Ценим вклад внешних исследователей в безопасность наших сервисов с 2020 года!🔥

С того времени, как мы пришли в Bug Bounty, многое поменялось, например, сильно масштабировался наш скоуп. Какие правила у нас сформировались, как работаем с репортами и почему программа порой эффективнее пентестов, коллеги рассказали в интервью платформе Standoff.

Смотрите ролик и заходите помогать нам фиксить баги: за последние 90 дней мы наградили исследователей уже на 4 000 000+ ₽.

#ozontech_security #cybersec

Наводим порядок и превращаем контент SOC для поиска нелегитимной активности в код.

Привет, это Кермен Элеева, аналитик по информационной безопасности. Я пришла рассказать, как мы упорядочили уникальный контент нашего SOC (Security Operations Center).

Если вкратце — взяли пример с разработчиков:
– сделали новый формат хранения,
– добавили больше метаинформации,
– настроили CI/CD.

Так у наших объектов появился жизненный цикл по всем канонам разработки: создание, тестирование, перенос в продакшн, пересмотр и отключение.

Чтобы всем этим управлять, мы написали фреймворк catzone (aka котозон) 😎
Подробнее о нём читайте в моей статье.

#ozontech_habr #CyberSec

Приватное событие для топовых багхантеров Ozon стартует 28 ноября.

🛒 Скоуп, который ещё никто не видел.
🎁 Вознаграждение +20–50%.
💙 И только 25 участников.

20 лучших уже получили приглашения в закрытый чат. Ещё пять участников определяются прямо сейчас — до 28 ноября в нашем публичном скоупе на Standoff Bug Bounty.

Присоединяйся к гонке, найди как можно больше уязвимостей и попади в топ-25 багхантеров Ozon.

#bugbounty #cybersec

Когда багхантеры находят уязвимость — это хорошо или плохо?

Ozon регулярно размещает скоупы на платформе Standoff 365 — программа BugBounty позволяет исследовать наши сервисы на уязвимости 24/7, а не под конкретные запросы.

Тимофей Черных, руководитель продуктовой безопасности Ozon, Александр Хамитов, руководитель продуктовой безопасности Wildberries, а также Анатолий Иванов со стороны Standoff Bug Bounty, обсудили, зачем компаниям выходить на багбаунти. Вопросы им задает Алексей Лукацкий, бизнес-консультант по ИБ Positive Technologies.

📱 VK Видео
📱 YouTube
📹 RuTube

Рекомендуем послушать всем, кто хоть немного интересуется информационной безопасностью. Вы узнаете:
❓ в чём отличие пентестеров от багхантеров, с кем выгоднее и эффективнее сотрудничать;
❓ по какой системе мы рассчитываем выплаты за уязвимости;
❓ как мы привлекаем хантеров сейчас, когда все «лёгкие фрукты» давно собраны;
❓ как наши собственные решения в разработке усиливают безопасность.

Смотрите до конца — там спикеры делятся советами для тех, кто только открывает для себя багхантинг ⭐️

#ozontech_experts #cybersec #bugbounty

Как сберечь чувствительные данные от самих себя и предотвратить последствия внутренних утечек?

Привет, это Светлана Анохина, младший бизнес-партнёр по информационной безопасности. Моя практика работы с критичными сервисами показывает, что внешней защиты, даже если она идеально настроена, бывает недостаточно. Ведь данные могут использоваться внутри компании: их анализируют, передают разработчикам, копируют для тестирования. И именно здесь, внутри, утечка может произойти в самый неожиданный момент.

❗️ Один из способов защиты — маскирование. Он отлично работает в сочетании с другими механизмами безопасности. Но только если его правильно настроить и учитывать особенности реализации в каждом конкретном случае.

Подробнее об этом, об алгоритмах маскировки, статическом и динамическом методах, реализации в разных СУБД читайте в моей статье.

P. S. Все трюки выполнены профессионалами, но вы можете повторить их дома.

#ozontech_habr #cybersec

ИБ — это состояние души защищённости компании. А ещё это, например, стандарты безопасности при оформлении новых сотрудников.

Привет, я Роза Абдуллаева, старший инженер по информационной безопасности.

🗓 Мы с коллегами выделяем ряд требований при трудоустройстве. Это:
→ активация учётной записи только в день приёма на работу;
→ ограничение и мониторинг доступов к корпоративным ресурсам до подписания всех юридических соглашений;
→ настройка политик безопасности на корпоративной технике.

Чтобы расширить возможности автоматизации и уменьшить ручное взаимодействие между участниками и системами в первые дни работы, мы разработали новую схему онбординга. Делюсь ею в своей статье и буду рада вашим комментариям.

#ozontech_habr #cybersec

Ozon Tech Community CyberSec Meetup

29 июля | 18:30 мск сбор гостей, 19:00 мск начало трансляции

📍Москва, Центральный университет и онлайн

Приходите посмотреть на ИБ в бигтехе с новой стороны и пообщаться с теми, кто делает Ozon неуязвимым.

Главные темы митапа:
⚫аудит информационной безопасности — подходы, польза и утки;
⚫взгляд ИБ на тестирование LLM;
⚫внедрение DAST в Ozon — от опенсорса до самописного решения;
⚫метрики работы первой линии SOC и задачи координатора инцидентов.

А ещё расскажем, как обучаем наших инженеров безопасной разработке.

Полную программу смотрите на этой странице и регистрируйтесь на офлайн и онлайн там же.

#ozontech_meetup #ИБ #CyberSec

Эксплуатируем связку Fleet и osquery в масштабе e-com / highload. И периодически успешно ддосим сами себя.

Привет, это Денис Кузаков, старший ИБ-инженер Ozon Tech. С помощью Fleet & osquery мы давно и эффективно работаем с событиями, управляем уязвимостями, диагностируем устройства и расследуем инциденты.

За время эксплуатации мы встретились с проблемами, которые даже приводили к инцидентам:
🔥 линейное увеличение трафика — сначала за 7 часов до 4 Гбит/с при норме 150 Мбит/с. В другой раз за 5 минут до 12 Гбит/с при норме 200 Мбит/с;
🔥 линейное увеличение размеров локальной базы данных событий osquery до 1 Гб на группе инстансов;
🔥 линейное увеличение размеров логов rsyslog до 10 Гб за сутки.

Ни одна система не пострадала (кроме нервной).
За подробностями и превентивными мерами заходите в статью.

#ozontech_habr #cybersec #ИБ