная инфраструктура)
¶ Information Security Tech Lead (Kubernetes & Cloud)
¶ Ведущий аналитик по информационной безопасности (Compliance)
¶ Руководитель службы информационной безопасности WB Банка (Compliance)
¶ SOC Analysts Tech Lead
¶ SOC Engineer
¶ SRE Engineer
¶ DevSecOps Engineer
#wbtech #wbsecurity #vacancy
¶ Team Lead Red Team
¶ Information Security Tech Lead (корпоративная инфраструктура)
¶ Information Security Tech Lead (Kubernetes & Cloud)
¶ Ведущий аналитик по информационной безопасности (Compliance)
¶ Руководитель службы информационной безопасности WB Банка (Compliance)
¶ SOC Analysts Tech Lead
¶ SOC Engineer
¶ SRE Engineer
¶ DevSecOps Engineer
#wbtech #wbsecurity #vacancy
😎 Платим за обнаружение уязвимостей Wildberries. Жаль, что Кевин Митник не дожил
Такое уже было на двух Standoff Hacks, где мы выплатили больше 4 млн ₽ за поиск уязвимостей в закрытых программах.
А с 1 декабря запустили собственную багбаунти-программу на Standoff 365. Искать уязвимости можно на всех наших ресурсах: *.wildberries.ru, *.wb.ru, *.paywb.com, *.paywb.ru, *.wb-bank.ru.
Самое большое вознаграждения за баги, найденные в основном скоупе — до 250 000 ₽. В него входят веб-версия и приложения маркетплейса и портала продавцов, сервис «Всем работа» и платежный шлюз (только веб), Balance Pay (только мобилки).
Остальные ресурсы включены в дополнительный скоуп и там максимальное вознаграждение в два раза меньше.
😲 Отдельный сценарий — взлом личного кабинета тестового продавца. Если тебе это удастся, получишь 500 000 ₽.
Больше информации — в программе по ссылке. Читай, изучай, ломай (верим в тебя!).
#wbsecurity #bugbounty
Такое уже было на двух Standoff Hacks, где мы выплатили больше 4 млн ₽ за поиск уязвимостей в закрытых программах.
А с 1 декабря запустили собственную багбаунти-программу на Standoff 365. Искать уязвимости можно на всех наших ресурсах: *.wildberries.ru, *.wb.ru, *.paywb.com, *.paywb.ru, *.wb-bank.ru.
Самое большое вознаграждения за баги, найденные в основном скоупе — до 250 000 ₽. В него входят веб-версия и приложения маркетплейса и портала продавцов, сервис «Всем работа» и платежный шлюз (только веб), Balance Pay (только мобилки).
Остальные ресурсы включены в дополнительный скоуп и там максимальное вознаграждение в два раза меньше.
😲 Отдельный сценарий — взлом личного кабинета тестового продавца. Если тебе это удастся, получишь 500 000 ₽.
Больше информации — в программе по ссылке. Читай, изучай, ломай (верим в тебя!).
#wbsecurity #bugbounty
Как собрать контейнер и не облажаться вооружить хакера.
Атаки с использованием легитимных утилит (LotL-атаки) порой крайне сложно обнаружить. Злоумышленники заставляют совершать вредоносные действия даже такие популярные программы как 7z. В столкновении с ними многие стандартные инструменты детектирования становятся бессильны.
В своём докладе на последнем HighLoad++ директор по безопасности Wildberries Антон Жаболенко и тимлид команды DevSecOps Алексей Федулаев рассказывают, какими бывают LotL-атаки на примере контейнерных инфраструктур и как от них защититься.
#wbtech #wbsecurity #wbspeakers #highload
Атаки с использованием легитимных утилит (LotL-атаки) порой крайне сложно обнаружить. Злоумышленники заставляют совершать вредоносные действия даже такие популярные программы как 7z. В столкновении с ними многие стандартные инструменты детектирования становятся бессильны.
В своём докладе на последнем HighLoad++ директор по безопасности Wildberries Антон Жаболенко и тимлид команды DevSecOps Алексей Федулаев рассказывают, какими бывают LotL-атаки на примере контейнерных инфраструктур и как от них защититься.
#wbtech #wbsecurity #wbspeakers #highload
Open Source AppSec Review: как сделать приемку, внедрение и харденинг опенсорс-решения
Оперсорс стал неотъемлемой частью нашей жизни, двигая прогресс вперед и являясь порой безальтернативным вариантом. В любом продакшене есть опенсорс: от простой либы до Кубера с Постгресом.
Само собой, плохим парням здесь есть, где развернуться: начиная от атак на оперсорс-пакеты и заканчивая вредоносными коммитами в популярный софт под видом issues.
В своём докладе на последнем HighLoad++ тимлиды команд DevSecOps и автоматизации сервисов ИБ Алексей Федулаев и Лев Хакимов делятся чек-листом, который можно распечатать и повесить себе на стену, чтобы сверяться при внедрении нового опенсорс-продукта: обезопасились ли вы от того, что находится внутри.
#wbtech #wbsecurity #wbspeakers #highload #opensource
Оперсорс стал неотъемлемой частью нашей жизни, двигая прогресс вперед и являясь порой безальтернативным вариантом. В любом продакшене есть опенсорс: от простой либы до Кубера с Постгресом.
Само собой, плохим парням здесь есть, где развернуться: начиная от атак на оперсорс-пакеты и заканчивая вредоносными коммитами в популярный софт под видом issues.
В своём докладе на последнем HighLoad++ тимлиды команд DevSecOps и автоматизации сервисов ИБ Алексей Федулаев и Лев Хакимов делятся чек-листом, который можно распечатать и повесить себе на стену, чтобы сверяться при внедрении нового опенсорс-продукта: обезопасились ли вы от того, что находится внутри.
#wbtech #wbsecurity #wbspeakers #highload #opensource
«Не делайте так!» — ИБ-специалисты Wildberries о взломах личных кабинетов и грязной конкуренции среди продавцов
Какие чувствительные данные пользователей хранит маркетплейс, и возможна ли их утечка, fingerprint и сессионный антифрод, сколько ИБ-шников работают в Wildberries, и как защититься от них самих, Privileged Access Management (PAM) и Security Operation Center (SOC), passwordless и аппаратные токены, багбаунти и популярные типы атак, продавцы и фишинг, шифровальщик на основе 7zip и как поднять привелегии через утилиту less.
Обо всем этом и не только — Алексей Федулаев и Антон Жаболенко в теплом ламповом подкасте (там действительно есть лампа!) у Котелова.
Аудиодорожка на mave.
PS. На острые вопросы про падение WB и списания с карт тоже ответили ;-)
#wbtech #wbsecurity #wbspeakers #wbpodcast
Какие чувствительные данные пользователей хранит маркетплейс, и возможна ли их утечка, fingerprint и сессионный антифрод, сколько ИБ-шников работают в Wildberries, и как защититься от них самих, Privileged Access Management (PAM) и Security Operation Center (SOC), passwordless и аппаратные токены, багбаунти и популярные типы атак, продавцы и фишинг, шифровальщик на основе 7zip и как поднять привелегии через утилиту less.
Обо всем этом и не только — Алексей Федулаев и Антон Жаболенко в теплом ламповом подкасте (там действительно есть лампа!) у Котелова.
Аудиодорожка на mave.
PS. На острые вопросы про падение WB и списания с карт тоже ответили ;-)
#wbtech #wbsecurity #wbspeakers #wbpodcast
Как собрать контейнер и не вооружить хакера
Существует такой класс атак, как Living off the Land (LotL) атаки. Это атаки, при которых злоумышленник использует разнообразные легитимные программы, чтобы выполнять различные вредоносные действия в целевой системе.
Несмотря на то, что LotL-атаки исторически всегда ассоциировались именно с атаками на Windows-инфраструктуру, в последнее время растет число атак и на ОС семейства Linux (использование vim, curl, netcat, 7z, docker во вредоносных целях — уже не экзотика).
Большая хабростатья от Алексея Федулаева и Антона Жаболенко о том, какими бывают LotL-атаки и как от них защититься.
#wbtech #wbsecurity #wbsecurity_habr
Существует такой класс атак, как Living off the Land (LotL) атаки. Это атаки, при которых злоумышленник использует разнообразные легитимные программы, чтобы выполнять различные вредоносные действия в целевой системе.
Несмотря на то, что LotL-атаки исторически всегда ассоциировались именно с атаками на Windows-инфраструктуру, в последнее время растет число атак и на ОС семейства Linux (использование vim, curl, netcat, 7z, docker во вредоносных целях — уже не экзотика).
Большая хабростатья от Алексея Федулаева и Антона Жаболенко о том, какими бывают LotL-атаки и как от них защититься.
#wbtech #wbsecurity #wbsecurity_habr
Аналитик SOC: про скилы, карьерный рост и… медведей
Аналитик SOC (Security Operation Center) — это специалист по ИБ, который ловит хакера «за руку» и выпроваживает из инфраструктуры. Чтобы поимка состоялась, ему необходимо серьезно подготовиться: детально изучить «поле действий» и продумать механизмы реагирования.
Иван Дьячков прошел длинный путь от эникейщика в небольшом ритейле до руководителя центра мониторинга ИБ в Wildberries и делится секретами освоения профессии: какими знаниями нужно обладать на разных линиях SOC, с чего начать, как преуспеть, куда расти дальше.
Казалось бы, при чем тут медведи?
Подробности в статье на Хабре.
#wbtech #wbsecurity #wbsecurity_habr
Аналитик SOC (Security Operation Center) — это специалист по ИБ, который ловит хакера «за руку» и выпроваживает из инфраструктуры. Чтобы поимка состоялась, ему необходимо серьезно подготовиться: детально изучить «поле действий» и продумать механизмы реагирования.
Иван Дьячков прошел длинный путь от эникейщика в небольшом ритейле до руководителя центра мониторинга ИБ в Wildberries и делится секретами освоения профессии: какими знаниями нужно обладать на разных линиях SOC, с чего начать, как преуспеть, куда расти дальше.
Казалось бы, при чем тут медведи?
Подробности в статье на Хабре.
#wbtech #wbsecurity #wbsecurity_habr
Строим свой PAM на основе Teleport
PAM — это Privileged Access Management система. Например, для обеспечения доступа к виртуальным машинам, серверам, кластерам Kubernetes и другим корпоративным ресурсам. Существует большое количество проприетарных PAM‑решений, однако большинство из них заточено под классическую Windows-инфраструктуру и не учитывают некоторые возможности Linux.
Большая статья на Хабре от Антона Жаболенко и Павла Пархомца о критериях идеального PAM и результатах внедрения PAM на основе Teleport в Wildberries.
#wbtech #wbsecurity #wbsecurity_habr
PAM — это Privileged Access Management система. Например, для обеспечения доступа к виртуальным машинам, серверам, кластерам Kubernetes и другим корпоративным ресурсам. Существует большое количество проприетарных PAM‑решений, однако большинство из них заточено под классическую Windows-инфраструктуру и не учитывают некоторые возможности Linux.
Большая статья на Хабре от Антона Жаболенко и Павла Пархомца о критериях идеального PAM и результатах внедрения PAM на основе Teleport в Wildberries.
#wbtech #wbsecurity #wbsecurity_habr
Увеличиваем выплаты по программе Bug Bounty
Привет, багхантеры!
У нас масштабные обновления — мы релизнули нашу новую политику. Что вас ждет?
Повышенные выплаты
🔵 Теперь за Critical уязвимости можно получить в 2 раза больше — до 500 000 ₽, а за High уязвимости аж в 3 раза — до 200 000 ₽
🔵 Легендарные баги за косарь остаются в прошлом — минимальная выплата увеличена в пять раз
Новые правила
🔵 Мы разделили наши сервисы на 3 тира — и теперь вам доступен новый тир с повышенными выплатами
🔵 У нас увеличился скоуп доменов второго уровня — встречайте *.wbwh.ru, *.wbwh.tech, *.wbheld.ru
🔵 В программе появилось несколько новых исключений
Подробнее — в нашей политике.
PS. А ещё мы запустили официальный канал для багхантеров — там все подробности, подписывайтесь, чтобы не пропустить следующие обновления.
#wbtech #wbsecurity #bugbounty
Привет, багхантеры!
У нас масштабные обновления — мы релизнули нашу новую политику. Что вас ждет?
Повышенные выплаты
Новые правила
Подробнее — в нашей политике.
PS. А ещё мы запустили официальный канал для багхантеров — там все подробности, подписывайтесь, чтобы не пропустить следующие обновления.
#wbtech #wbsecurity #bugbounty
Please open Telegram to view this post
VIEW IN TELEGRAM