⚡️ VK совершенствует защиту своих сервисов вместе с платформой Standoff 365

Три месяца назад VK разместила свою программу по поиску уязвимостей на Standoff 365 Bug Bounty и уже оценила первые результаты её работы. За это время платформа помогла VK усовершенствовать защиту сервисов. Было выявлено 300 уязвимостей, из которых половину сочли существенными и исправили в короткое время.

За плодотворную работу более 50 исследователей безопасности получили вознаграждение на общую сумму три миллиона рублей. Размер выплат составил от трех тысяч до 750 тысяч рублей в зависимости от критичности выявленной уязвимости.

Количество проектов на платформе растет, и это еще раз показывает, что приоритет команды VK в создании комфортных условий для пользователей, обеспечение сохранности и конфиденциальности их данных, а Standoff 365 Bug Bounty - отличный компаньон в достижении этой цели 👍

⬇️ Больше деталей вы можете узнать здесь

Начинаем через полчаса, присоединяйтесь!

​​🔳 Код ИБ | БЕЗОПАСНАЯ СРЕДА
10 признаков хорошего пентеста

Обсудим с гостями нашего ток-шоу Код ИБ | БЕЗОПАСНАЯ СРЕДА:
- Какие бывают виды пентеста и чем он отличается от сканирования, анализа защищенности и RedTeam?
- На что обратить внимание при выборе подрядчика?
- Какие индикаторы покажут, что пентест проведен качественно?
- Какие шаги предпринять после пентеста, чтобы инфраструктура компании была надежно защищена?

👨‍💼ЭКСПЕРТЫ ЭФИРА:
- Дмитрий Борощук. BeholderIsHere Consulting
- Лука Сафонов. Директор, Киберполигон
- Евгений Родыгин. Эксперт по ИБ, Киберпротект
- Александр Дмитриев. Генеральный директор, Нейроинформ
- Дмитрий Руденко. Руководитель по развитию направления "Информационная безопасность", ИСКР-А

Подключиться: https://codeib.webinar.ru/18342227/2028803763

​​⚡ Код ИБ рекомендует

SOC-Форум 2022 -«Практика противодействия компьютерным атакам и построения центров мониторинга ИБ»

🗓 15–16 ноября 2022 года | Москва, Центр Международной торговли | Краснопресненская набережная 12, 4-й подъезд

В этом году форум соберёт тысячи специалистов, чтобы представить новейшие инструменты мониторинга киберугроз и противодействия компьютерным атакам, обменяться идеями и бесценным опытом.
Участников SOC-Форума 2022 ждёт обширная двухдневная программа из актуальных докладов, горячих дискуссий и острых дебатов.

Основной фокус обсуждений на предстоящем SOC-Форуме будет сосредоточен на адаптации подходов к кибербезопасности в изменившихся условиях. Признанные эксперты рынка расскажут об изменениях в мотивации, техниках и тактиках злоумышленников, ответных мерах российских ИБ-компаний и новых требованиях со стороны регуляторов рынка информационной безопасности. Большое внимание будет уделено возможностям совершенствования технологий и процессов, повышения эффективности современных центров кибербезопасности, в том числе и ответным мерам при резком возросшем количестве киберугроз.

Встречи с коллегами, партнёрами, заказчиками, новые контакты и знакомства, полезные пленарные заседания и горячие дискуссии — всё это уже скоро развернётся на SOC-Форуме 2022!

💥💥💥Не так давно в профильных чатах между коллегами разгорелась горячая дискуссия на тему решения суда Еврейской автономной области, который поставил DLP вне закона.
Вместе с Иваном Бирулей, руководителем департамента корпоративной безопасности ГК REDMOND, разберемся в ситуации, а так же с выводами, которые надо из нее сделать.

Старт через минуту!!! Присоединяйтесь

​​⚡ Код ИБ рекомендует

Вебинар | Нева-Автоматизация
DCAP/DAG "СПЕКТР": стратегия защиты коммерческих данных

"Нева-Автоматизация" совместно с компанией "Сайберпик" и дистрибьютором ITD GROUP расскажут, как российская DCAP/DAG “Спектр” помогает выстраивать стратегию защиты коммерческих данных.

🗓 25.10 в 11 мск

Предстоящий вебинар будет посвящен инструментам и функциональным возможностям "Спектра", используемым для выстраивания стратегии защиты коммерческих данных.

Система позволяет осуществлять полный контроль действий сотрудников с документами, расположенными на хранилищах неструктурированных данных, классифицировать расположенную информацию и выстраивать жизненный цикл данных, удаляя и перемещая неоптимально расположенные файлы.

Программа вебинара:
1. Класс DCAP/DAG - новый DLP для рынка информационной безопасности.
2. Обзор и демонстрация возможностей DCAP/DAG “Спектр”:
• аудит и анализ прав доступа,
• классификация и поиск неструктурированных данных,
• поведенческая аналитика,
• управление жизненным циклом данных,
• портал выдачи прав и разрешений.
3. Тестирование и бесшовный переход на DCAP/DAG “Спектр” за 1 месяц.
4. Workshop: важные инструменты «Спектра» для работы департаментов IT и ИБ.

Спикеры:
👤 Сергей Добрушский, директор по развитию продуктов компании "Сайберпик"
👤 Мария Фомина, менеджер по развитию бизнеса ITD GROUP

​​🎓 Мастер-класс в Код ИБ Академии
Как обеспечить эффективное взаимодействие ИБ и ИТ?

🗓 25.10 в 12 мск

На этом мастер-классе мы разберемся с методами, позволяющими сделать работу команд ИБ и ИТ эффективной. Какие из них и в какой момент можно использовать, а какие нежелательно

Ведущий:
👤 Кирилл Вотинцев
Security partner

💳 Стоимость участия в онлайн мастер-классе - 1500 руб.

Регистрируйтесь!

Для подписчиков Код ИБ АКАДЕМИИ участие включено в подписку, ссылка-приглашение придет вам на почту.
Обязательно присоединяйтесь!

​​​​Уже сегодня!

​​💬 #разговорыНЕпроИБ с Дмитрием Кузнецовым, директором по методологии и стандартизации, Positive Technologies

🗓 21 октября в 16 мск

Группа Код ИБ Вконтакте

Очень позитивно пообщались с Дмитрием Кузнецовым, директором по методологии и стандартизации, Positive Technologies.

Начали с того, что Дмитрий, вообще-то планировал стать экономистом, но в итоге пошел учиться на математика, а потом и вовсе оказался в ИБ.

Поговорили про те 15 лет, которые Дмитрий уже в компании Positive Technologies, и, что самое интересно, благодаря чему компания смогла вырасти из коллектива в 30 человек до лидера рынка с 1500 сотрудников.

Конечно, поговорили и не только про работу: и о питомце, о котором Дмитрий давно мечтал, и о воспитании детей, которых у Дмитрия пятеро, и о путешествиях и желании не только самому многие места посмотреть, но и детям показать.

В общем, включайте запись.

🔥 А мы продолжаем делиться отзывами участников о Код ИБ ПРОФИ:

"Много лет наблюдаем за событиями КОД ИБ, и наконец, решили попробовать дебютное участие в качестве вендора-партнера. Мероприятие проходило в Сочи в середине сентября 2022 года, и вот что бросилось в глаза на первой встрече: все друг друга знают и все очень тепло общаются. Новичков, таких как мы, тоже встретили тепло и приветливо. На удивление компания оказалась душевной, дружелюбной и максимально неформальной! На официальной части события КОД ИБ Профи вчерашняя душевность контрастировала и одновременно прекрасно дополнялась профессионализмом коллег, которые старались поделиться выжимкой из собственных практических наработок и опыта в области ИБ. Сохранил себе несколько презентаций, и спустя пару дней уже полез восстанавливать в памяти, так как информация в них была крайне полезной и пригодилась для дискуссии с коллегами. Во второй день был интенсив - киберучения. Но нам, как вендору, удалось совершенно бесплатно расположить свой демо-стенд с огромным экраном в холле учебного центра Сириус. Организаторы КОД ИБ старались всегда и во всём нам помочь, причем не только организационно, но и просто по-человечески поддержать, составить компанию и разнообразить рабочие моменты. Еще два дня были подготовлены организатором просто восхитительно: тур.поход в горы с невероятными видами на Роза Хутор, а также морская поездка на яхте с купанием в тёплом море. Очень приятно было, что всё это время присутствовал фотограф Женя, которая фиксировала не только рабочие моменты (для отчетностей и маркетинга), но и с удовольствием фотографировала всех участников в неформальной обстановке, по личной просьбе.
Я бы оценил интенсив на 9 из 10 баллов, потому что теперь нет шансов туда не вернуться: это как наркотик! Идеальное совмещение работы и отдыха!"

Подробнее о том как это было смотрите здесь

​​⚡ Код ИБ рекомендует

Вебинар | АЭРОДИСК
АЭРОДИСК: "железный" подход к информационной безопасности

🗓 27.10 в 15 мск

О чем поговорим:
- Сертификат ФСТЭК: он точно вам нужен?
- Защищенные СХД и виртуализация: что это и когда они нужны?
- Обсуждаем горячие темы в инфобезе по результатам голосования (ссылка), номинации ниже:
-Адаптация к изменениям в законе о персональных данных 01.09.2022;
-Анализ защищенности ИТ-инфраструктуры;
-Требования ЦБ по оценке соответствия ОУД 4;
-Защита коммерческой тайны;
-КИИ. Оценка соответствия 187-ФЗ, категорирование объектов КИИ;
-Построение комплексной системы ИБ. «Нормативка» и «железный» вопрос;
- Вопросы и ответы

Спикеры вебинара:
- Вячеслав Володкович, генеральный директор компании АЭРОДИСК.
- Александр Блезнеков, руководитель отдела сертификации и информационной безопасности АЭРОДИСК

Регистрация обязательна

​​⚡ События недели

● Код ИБ АКАДЕМИЯ
Мастер-класс Кирилла Вотинцева | Как обеспечить эффективное взаимодействие ИБ и ИТ? | 25 октября (ВТ)
● Вебинар | Сайберпик
DCAP/DAG "СПЕКТР": стратегия защиты коммерческих данных | 25 октября (ВТ)
● Безопасная среда | Как кастомизировать под себя решения для обеспечения ИБ? | 26 октября (СР)
● Код ИБ | Новосибирск
Domina Novosibirsk. Ул. Ленина 26 | 27 октября (ЧТ)
● Вебинар | АЭРОДИСК
АЭРОДИСК: "железный" подход к информационной безопасности | 27 октября (ЧТ)
● #РазговорыНЕпроИБ ВКонтакте с Хиясом Айдемировым, исполнительным директором Spacebit | 28 октября (ПТ)

💥 Не пропустите сегодняшний мастер-класс в Код ИБ АКАДЕМИИ

​​🎓 Мастер-класс в Код ИБ Академии
Как обеспечить эффективное взаимодействие ИБ и ИТ?

🗓 25.10 в 12 мск

На этом мастер-классе мы разберемся с методами, позволяющими сделать работу команд ИБ и ИТ эффективной. Какие из них и в какой момент можно использовать, а какие нежелательно

Ведущий:
👤 Кирилл Вотинцев
Security partner

💳 Стоимость участия в онлайн мастер-классе - 1500 руб.

Регистрируйтесь!

Для подписчиков Код ИБ АКАДЕМИИ участие включено в подписку, ссылка-приглашение придет вам на почту.
Обязательно присоединяйтесь!

Делимся заметками с прошедшей Безопасной среды, посвященной пентестам.

Пентест - это не имитация действий хакера. Пентестер ограничен законом и договором.
Задача пентестера - найти векторы атак.

Индикаторы хорошего пентеста:
1. Модель нарушителя
2. Цель. Не всегда это права админа домена. Может быть любая конкретная цель, понятная бизнесу
3. Бизнес должен быть вовлечен в пентест и понимать результат
4. Пентест - это копание не вширь (это, скорее, анализ защищенности), а вглубь
5. Пентест должен быть привязан к определенным срокам
6. Цель хорошего пентеста - проверить качество контролей безопасности, т.е. пентестер проверяет вектора атак на стойкость
7. Четко фиксировать границы пентеста в договоре и при необходимости досогласовывать в процессе
8. Пентест доджен быть не только для бумажки/интриги и т.д., а поводом улучшить реальную безопасность
9. Пентест - это не лечение, а рецепт
10. Хороший отчет с пентеста должен содержать:
- Оценку сложности со стороны пентестера
- Оценку бизнесом импакта
- Оценку со стороны СБ, какие вектора атак они видели и фиксировали. В формате:
👉 «Видели и среагировали бы, если бы это был реальный злоумышленник» (хорошо, зелёное)
👉 «Контроль есть, но он почему-то не сработал вовремя / SOC пропустил тикет» (желтое)
👉 «У нас не было контроля против этого вектора, или пентестер обошел контроль, мы ничего не видели» (красное)
10. Отчет должен быть беспристрастным, даже если заказчику хочется подать все немного в другом виде

Как выбрать хорошего пентестера:
1. Знать пентестеров в лицо, понимать их компетенции и доверять им
2. Правило 4Р:
- Разрешения (лицензии)
- Результаты (портфолио)
- Ресурсы (команда, финансовые ресурсы)
- Равновесие (гибкий подход)

Что делать после проведения пентеста:
Ранжировать уязвимости, указанные в отчете, по критичности и начать их методично закрывать

Запись эфира уже выложена на нашем YouTube-канале ПОЛОСАТЫЙ ИНФОБЕЗ.

​​🔳 Код ИБ | БЕЗОПАСНАЯ СРЕДА
Как кастомизировать под себя решения для обеспечения ИБ?

🗓 26 октября в 12 мск

Идеальных средств защиты, полностью учитывающих контекст и требования компании, не существует. Всегда надо что-то настраивать и "допиливать", чтобы получить желаемый результат.

Обсудим с гостями нашего ток-шоу Код ИБ | БЕЗОПАСНАЯ СРЕДА:
1. Каким путем лучше идти, и какие риски поджидают заказчика при выборе каждого из вариантов:
- На этапе пилота тщательно изучать возможности проприетарного продукта, запрашивать у вендора дорожную карту по развитию продукта, после внедрения взаимодействовать с вендором и мотивировать добавлять в продукт нужные нам "фичи"
- Изначально выбирать продукт, в котором широкие возможности по самостоятельной настройке
- Выбирать Open-sourсe решения, дающие большую свободу действий
- Идти в собственную разработку
2. Как правильно выбрать продукт (метрики, анализ, пилот), чтобы не было потом мучительно больно?
3. Что делать, если возможности выбранного продукта перестают соответствовать запросам?

👨‍💼ЭКСПЕРТЫ ЭФИРА:
- Дмитрий Борощук. BeholderIsHere Consulting
- Владимир Макаров. Главный специалист отдела аудита ИБ, T.Hunter
- Роман Душков. Пресейл менеджер, Security Vision
- Мона Архипова. Независимый эксперт по ИТ и ИБ
- Рустэм Хайретдинов. Независимый эксперт по ИБ
- Максим Степченков. Сооснователь, RuSIEM

Прочитали, что у специалистов и руководителей по ИБ в 2022 году возрос уровень стресса в связи с резко возросшим количеством киберугроз. Решили у вас спросить 👇 

​​​​⚡ Код ИБ рекомендует

Форум "Безопасность бизнеса"
Екатеринбург, ЦК Урал

🗓 10-11 ноября 2022

Погрузитесь в 2 дня обсуждения горячих трендов 2023 года в сфере безопасности XII ежегодный профессиональный.

Мероприятие проходит в ОЧНОМ формате с выставочно-демонстрационной зоной решений в сфере корпоративной безопасности.
Онлайн-формат не предусмотрен.

⚡ Код ИБ рекомендует

Вебинар | Нева-Автоматизация
CommuniGate Pro - российский сервер коммуникации. Почта, чаты, телефония, и многое другое

🗓 02.11 в 11 мск

Функциональность платформы CommuniGate Pro поддерживает все актуальные операционные системы (BaseAlt, Astra Linux, РедСофт) и включает в себя:
• электронную почту и обмен мгновенными сообщениями;
• телефонные сервисы и контакт-центр;
• управление календарями и планами;
• контроль исполнения задач;
• проведение аудиоконференций и видеовызовов;
• шифрование данных и хранение корпоративного контента.

На вебинаре вы узнаете:
• о решениях CG,
• какие задачи чаще всего закрывает СG,
• почему стоит выбрать именно СG,
• какие ресурсы необходимы для установки.

Участие бесплатное. Предварительная регистрация обязательна