Технологии

Инцидентов у VK стало меньше, а работы SOC — вчетверо больше

Маша Даровская
By Маша Даровская , IT-редактор и автор
Инцидентов у VK стало меньше, а работы SOC — вчетверо больше
Обложка © Anonhaven

Команда информационной безопасности VK предотвратила в 2025 году более 150 инцидентов — примерно на 70% меньше результата предыдущего года, когда компания сообщала более чем о 500 случаях. Одновременно операционный центр безопасности увеличил объём обрабатываемой телеметрии до 4,5 млн событий в секунду и обработал на 300% больше инцидентов, чем годом ранее.

На первый взгляд показатели противоречат друг другу: угроз зафиксировано меньше, а нагрузка на защиту выросла в четыре раза. Причина кроется в разных стадиях обработки. Поток событий включает миллионы записей от приложений, серверов, сетевого оборудования и средств защиты. Инцидентом становится ситуация, которая уже оказывает или может оказать негативное воздействие на систему.

VK связывает снижение итогового показателя с более ранним обнаружением атак. Из 150 предотвращённых инцидентов 100 удалось выявить до активной фазы. В 2024 году проактивный мониторинг помог обнаружить на раннем этапе 52 инцидента из более чем 500.

Получается, абсолютное число ранних обнаружений почти удвоилось, а их доля выросла примерно с одной десятой до двух третей. Многие подозрительные действия теперь пресекаются до того, как компания классифицирует их как полноценный инцидент с развившейся цепочкой атаки.

Компания утверждает, что новые средства обнаружения начали раньше замечать подготовку атаки: разведку инфраструктуры, попытки получить первоначальный доступ, публикацию украденных учётных данных и другие признаки.

Часть таких случаев может завершиться блокировкой адреса, отбором скомпрометированного токена или закрытием уязвимости ещё до появления ущерба. В итоговую статистику предотвращённых инцидентов они попадают иначе либо остаются на уровне событий и предупреждений. Публичные материалы не раскрывают подробную методику подсчёта. Неизвестны распределение 150 инцидентов по степени опасности, число подтверждённых проникновений, доля ложных срабатываний и правила, по которым ранняя активность отделяется от полноценного инцидента. 

Сокращение также нельзя переносить на весь российский рынок. Positive Technologies оценивала возможный рост числа успешных атак в России по итогам 2025 года на 20–45%. Количество сложных целевых атак на корпоративные сети в первом полугодии увеличилось на 27% год к году.

В 2024 году поток, поступавший в операционный центр безопасности VK, достигал 1,3 млн событий в секунду. К концу 2025 года он превысил 4,5 млн. Рост составил примерно 3,5 раза.

Событием может быть вход пользователя, обращение приложения к базе данных, сетевое соединение, изменение прав, запуск процесса или срабатывание отдельного средства защиты. Большая часть таких записей не связана с атакой. Их нужно объединять, очищать от повторов и сопоставлять с другими источниками.

Главным инструментом стала VK SIEM — система управления событиями и информацией безопасности. Компания запустила её в феврале 2025 года. Первоначально платформа анализировала более 1,5 млн событий в секунду от приложений, инфраструктуры и сетевых устройств. К третьему кварталу средний поток вырос до 2,5 млн событий в секунду.

SIEM собирает журналы разных систем в одном месте и ищет между ними связь. Отдельный вход с нового адреса может выглядеть безобидно. Одновременное повышение привилегий, выгрузка большого объёма данных и отключение защитного агента уже образуют подозрительную последовательность.

Собственное решение позволяет VK менять правила анализа под внутреннюю архитектуру и быстро подключать новые сервисы. Компания также уменьшает зависимость от сторонних поставщиков, ограничения которых могут мешать обработке телеметрии такого масштаба.

Второй ключевой компонент — VK Security Gate. Платформа автоматически анализирует программный код и подключена более чем к 40 тыс. репозиториев, содержащих свыше миллиарда строк. К концу года она выполняла более 10 тыс. проверок в сутки.

Проверка проводится на разных этапах разработки. Система ищет ошибки в исходном коде, уязвимые библиотеки, случайно опубликованные секреты и небезопасные настройки. Результаты передаются разработчикам и специалистам по защите до выхода новой версии продукта.

Такой подход уменьшает число проблем, которые приходится устранять уже после размещения приложения в рабочей инфраструктуре. Закрыть уязвимость в запросе на включение кода обычно проще, чем расследовать её эксплуатацию на серверах с пользовательскими данными.

В июне 2025 года VK Tech объявила о выводе собственной линейки средств защиты на рынок. В неё вошли SIEM, Security Gate и другие решения, которые до коммерческого запуска проверялись внутри экосистемы компании.

Для административного доступа VK применяет платформу VKey. На конец 2025 года ей пользовались более 6,5 тыс. сотрудников. Система должна пропускать к внутренним ресурсам только подтверждённых специалистов с доверенных устройств.

Доступ можно связать с биометрической проверкой внутри корпоративного приложения, состоянием устройства и правами конкретного сотрудника. Украденного пароля при такой схеме недостаточно: злоумышленнику потребуется пройти дополнительные проверки и использовать зарегистрированный компьютер.

VK считает, что внедрение VKey сократило количество возможных направлений атаки. Особенно это важно для разработчиков и администраторов, которые работают с исходным кодом, облачной инфраструктурой и системами развёртывания.

Подобные учётные записи часто становятся приоритетной целью. Один скомпрометированный доступ разработчика способен привести к краже токенов, изменению программного кода или атаке на цепочку поставок.

Внешние исследователи отправили VK за год более 1,8 тыс. сообщений об уязвимостях. Общая сумма вознаграждений достигла 65,1 млн рублей против 63 млн рублей в 2024 году. Максимальная единовременная выплата выросла с 3,9 млн до 10 млн рублей. Число сервисов в публичной программе сократилось с 30 до 26. VK объясняет изменение пересмотром периметра консолидированных активов. 

Компания впервые провела собственную закрытую Bug Bounty. К тестированию «Учи.ру» и VK Process Mining допустили 31 исследователя, которым выплатили 3,6 млн рублей.

Закрытый формат применяется для продуктов, которые ещё нельзя открыть всем желающим либо которые работают с чувствительной корпоративной инфраструктурой. Компания заранее выбирает исследователей, определяет границы проверки и выдаёт им ограниченный доступ.

Отдельное направление связано с платформой MAX. В 2025 году её центр безопасности заблокировал более 700 тыс. подозрительных аккаунтов и удалил свыше миллиона вредоносных файлов. Совместные мероприятия с правоохранительными органами привели к задержанию более 40 предполагаемых участников мошеннических схем. Эти показатели не входят напрямую в 150 инфраструктурных инцидентов VK.

Код MAX подключён к Security Gate, а административный доступ защищается VKey. Мессенджер также вошёл в публичную Bug Bounty с максимальной выплатой 5 млн рублей за критическую уязвимость.

Есть новость? Станьте автором.

Мы сотрудничаем с независимыми исследователями и специалистами по кибербезопасности. Отправьте нам новость или предложите статью на рассмотрение редакции.