erid: 2SDnjcLaQRX erid: 2SDnjcLaQRX

Премия «Киберпросвет» Cyber Media: лауреаты 2024 года

В большинстве номинаций конкуренция с каждым годом растет – мы получаем очень много интересных заявок, среди которых очень трудно выбрать наиболее выдающегося участника.

Много замечательных проектов в этом году остались без награды, но мы обязательно будем отслеживать их деятельность, а отдельные инфоповоды наверняка попадут в нашу ленту новостей.

В 21 номинации мы выбрали 26 победителей. Давайте вместе подведем итоги этого захватывающего события и познакомимся с лауреатами, чья работа вносит весомый вклад в создание более безопасного цифрового мира.

Лука Сафонов, группа компаний Гарда

Номинация «Искать и не сдаваться, найти и отрепортить» – за популяризацию багхантинга

Лука Сафонов занимался продвижением багхантинга и этичного хакинга еще до того, как это «стало мейнстримом». Это один из опытнейших исследователей информационной безопасности в РФ.

Занимался популяризацией и принимал участие в рейтинге bdu.fstec.ru. В прошлом багхантер, участник залов славы и реципиент благодарностей: Яндекс, Майл. ру, БДУ ФСТЭК, ДИТ Правительства Москвы, Хабр, Битрикс, Телеграм (Telegraph), Apple, Apache, Google, Facebook, Sectigo (Comodo), IBM и многих других.

Основатель обучающей платформы «Киберполигон» и багбаунти-платформы Bug Bounty Ru.

Автор более 300 профессиональных публикаций по информационной безопасности. В 2023 году снялся в качестве эксперта в веб-сериале в жанре Docufiction о кибербезопасности в России. Эксперт изданий и радиостанций Коммерсант, Бизнес ФМ, Ведомости, Москва 24 и др.

Резюме: Сейчас о багбаунти говорят на уровне крупнейших компаний и министерств – и это стало возможным, в том числе, благодаря деятельности Луки Сафонова.

АРСИБ

Номинация «Не надо представляться, я вас уже загуглил» – за популяризацию киберразведки и OSINT-исследований

Растить киберразведчиков можно уже со школьной скамьи. Ассоциация руководителей служб информационной безопасности (АРСИБ) проводит ежегодные  квиз-турниры для школьников и студентов с использованием инструментов OSINT – «Квиз-турнир Мир Крипто».

Турнир не только помогает участникам совершенствовать поисковые навыки, но еще и привлекает к процессу новую аудиторию, например, друзьям и родителям участников, которые могли бы не узнать о существовании OSINT.

Популяризация OSINT среди молодежи крайне важна: большинство из них не станут OSINT-исследователями или киберразведчиками, но с малых лет будут знать, какую информацию о них знает интернет и как правильно распоряжаться этой информацией, чтобы не угодить в лапы злоумышленников.

Резюме: Интеллектуальные викторины — классный формат, который привлекает молодых людей и через них позволяет узнать о киберразведке старшему поколению – близким и родственникам.

Ксения Шудрова, «Защита персональных данных и не только – книга рецептов»

Номинация «А у вас БД убежала!»  – за разъяснительную работу в области ПДн, утечек данных

Резкий рост утечек баз данных в 2024 году — явный признак того, что проблема безопасности данных актуальна как никогда и требует внимания. Ксения Шудрова в своем блоге «Защита персональных данных и не только – книга рецептов» освещает тему защиты персональных данных с разных сторон: размещает авторские материалы, свежие новости, отвечает на вопросы, публикует вакансии.

Ксения Шудрова в своем блоге и соцсетях рассказывает о разных аспектах персональных данных: от личной информационной безопасности, до бизнес-аспектов обеспечения ПДн.

Ее блог – дискуссионная площадка, которая помогает разбираться со сложными вопросами специалистам по всей стране.

Резюме: Рекомендуем читать блог Ксении Шудровой всем, кто не хочет стать новым фигурантом новостей об утечке данных.

ARinteg

Номинация «Часть команды, часть корабля» – за активное освещение деятельности компании

ARinteg — один из крупнейших игроков на российском рынке информационной безопасности. Компания оказывает услуги в области защиты информационных ресурсов и IT-услуги.

И не стесняется рассказывать о результатах своей деятельности в медиапространстве. В I квартале 2024 года в СМИ с упоминанием ARinteg вышло более ста публикаций общим охватом около 2,2 миллиона и с индексом заметности 36,5 тысяч.

Резюме: Если вы читаете СМИ, то точно слышали об ARinteg.

Ростелеком

Номинация «Это знать надо, это классика» – за просветительскую работу в области цифровой грамотности

Компания «Ростелеком» активно популяризирует вопросы кибербезопасности и цифровой грамотности в России. Особенное внимание уделяет созданию безопасного интернет-пространства для детей. В 2021 года Ростелеком стал одним из основателей Альянса по защите детей в цифровой среде и является одним из инициаторов Хартии «Цифровая этика детства».

Ростелеком ведет активную просветительскую деятельность среди студентов, учителей и родителей: регулярно проводит уроки, лекции и делится полезными материалами о цифровой грамотности.

Резюме: Создать безопасное интернет-пространство для школьников — ответственность взрослых.

Андрей Матвеенко, МТС RED

Номинация «Все великое начинается с малого» – начинающему ИБ-блогеру

Андрей Матвеенко ведет телегам-канал Blue (h/c)at Café, где рассказывает об особенностях работы Blue Team. О том, как синяя команда видит атакующих, как с их стороны выглядят redteam-проекты.

Дает ссылки на полезные статьи, курсы и ресурсы, практические советы начинающим ИБ-специалистам, делится своими интересными находками и смешными мемами о буднях безопасника. В канале также можно встретить котиков. Помимо этого, Андрей публикует экспертные статьи на Хабре.

Резюме: Экспертность в ИБ, юмор и котики — вот рецепт популярности блога на сложную тему.

Дмитрий Федоров, Positive Technologies

Номинация «Все великое начинается с малого» – начинающему ИБ-блогеру

Амбассадор результативного кибербез образования — так называет себя Дмитрий Федоров, и мы с ним согласны. Дмитрий ведет телеграм-канал «Кибербез образование», в котором рассказывает, как сократить разрыв между выпускниками и рынком труда.

Пишет подробные посты о том, как развиваться начинающему специалисту, какие навыки нужны в ИБ и где их приобретать.

Резюме: Блог Дмитрия Федорова будет полезен студентам, преподавателям и всем, кому интересно обучение кибербспециалистов.

GigaHackers, УЦСБ

Номинация «Силу чувствую в тебе я, юный ПК-пользователь» – за ИБ-просвещение среди школьников и студентов

GigaHackers — команда молодых пентестеров, которые ведут одноименный образовательный канал в Telegram и активно продвигают тему информационной безопасности и цифровой грамотности.

Регулярно выступают на различных мероприятиях с темами о том, как стать пентестером (для студентов и школьников), рассказывают о специфике профессии и как в нее войти, участвовали в подкасте Ural Cyber Security Talk. А также выступают с техническими докладами на ИБ-мероприятиях..

Резюме: Советуем послушать ребят тем, кто хочет работать в ИТ и ИБ, но еще не определился со специальностью.

Айдар Гузаиров, Innostage

Номинация «Добро должно быть с эксплойтами» – за продвижение этичного хакинга

Айдар Гузаиров регулярно поднимает в медиапространстве тему развития этичного хакинга в России и правового регулирования деятельности «белых» хакеров. Статьи Айдар Гузаирова можно почитать в Cybermedia. Чтобы доносить информацию не только ИБ-специалистам, но и самой широкой публике Айдар регулярно выступает в качестве эксперта в статья ведущих СМИ: его комментарии и интервью можно встретить в Forbes, РБК, CNews, Газета.Ру, КоммерсантЪ.

Просветительская работа в бизнес-среде довольно важна для хакерского сообщества – больше компаний начинают работать над своей защищенностью, покупать пентесты и другие услуги направления Offensive, запускать программы багбаунта.

По инициативе Айдара в 2023 году была организована Всероссийская студенческая битва с участием команд атакующих, сформированных из действующих студентов российских вузов. В рамках PHDays при поддержке Innostage и участии Айдара были организованы мероприятия по популяризации этичного хантинга: дискуссии, Всероссийская студенческая битва и др.

Резюме: Айдар Гузаиров активно рассказывает бизнесу о том, зачем платить белым хакерам, как они влияют на работу компании, почему это важно и нужно.

 Андрей Жуков, УЦСБ

Номинация «Добро должно быть с эксплойтами» – за продвижение этичного хакинга

Андрей Жуков (s0i37) — ведущий специалист по анализу защищенности УЦСБ,  пентестер с восьмилетним стажем. Обладатель сертификатов OSCP, OSCE, OSWE. Автор статей в журналах «Хакер» и «PentestMagazine», постоянный автор комментариев в статьях на securitymedia.org, спикер на международных конференциях Positive Hack Days и ZeroNights.

Участвует в создании роликов на тему физического пентеста. Контрибьютор популярных публичных утилит (nmap, coercer, msldap, social engineering toolkit, bettercap-caplets). Зарегистрировал 5 CVE.

Автор телеграм-канала s0i37_channel и книги «Хакерство. Физические атаки с использованием хакерских устройств». В книге Андрей подробно рассказал про физические атаки на беспроводные сети и компьютеры с использованием хакерских устройств, и как от них защититься.

Резюме: Книга Андрея Жукова о физических атаках — «маст-рид» для пентестеров и специалистов по информационной безопасности.

BI.ZONE

Номинация «Кибербезопасность – это стильно!» – За самый необычный медиапроект в сфере кибербезопасности

BI.ZONE отслеживает более 70 кибергруппировок и на основе наблюдений представили собственную таксономию. Специалисты BI.ZONE разделили всех злоумышленников на три группы в зависимости от мотивации: «волков»,«оборотней» и «гиен».

Компания активно делиться собранными данными с широкой аудиторией, используя яркую подачу: с эффектным и информативным визуалом. Изображения волков можно встретить на баннерах в блоге компании, стикерпаке для ноутбука и даже в виде игрушек.

Плюшевого волка можно будет получить в качестве приза за выполнение тасков на конференции OFFZONE, которая состоится в августе.

Резюме: Привлекать внимание в медиапространстве к кибербезопасности можно разными способами, и компания BI.ZONE нашла один из самых необычных и веселых.

ВТБ

Номинация «Кибербезопасность – это стильно!» – За самый необычный медиапроект в сфере кибербезопасности

ВТБ представил просветительский проект «ВТБ Онлайн против мошенников». За последние 5 лет количество мошеннических атак, в том числе с помощью социальной инженерии выросло в 2 раза. Поэтому ВТБ решили создать проект, который расскажет россиянам, как защитить от мошенников себя и своих близких.

Чтобы привлечь внимание, проект выполнен в виде геймифицированного лендинга,  который знакомит двумя персонажами — зайцем-пользователем и лисицей-мошенницей. Из дайджеста пользователь узнает, как опознать мошенника, какими инструментами он пользуется, как в основном происходит обман клиентов банков и что делать, чтобы защитить себя и свои средства.

Резюме: Образовательный проект с элементами геймификации помогает не только обратить внимание к теме мошенничества, но и получить знания в доступной форме.

Павел Степанов, Перевод Энтузиаста

Номинация «Я научу тебя всему, что умею сам» – Лучшая практика по развитию молодых талантов ИБ

Не секрет, что многие важные исследования и материалы по теме информационной безопасности выходят на иностранных языках, не имея официального перевода на русский язык. Не все специалисты, особенно начинающие, могут похвастаться высоким уровнем знания английского.

Павел Степанов в своем канале Перевод энтузиаста | Информационная безопасность дает возможность бесплатно знакомиться с материалами и книгами с англоязычного пространства в переводе.

В проекте переведены и выложены уже почти 300 статей и 5 книг: «Полное руководство по Burp Suite», «Охота за ошибками для веб-безопасности», «Bug Bounty автоматизация с помощью Python. Секреты охоты за уязвимостями», «100 инструментов для SOC-аналитиков», «Взлом API: Взлом программных интерфейсов веб-приложений».

Резюме: Проект «Перевод Энтузиаста» дает возможность знакомиться с важными англоязычными материалами по теме информационной безопасности специалистам без глубоких знаний иностранного.

Angara Security

Номинация «Я научу тебя всему, что умею сам» – Лучшая практика по развитию молодых талантов ИБ

Angara Security — входит в топ-10 поставщиков ИБ решений и крупнейших ИТ-компаний России. С 2022 года компания сотрудничает с российскими университетами, участвует в разработке учебных материалов.

В партнерстве с профильными факультетами РГГУ, РТУ МИРЭА, МЭИ, РГУ нефти и газа им. И.М. Губкина, МГТУ им.Баумана и других вузов компания проводит мероприятия по кибербезопасности для студентов, выпускников и слушателей программ.

Также компания реализует программу стажировок Angara Start, по итогам которых лучшие выпускники становятся членами команды. Летом 2024 года планируются стажировки по направлениям мониторинга и реагирования, сетевой безопасности, консалтинга и аудита в ИБ, технической поддержке. В целом, в 2024 году участниками специализированных и летних стажировок станут более 50 студентов и выпускников московских вузов.

Резюме: Программа наставничества и стажировок Angara Start дает реальную возможность молодым ИБ-специалистам начать карьеру без долгих поисков и многочисленных собеседований.

Кирилл Филимонов, RAD COP

Номинация «TeamLead of the cybergym»  – за достижения в CTF и других соревнованиях, связанных с информационной безопасностью

Кирилл Филимонов (CuriV) — пентестер в кооперативе RAD COP и автор телеграм-канала Path Secure. Кирилл внес большой вклад в развитие CTF-проектов. Еще учась в универе основал сообщество PermCTF, сформировал CTF команду – E-Toolz, которая участвовала в онлайн ивентах. команда проводила открытые тренировки, на которые приходили десятки людей. Всем им Кирилл рассказывал про CTF, про задания, про компьютерную безопасность в целом.

Кирилл участвовал в организации соревнований PermCTF2019, которые собрали 150 команд со всей России. Принимал участие в UralCTF, RuCTF и т. д. Выступал перед студентами с лекциями о важности CTF. А также проводил для них свободные занятия по компьютерной безопасности, где обучал основам сетей, криптографии, Linux и WEB. Сейчас эти ребята являются костяком CTF команды университета и также ездят по соревнованиям.

Резюме: Кирилл Филимонов вдохновляет студентов собственным примером на участие в CTF и развитии в области ИБ.

УЦСБ и Союзмультфильм

Номинация «Кибербезопасность нас связала» – за кооперацию в сфере информационной безопасности

Центр кибербезопасности УЦСБ совместно со специалистами «Союзмультфильма» провел киберучения в реальных условиях. Имитация атак киберпреступников позволила оценить осведомленность непрофильных сотрудников студии в вопросах ИБ. В рамках проекта провели тестирования с использованием методов социальной инженерии. 

Специалистам «Союзмультфильма» приходится часто иметь дело с объектами авторского права, интеллектуальной собственностью, именно поэтому знание норм кибербезопасности для них критически важно.Имитация действий злоумышленников помогла оценить привычное поведение сотрудников и сформировать практические рекомендации по повышению уровня кибербезопасности в компании.

Резюме: Сотрудничество уральских ИБ-экспертов с крупнейшей анимационной студией страны перешло на новый этап.

F.A.C.C.T.

Номинация «Любая разгаданная загадка кажется потом поразительно легкой» – за самое увлекательное расследование или кейс в области информационной безопасности

F.A.C.C.T. — российский разработчик технологий для борьбы с киберпреступлениями. Эксперты Лаборатории цифровой криминалистики компании зафиксировали появление групп двойного назначения и обнаружили преступный синдикат Comet (Shadow) — Twelve, который стал «открытием года». Находка экспертов продемонстрировала новую тенденцию — появление групп «двойного назначения», которые преследуют как финансовые, так и политические цели.

Вымогатели из группы Comet (Shadow) установили рекорд по жадности 2023 года, потребовав у одной из жертв 200 миллионов рублей, а у другой — 321 миллиона рублей. У группы также появились собственные DLS-ресурсы, где они выкладывают данные об атакованных компаниях. В январе 2024-го группа Comet атаковала российскую компанию уже под новым именем — DARKSTAR. Впрочем, тактики, техники, процедуры (TTPs) и инструменты остались те же.

Резюме: Открытие экспертов лаборатории F.A.C.C.T. доказывает, что поведение преступников нужно изучать и нельзя недооценивать.

Михаил Аксенов, Defbox

Номинация «Я выбрал синюю таблетку и ни о чем не жалею» – за вклад и развитие blue team

Михаил Аксенов представил для премии проект Defbox — открытую платформу, где каждый желающий может научиться работать с SIEM и посмотреть на кибератаку. У проекта уже больше 300 активных пользователей, команда сотрудничает с университетами, помогает студентам развивать навыки реагирования на инциденты.

Платформа дает пользователям целые киберполигоны, где они могут взломать, защитить и взаимодействовать с настоящей системой, с blue team спецификой. Михаил сам обладает большой экспертизой в защите благодаря многолетней работе в SOC'ах. Выступает с докладами на PHDays, KazHackStan, Bsides и других конференциях.

Резюме: Живая среда Defbox дает возможность всем желающим потренировать свои кибернавыки и умения.

Светлана Газизова, Positive Technologies

Номинация «Без меня в прод никто не пойдет!» – за развитие практик безопасной разработки

Светлана Газизова — владелец телеграм-канала AppSec Journey и основатель проекта CyberOrda.

На своих ресурсах Светлана рассказывает о безопасной разработке и делится полезными материалами для разработчиков: от стандартов и комплаенса, до прикладных фреймворков и инструментов DevSecOps и т.д. Все, что опубликовано в блоге, как правило, полностью опенсорс, доступный как компаниям, так и частным разработчикам.

Помимо ведения ресурсов Светлана Газизова старается популяризировать направлениеи в офлайне: выступает на мероприятиях, в том числе и на PHD2, пишет статьи, ездит по СНГ и делится секретами AppSec'а/MLSecOps.

Резюме: Если вы искали ИБ-коммьюнити, с которым можно обсудить практики безопасной разработки и внести свой вклад в ее популяризацию, то загляните на CyberOrda.

Дмитрий Евдокимов, Luntry

Номинация «История нашей компании началась еще до печенегов»  – амбассадору ИБ-бренда

Дмитрий Евдокимов более 15 лет посвятил сфере кибербезопасности и широко известен всем, кому интересна тема ИБ и контейниризированных сред. Основанная Дмитрием компания Luntry создает решение для облачной безопасности, а также безопасности и прозрачности происходящего в контейнерах и Kubernetes. По этой теме Дмитрий проводит тренинги, а также регулярно выступает на отраслевых конференциях, таких как: BlackHat, HackInTheBox, ZeroNights, HackInParis, Confidence, SAS, PHDays, OFFZONE.

Кроме этого Дмитрий является автором курса «Cloud native безопасность в Kubernetes», активно дает комментарии и интервью медиа, принимает участие в ток-шоу, подкастах и исследованиях. Ведет телеграм-канал про Kubernetes k8s (in)security, который сейчас насчитывает 8 тысяч подписчиков.

Резюме: Дмитрия Евдокимова можно смело назвать не только амбассадором компании, но и Kubernetes в целом.

Лидия Виткова, «Газинформсервис»

Номинация «Скайнет не победит, если быть ИИнициативными» – за продвижение разумного использования нейросетей в сферах ИБ и ИТ

«Газинформсервис» продвигает идею разумного использования нейросетей в ИБ. Помимо недавно открывшегося аналитического центра кибербеза, компания «Газинформсервис» представила продукт Ankey ASAP — это платформа расширенной аналитики безопасности с функциями поведенческого анализа на основе ИИ.

Активную позицию по продвижению ИИ внутри компании занимает Лидия Виткова. Эксперт часто выступает на профильных мероприятиях, рассказывает СМИ о возможностях и особенностях работы с ИИ, занимается внедрением ИИ в продукты компании.

Резюме: В развитии и продвижении ИИ именно люди, а не технологии играют важную роль.

Артем Семенов, Positive Technologies

Номинация «Скайнет не победит, если быть ИИнициативными» – за продвижение разумного использования нейросетей в сферах ИБ и ИТ

Артем Семенов автор телеграм-блога PWN AI. Заинтересовался как можно применить или взломать ИИ и решил рассказать об этом другим. В мае 2023 выступил с докладом на PHDAYS, в котором рассказал как ChatGPT может быть эффективным, если использовать его API. А затем завел телеграм-канал, в котором стал делиться интересными материалами, рассказывать об инструментах и своем опыте по тематике применения ИИ в безопасности и безопасность самого ИИ. В отдельном телеграм-канале AISec [x_feed] Артем публикует новости по теме.

Разработал с друзьями дорожную карту изучения ИИ для ИБ — набор полезных знаний, который может быть необходим специалистам на разных направлениях: AppSec, OffSec expert, Blue Team, paper security. Кроме этого разрабатывает фреймворк для работы с ML-моделями.

Резюме: Чтобы не заплутать в изучении ИИ, воспользуйтесь картой, разработанной Артемом.

Кафедра №42, НИЯУ МИФИ

Номинация «На лекции — Хакатон, на дом — CTF» — самому активному вузовскому ИБ-сообществу

Кафедра №42 «Криптология и кибербезопасность» НИЯУ МИФИ занимается исследованиями и разработками, готовит специалистов в области наступательной безопасности, защиты информации и безопасной разработки. Студенты кафедры занимают призовые места в крупных всероссийских конкурсах и конференциях.

На каналах кафедры в Телеграм (kaf42) и YouTube («Кафедра Криптология и кибербезопасность НИЯУ МИФИ») можно узнать о разных профильных активностях, которые проводят студенты, а также получить полезные знания и опыт от участников CTF-соревнований, преподавателей, участников отраслевых конференций.

Резюме: Кафедру №42 можно назвать настоящей кузницей кадров для ИБ-специалистов. Инициативные студенты, занимающие призовые места на всероссийских конкурсах и соревнованиях, имеют все шансы на успешную карьеру в кибербезопасности.

Павел Попов, Positive Technologies

Номинация «У нас дыра в безопасности» — за вклад в развитие процессов управления уязвимостями

Павел Попов — лидер практики продуктов для управления уязвимостями в Positive Technologies. Автор курса по управлению уязвимостями, студенты которого узнают не только теорию, но и практикуются на тренировочном стенде в решении типовых задач.

Эксперт читает лекции для преподавателей ИБ по процессу управления уязвимостями.

Помимо этого Павел Попов регулярно выступает с лекциями и докладами на профильных мероприятиях и ведет подкаст «КиберДуршлаг».

Резюме: Учиться всегда лучше у практиков. Павел Попов расскажет об управлении уязвимостей, поделится опытом и сможет ответить на возникшие вопросы.

Вадим Шелест, Wildberries

Номинация «Фиолетовый — цвет сезона» — за популяризацию purple team

Более 12 Вадим Шелест занимается наступательной кибербезопасностью, проведением классических пентестов, а также Red/Purple Teaming проектов. Автор многочисленных статей и публикаций на тему практической ИБ, спикер на международных конференциях и различных ИБ мероприятиях, а также автор блога PurpleBear.

Последние 5 лет активно продвигает концепцию Purple Teaming как наиболее эффективного подхода к реализации оценки и формирования уровня зрелости ИБ на любом этапе развития организации. Имеет практический опыт построения и развития внешних и внутренних Red/Purple Team подразделений в крупных компаниях.

Резюме: Активная деятельность Вадима Шелеста вносит ощутимый вклад в формирование правильного понимания и восприятия в отношении Purple Teaming.

Роман Панин, МТС

Номинация «Каждый сотрудник — часть отдела ИБ» — за реализацию лучших практик ИБ в не ИБ-компании

Роман Панин ведет блог в телеграм «Пакет Безопасности». Входит в топ всех программ МТС, связанных с популяризацией ИБ, выступает на разных конференциях от имени компании МТС: VK Security Meetup, itsec, AppSecFest 2024, и т.д.. Также Роман активно участвует во внутреннем обучении сотрудников МТС.

Построил с коллегами уникальный процесс и культуру архитектуры ИБ в МТС. О том, как строили сервис единого входного окна по безопасности для продуктовых команд в лице архитекторов ИБ, как это работает сейчас и с какими трудностями пришлось столкнуться, Роман рассказал на VK Security Meetup.

Резюме: Отдел ИБ в современной компании должен активно выстраивать коммуникацию с другими сотрудниками и растить своих Security Champion.


Результаты премии - декабрь 2023

Результаты премии - апрель 2023