VK网络安全预算增25倍：首席信息官谈威胁目标

VK 将网络安全预算增加 25 倍：CIO Alexey Volkov 谈网络威胁和攻击者的目标

推荐： 在 12 个月内将网络安全预算增加 25 倍，将支出与实时威胁指标挂钩，并每月进行模拟攻击者目标的事故响应演练。

Volkov 将计划围绕 сферах 框架，这些领域暴露最高——云访问、身份、端点和数据流。这种 базовой 重新分配 позволяет 加强控制、生成更精确的警报，并在关键资产的防御中创造现实世界的真实性，同时保持复杂性可管理。该方法强调具体成果而非单纯活动，并使用 prompts 来指导模拟，以在几秒钟而不是几天内暴露差距。

该过程以 12 个月的节奏为中心，带有分阶段里程碑：购买自动化工具、扩展威胁情报源，并构建提供高置信度指标的治理层。团队将 generate 仪表板、运行红队演习，并将培训与 курс 演变的威胁对齐。此结构确保整个组织使用相同的风险语言，使从政策到实践的 everything 实时进行。

攻击者旨在进行数据外泄、服务中断和供应链操纵。VK 将监控来自 youtube 频道和 gemini 基础情报的信号，由 tadviser 指导，以 sharpening 风险评分和响应剧本。通过结合公共闲聊与私人遥测，Volkov 认为公司可以提前预见行动并在它们成形前破坏计划。

预期结果包括更快的检测和响应：MTTD 从基线下降到大约 2 小时，MTTR 缩小到不到 30 分钟，保护覆盖率在云、端点和数据层达到近乎完全一致。25 倍计划还针对模拟环境中的 реалистичность，确保指标转化为真实操作中的可行动改进。

25 倍预算增加的时间框架和里程碑

推荐：从 24 个月路线图开始，第一年优先考虑人员和平台 безопасность，第二年转向自动化和弹性。对于 25 倍提升，分配：人员与平台安全 60%；监控与事件响应 25%；治理与合规 15%。如果基线是 X，这将扩展到 X × 25，并让我们产生具体、可重复的结果。我们计划快速 onboarding 核心团队；在早期季度寻找高影响成果，并保持与创作者和业务伙伴的流程对齐。Tadviser 输入有助于设置治理 урoвень，而 vertex 分析在平台上提供丰富、可行动的洞察。此方法适合平台主导的安全程序，并支持未来需求和稳定的音乐般的交付节奏。

按季度的里程碑和 KPI

季度	里程碑 / 活动	预算分配	关键 KPI	依赖项
Q1	招聘核心安全团队；基线安全配置；建立治理框架	人员与平台安全 60%；监控与 IR 25%；治理 15%	人数：6；基线安全分数 +15；补丁周期 <14 天；第一个事件响应剧本发布	HR 流程；供应商 onboarding；初始风险清单
Q2	部署 EDR；集中日志；发布事件响应运行手册	人员与平台安全 60%；监控与 IR 25%；治理 15%	EDR 覆盖率 95%；MTTR −40%；SOC 运行手册准备就绪；警报基线调优	EDR 供应商集成；SIEM 标准化
Q3	集成漏洞管理；添加 CI/CD 安全门；开发者安全培训	人员与平台安全 60%；监控与 IR 25%；治理 15%	漏洞修复时间 <7 天；带安全测试的代码更改 ≥85%；SCA 覆盖率 90%	CI/CD 更改；安全编码程序
Q4	实施 SOAR；摄取威胁情报源；优化 SOC 工作流程	人员与平台安全 60%；监控与 IR 25%；治理 15%	警报量 −40%；假阳性 <5%；MTTC <1 小时	SOAR 集成；威胁情报合同
Q5	扩展自动化；为云资源采用 CSPM；编纂政策	自动化 40%；平台安全 30%；威胁情报 20%；治理 10%	云态势分数 90+'；自动修复 20% 的检测；遏制时间减少	云账户清单；政策即代码框架
Q6	零信任增强；IAM 改进；细化特权访问控制	自动化 40%；平台安全 25%；威胁情报 25%；治理 10%	MFA 采用率 99%；PIM 每 30 天审查一次；关键应用的条件访问	身份提供商集成；访问审查节奏
Q7	高级分析；vertex 级洞察；安全数据湖扩展	自动化 45%；平台安全 25%；威胁情报 20%；治理 10%	分析覆盖率 100%；检测精度 +25%；数据保留 12 个月	数据平台准备就绪；数据质量门
Q8	审查成果；扩展改进；最终确定 25 倍提升；规划持续优化	自动化 42%；平台安全 28%；威胁情报 20%；治理 10%	整体风险减少 50–60%；审计准备就绪 100%；下一个周期的路线图	内部审计；跨职能签发

按安全域和关键支出里程碑的分配

推荐：将 30% 的预算分配给身份与访问管理 (IAM)，并在 Q1 为高风险账户强制执行 MFA，然后在 Q2 为关键应用推出 SSO，并在 Q3–Q4 继续执行最小特权。这将重点关注最可能的初始访问路径，并减少整个环境中的 доступа 滥用。构建攻击者路径模型，并考虑用户群的背景来定制控制；包括社会工程演练和学生友好的培训以提高意识。将计划与 стран 威胁景观对齐，并保持方法透明，以便团队可以将反馈带入每个里程碑。

身份与访问管理 (IAM)

预算份额：30%。里程碑：Q1 基线 IAM，管理员和高风险用户 MFA；Q2 为 60–70% 的关键应用部署 SSO；Q3 实施条件访问和即时访问；Q4 建立持续访问审查和最小特权执行。成本反映专业级工具和开放集成，与遗留堆栈的 comparison 以显示实现的收益。制作教育 видеороликов 和动画 (анимация) 来解释钓鱼和访问控制；开放培训材料确保 знание 可用性对所有员工。该估计成本相对于风险减少是适度的——IAM 预算线的约 20–25% 保留用于培训和开放内容交付。此方法应带来可衡量的减少事件，这在学生背景或承包商池增加 в 劳动力时尤为重要。
网络安全与边界

预算份额：18%。里程碑：Q1 部署下一代防火墙和关键子网上的微分段；Q2 收紧东西向控制和 VPN 态势；Q3 将网络威胁检测与 SIEM 集成；Q4 细化异常检测和自动化遏制。重点关注廉价但有效的控制，这些控制可扩展到单一站点之外；使用开放标准和标准相机日志（如果适用）来丰富遥测。该计划针对平面网络造成的过度暴露，并在事件发生时提供更快的遏制。
数据保护与加密

预算份额：14%。里程碑：Q1 数据分类和 DLP 政策；Q2 敏感数据的客户端加密；Q3 数据库加密和 KMS（密钥管理）强化；Q4 备份验证和恢复演练。包括与前一年的正式 стоимость 比较，并为密钥管理建立清晰的成本基线 (стоимость)。使用专业级但负担得起的 архитектура，并记录密钥的完整生命周期以防止丢失。
端点安全

预算份额：12%。里程碑：Q1 在所有端点部署 EDR；Q2 防钓鱼邮件安全和设备强化；Q3 自动化修复剧本；Q4 持续更新和每周健康检查。包括修复步骤的 видеороликов（视频指导）和管理员仪表板；确保成本与减少事件响应时间的价值对齐。使用真实世界学生和初级员工经历的背景来塑造快速胜利和经验教训。
云安全

预算份额：8%。里程碑：Q1 保护云账户，强制执行 MFA，轮换访问密钥；Q2 实施工作负载身份和安全 IaC 管道；Q3 容器安全扫描和政策即代码；Q4 治理、成本控制和持续风险评分。包括 professional-grade 工具基线和 open 框架，以启用与本地基线的快速比较 (comparison)。云计划应敏捷且可扩展，将云卫生带到与本地控制的平价。
应用安全与 SDLC

预算份额：8%。里程碑：Q1 将 SAST/DAST 集成到 CI；Q2 修复高风险缺陷；Q3 实施安全编码审查；Q4 使用 видеороликов 和动手实验室运行安全开发教育。构建特定于 VK 产品的 OWASP 风险模型并跟踪修复速度。使用跨团队所有权确保 доступа 不被孤岛阻塞，并测量每避免缺陷的成本以证明投资 (стоимость)。
监控、检测与响应

预算份额：6%。里程碑：Q1 部署带基线仪表板的集中 SIEM；Q2 添加 UEBA 模型和警报丰富；Q3 实施事件响应剧本和平板演习；Q4 运行每月安全简报和演练。利用开放遥测适配器和教育视频来提高团队准备度；包括相机和代理日志相关性以改善可见性。此领域支撑 24/7 准备度并有助于缩短 MTTR。
治理、风险与合规

预算份额：4%。里程碑：Q1 将控制映射到框架 (NIST, ISO)；Q2 实施风险评分和接受标准；Q3 进行内部审计和控制测试；Q4 自动化证据收集和报告管道。与监管要求和内部政策的清晰比较对齐。定期治理审查确保 доступна 可追溯性和持续改进，并明确记录成本考虑 (стоимость)。

攻击者的目标：VK 的优先目标和含义

在几小时内锁定可疑凭证使用，并建立快速遏制协议以中断攻击者移动。此快速行动减少入侵者传播的距离，并为追踪起源争取时间。从登录端点到 API 表面，使每个步骤可观察。我们 планируем 一个威胁狩猎节奏，将 ключевые 指标与实时规则绑定，实现跨服务的顺畅编排。虽然没有系统是完美的，但此方法显著降低风险并构建弹性。

攻击者追求几个 VK 必须预见的 ключевые 目标。首先，通过凭证滥用来夺取用户账户并启用快速、未经授权的行动。第二，通过订阅欺诈和服务滥用来货币化，从而耗尽合法收入。第三，中断生产工作流程以将恶意内容注入 видеороликов 流并降低跨 сервисов 的信任。他们寻求最大化受损会话和 контента 生成的数量，同时利用情感操纵来驱动参与。他们探测 VK 功能集和数据流的 глубину 深度，以识别 API 端点、镜头序列和内容管道中的 точки входа，构建揭示如何转向新访问顶点的 карта。攻击者孤立操作的幻想是错误的：每个错误配置、遗留集成和弱凭证都构成漏洞。从每个登录到发布，每个步骤都是可观察的，并可以通过严格控制阻塞。对于 всех пользователей，防御必须是分层的且快速的。

对 VK 的含义需要主动、模型驱动的立场。构建威胁模型，将其转化为攻击者路径的 карта，从初始访问到影响，并在 ключевые точки 设置检查点。部署收集实时遥测的技术堆栈，并在 сервисов 和 видеороликов 跨的风险中呈现顶点级视图。加强生产分段、高风险行动的 MFA 和自动化响应遏制。开发攻击者行为模型并运行定期演习来验证它；确保检测在 планируем 和生产环境中工作。此方法减少暴露风险最高的地方，特别是围绕认证、内容 создание (создания) 和 монетизация 渠道 (subscription)。系统应为 всех пользователей 提供顺畅的用户体验，即使在压力下，任务协同工作，使防御作为围绕 VK 的 будущего 的连贯层工作。

VK 的即时行动

为管理员和高风险账户强制执行 MFA；建立设备信任和条件访问；为常见攻击模式部署快速遏制运行手册；扩展遥测以覆盖从登录到发布的路径；运行每周威胁狩猎周期，目标是将 MTTD 保持在 1 小时以下，MTTR 保持在 4 小时以下。强化视频生产管道并实施订阅验证检查以遏制欺诈。创建攻击者技术的统一 карта 以加速检测，并将生产调度与防御信号对齐，使交付对 всех пользователей 保持顺畅。重点关注生产环境， расширяя 监控深度并 sharpening точек контроля，以便 сервисов 跨的每个镜头和行动获得即时保护。

VK 应在未来 12 个月准备的威胁场景

从强化身份保护和 API 安全开始；在 90 天内部署零信任访问、MFA 和强大的会话控制，以大幅减少基于凭证的违规并为自动化响应设置清晰基线。

关键场景和防御行动

凭证滥用和社会工程将仍是顶级入口向量。强制执行自适应 MFA、设备指纹识别、基于风险的认证和实时警报。运行每月钓鱼演练并维护快速遏制剧本。使用简洁的教育内容培训员工和用户，保护用户生命并维护信任。实施语音分析以检测 vishing 尝试并监控异常登录位置；确保警报在需要时触发自动会话暂停。

API 滥用和第三方集成风险需要强化网关和代码签名。应用严格速率限制、带短期令牌的 OAuth2 和 IP 允许列表。为所有关键发布强制执行强制 SBOM 和软件组件分析；集成 CI/CD 安全检查和持续漏洞扫描。使用当前仪表板和视觉提示快速发现 API 流量和集成流的异常，将风险信号与响应者匹配。

生成内容滥用，包括用于社会工程的深度伪造视频/语音，需要检测和威慑。在传入媒体和用户生成内容上部署基于 AI 的深度伪造检测；在用户工作流程中出现生成资产时水印教育资产并警报风险信号。为官方 VK 通信开发标准场景和构图模板，以确保真实视觉匹配品牌声音。

供应链和供应商风险威胁代码质量和事件响应。要求签名代码、定期第三方风险评估和严格变更管理。维护当前威胁情报源并运行季度平板演习以测试供应商妥协场景；与合作伙伴对齐事件响应以减少驻留时间并保护用户数据。

内部威胁和数据外泄风险需要严格的最小特权访问、DLP 和端点监控。为内部数据移动自动化异常检测，强制执行强大的日志流，并进行季度访问审查。在产品团队中维护安全声音，以便只有授权数据离开 VK 系统，使用生命周期治理跟踪数据从源到使用。

预算对齐、指标和时间表

随着资金提升，规划多阶段推出。为 SOC 现代化、威胁情报和自动化工具分配数千万美元；投资的美元应倍增风险减少。目标是在 12 个月内将平均遏制时间减少 60%，钓鱼点击率下降 40%。建立季度里程碑：第 3 个月 MFA 和 API 强化；第 6 个月威胁情报共享和供应商风险管理；第 9 个月自动化检测和响应剧本；第 12 个月全规模事件模拟和数据保护控制。跟踪当前威胁趋势并每周调整控制；确保视觉和仪表板为操作员和用户提供清晰、可行动的信号。

跨团队协调：角色、依赖项和流程流

在 24 小时内建立共享 RACI 和跨团队协调板，以对齐优先级和移交。使用灵活节奏并保持工件对所有利益相关者清晰，从工程到高管。该方法连接 российские 团队和 india-based 合作伙伴，并使用快速 восьмисекундных 摘要向领导层简报；在 studio 风格中制作剪辑，用于 youtube 的快速按需更新。

角色和职责

为安全、工程、产品和运营分配 главных 所有者；团队可以通过定义路由升级到事件指挥官，确保快速响应。
为每个域建立 точки 联系人：安全负责人、平台所有者、产品经理；维护实时映射并季度审查。
包括 российские 同事和 india-based 合作伙伴以多样化输入；确保时区覆盖和语言清晰以避免延迟。
定义 методы（方法）用于威胁建模、漏洞处理和变更控制；创建所有者模拟以在平板演习中练习角色。
轮换角色以保持知识流动，使团队感到赋权且不孤岛；使用 kling 信号指示状态变化。
通过 youtube 剪辑和 studio 简报社交化更新，分享解释谁做什么以及何时做的短剪辑 (clip)，以便 теам 成员 и руководители 知道重点在哪里。

流程流和依赖项

映射跨团队的所有依赖项，标记所有者、数据源、时机和 точки 联系人；确保数据从一个阶段移动到下一个阶段，带有清晰移交和最小等待。
设计威胁情报源、补丁状态和代码更改的数据交换合同和 SLA；标记最关键接口并在日历上设置审查。
建立每日 15 分钟站会，带有专注议程；包括当前风险和阻塞器的快速生成摘要，以便决策无延迟流动。
发布从剧本、运行手册和检查列表生成的工件 (generated)；将它们保存在中央存储库中，对 россия 和 india 团队均可访问，并在每次迭代后更新。
实施知识共享渠道用于快速更新：上传到 youtube 的短剪辑，由新加入者的 studio 简报补充；此方法帮助 вас 了解并感受到威胁和缓解的状态。

KPI 和仪表板：进展如何衡量

推荐：在 14 天内实施 KPI 驱动的仪表板，从安全工具、营销平台和订阅系统流式传输生成数据。从 6 个核心 KPI 开始，覆盖 безопасность、预算 (бюджет)、访问深度 (доступ)、平台采用和订阅健康。这创建真相点并让您在统一平台上比较 разные 团队。目前，团队依赖 разные 电子表格和静态报告，减缓决策并模糊风险。我认为此方法将在组织中扩展。随着时间推移，这些指标将被刷新并向高管呈现，实现更快决策和对齐。这将给营销人员提供他们行动所需的一切，一些平台提供可配置模板以加速推出。

核心 KPI

定义 6 到 8 个 KPI：每月安全事件、平均检测时间 (MTTD)、平均响应时间 (MTTR)、假阳性率、预算利用率对比计划 (бюджет)、访问供应时间 (доступ)、平台采用深度和订阅流失。这些是最关键的指标，塑造风险可见性和成本控制。使用 gemini 驱动的洞察将数据与活动和用户场景及移动对齐。确保数据窗口是 восьмисекундных 以提供近实时可见性用于及时行动，同时为分析师保持深度。一切与您的订阅目标和安全态势对齐。

实施和访问

计划：分配数据所有者，实施基于角色的访问 (доступ) 带最小特权，并建立跨 CIO、安全和营销负责人的每周审查节奏。功能包括实时警报、8–12 个预构建仪表板和订阅焦点视图。确保营销人员看到订阅健康，而安全监控事件和移动。无论您想要单一窗格还是分段视图，平台将随着团队增长而扩展。包括 часть 治理和数据所有权文档；向领导层报告对比 бюджет 和安全目标的进展。

VK 将网络安全预算增加 25 倍 - 首席信息官亚历克谢·沃尔科夫谈网络威胁和攻击者的目标