Folgen
-
Атаки на цепочки поставок или supply chain attack — это сложный для обнаружения, и при этом очень распространённый вид атак. Можно заполучить уязвимость, используя опенсорс-библиотеку, а можно пропустить «вредоноса» через незащищённого подрядчика. И то, и другое несет угрозу уже непосредственно вашему бизнесу.
В новом выпуске «Безопасно говоря» с гостями из финансового сектора обсуждаем, как снизить риски атак через цепочки поставок и где эти риски надо отслеживать.
В гостях:
Николай Клендар, директор департамента информационной безопасности, Хоум БанкСергей Демидов, директор по информационной безопасности, Московская биржаВедущие:
Алексей Миртов – руководитель группы продуктов Security & Compliance, Yandex Cloud Рами Мулейс – менеджер продуктов безопасности Yandex Cloud
Наш подкаст можно не только слушать, но и смотреть: https://clck.ru/36SjGr
Полезные ссылки:
ГК «Солар»: ущерб от атак на цепочки поставок в финсекторе: https://rt-solar.ru/events/news/3898/ Вебинар «Как выстроить пайплайн безопасной разработки в Yandex Cloud»: https://www.youtube.com/live/WEMZReeJjwc?si=ywlBjEGYYCIV-QQK
Знаете, где ещё подстерегают атаки «третьей стороны»? Напишите в комментариях! А чтобы поделиться опытом, поругаться, задать вопрос, предложить свои темы или экспертов, которых надо позвать в гости, пишите по адресу: [email protected] -
Как думаете, что хуже — дефейс сайта или отказ в обслуживании? И что важнее сегодня для бизнеса, веб или мобильное приложение? С практикующими специалистами обсудили ущерб от атак, их виды и стоимость защиты приложений для бизнеса. На каком уровне необходимо защищать приложения? Поговорили об инструментах защиты и их значимости для компаний разного масштаба и уровня зрелости. Поделились реальными историями и опытом.
Гости выпуска:
Антон Антоничев, ИТ-директор METRO РоссияВладимир Прокопенко, эксперт по технической защите R-ONEВедущие:
Алексей Миртов – руководитель группы продуктов Security & Compliance, Yandex Cloud Рами Мулейс – менеджер продуктов безопасности Yandex CloudНаш подкаст можно не только слушать, но и смотреть: https://clck.ru/36SjGr
Обещанные ссылки:
Атаки на мобильные приложения: https://www.kommersant.ru/doc/5481646Исследование Positive Technologies: https://www.ptsecurity.com/ru-ru/research/analytics/web-vulnerabilities-2020-2021/Курс по безопасной разработке: https://yandex.cloud/ru/training/devsecopsХотите рассказать о своём опыте в защите от атак на ресурсы компании, задать вопрос, предложить свои темы или экспертов, которых надо позвать в гости? Пишите: [email protected] или заходите в комментарии под видео-версией.
-
Fehlende Folgen?
-
Это самый необычный эпизод подкаста «Безопасно говоря». Наша команда во главе с ведущими — Рами и Алексеем — провела 4 прекрасных дня на международном киберфестивале Positive Hack Days Fest 2. Мы захватили с собой облачный барометр, чтобы измерить отношение к облакам, микрофон, чтобы вам были слышны ответы, и солнцезащитные очки, чтобы защититься от яркого солнца.
Опросили гостей фестиваля, поговорили с докладчиками, обошли всю огромную площадку PHDays в Лужниках, чтобы передать вам атмосферу события. Получилось как минимум весело, а чтобы было ещё и полезно, оставляем тут ссылки на упомянутые в эпизоде доклады:
Мария Зубченко с докладом «SLSA: оценка эффективности защиты цепочек поставок в облаке»: https://phdays.com/forum/program/?talk-id=664Антон Черноусов с докладом «Пять острых углов вашего serverless-решения»: https://phdays.com/forum/program/?date=2024%2F5%2F24&talk-id=702Николай Панченко с докладом «Для чего защищать пайплайны развертывания публичных облаков и как это сделать?»: https://phdays.com/forum/program/?talk-id=665Никита Гергель с докладом «Как устроена безопасная разработка в облачном провайдере: https://phdays.com/forum/program/?talk-id=666Вадим Осипов и Дмитрий Руссак с докладом «RCE-уязвимость в Managed ClickHouse глазами специалиста SOC в Yandex Cloud»: https://phdays.com/forum/program/?talk-id=639В роли специальных корреспондентов – ведущие подкаста:
Алексей Миртов – руководитель группы продуктов Security & Compliance, Yandex CloudРами Мулейс – менеджер продуктов безопасности, Yandex CloudПонравился формат? Поддержите нас лайком, подпиской, комментарием! Нашли себя в эпизоде? Поделитесь им с друзьями и коллегами!
Напоминаем, что наш подкаст можно не только слушать, но и смотреть на YouTube. Плейлист «Безопасно говоря»: https://clck.ru/36SjGr
Хотите поделиться опытом, поругаться, задать вопрос, предложить свои темы или экспертов, которых надо позвать в гости? Пишите в комментариях или по адресу: [email protected]
-
Позвали в гости мастодонтов рынка и поговорили об актуальной картине угроз для облачных сред. Обсудили сходства и различия инцидентов в локальной и облачной инфраструктуре. Не обошли вниманием специфические средства защиты для облаков – сформировался ли такой рынок в России и каковы его объёмы? Разобрали проблемы доверия, экономику и задачи вендоров и заказчиков. В чём мы сходимся, а где ещё необходимо налаживать диалог.
Гости выпуска:
• Алексей Лукацкий — бизнес-консультант по информационной безопасности, Positive Technologies
• Муслим Меджлумов — директор по продуктам и технологиям, BI.ZONE
• Евгений Сидоров — CISO, Yandex Cloud
Ведущий:
Алексей Миртов — руководитель группы продуктовой архитектуры Security, Yandex Cloud
Напоминаем, что наш подкаст можно не только слушать, но и смотреть: https://clck.ru/36SjGr
Если мы не затронули какие-то интересные нюансы в теме угроз для облаков – напишите нам об этом в комментариях на платформах, где это возможно, и мы постараемся раскрыть их в следующих эпизодах. Хотите поделиться опытом, поругаться, задать вопрос, предложить свои темы или экспертов, которых надо позвать в гости? И об этом пишите в комментариях или по адресу: [email protected] -
Кибербезопасность не может существовать в отрыве от бизнеса, при этом решения по ИБ должен принимать некий конкретный человек. Кто он, с кем он обсуждает свои решения, можно ли воспринимать функцию ИБ как сервис, и как безопасность должна внедряться в культуру компаний? Как это организовано в Северстали, Одноклассниках, Альфа-Банке и можно ли переносить опыт крупного бизнеса на средние и маленькие компании, учитывая разницу в ресурсах. А ещё — к чему CISO должны быть готовы в наступившем году. Дискутируем в двух разрезах: философском и утилитарном.
Ведущий:
Рами Мулейс — менеджер продуктов безопасности Yandex Cloud
Гости:
Денис Горчаков — Директор по информационной безопасности, ОдноклассникиСергей Гусев — Заместитель директора по информационной безопасности, АО «Северсталь Менеджмент»Сергей Крамаренко — Руководитель департамента кибербезопасности, Альфа-Банк
Полезные материалы:
Исследование Yandex Cloud и компании ДРТ «Какие средства информационной безопасности CISO использовали в 2023 году»Подкаст доступен в видео-версии на YouTube
Поделиться своими историями, предложить темы для новых эпизодов, рассказать, кого хотите видеть и слышать у нас в гостях, похвалить и поругать ведущего можно в комментариях на YouTube или по адресу: [email protected]
-
Нельзя просто взять и не подвести итоги года. В специальном новогоднем выпуске подкаста обсудили, что происходило в 2023 году с регулированием, развитием продуктов ИБ, атаками на бизнес, развитием ИИ. Почему финансовый сектор оказался одним из наиболее передовых. Чем будут озабочены ИБ-специалисты в следующем году и к каким новым задачам надо подготовиться.
А чтобы подведение итогов было максимально разносторонним, собрали для этого выпуска специалистов разных направлений из Yandex Cloud.
Участники выпуска:
• Рами Мулейс, менеджер продуктов безопасности
• Алексей Миртов, руководитель группы продуктов Security & Compliance
• Екатерина Липова, руководитель направления по защите данных
• Александр Долбнев, руководитель группы по работе с финансовым сектором
• Никита Гергель, руководитель Security & Compliance
▶️ Все эпизоды в плей-листе на YouTube: https://clck.ru/36SjGr
И конечно самое главное — пожелания в конце выпуска. Обязательно послушайте и поделитесь своими итогами и планами в комментариях. А лучшим новогодним подарком для нас будет ваша поддержка: лайк-подписка-комментарий! Поделиться своими идеями по развитию подкаста вы можете под видео в YT либо по адресу: [email protected]. -
Развитие высокотехнологичной медицины влияет на жизнь каждого человека, но в работе с медицинскими данными есть множество нюансов. В последнем эпизоде третьего сезона нашего подкаста говорим о том, кем и какие медицинские данные сегодня собираются, для чего используются, а также как и от чего их нужно защищать.
Из эпизода вы узнаете, можно ли смоделировать человека и для чего нужен банк с биологическими данными. Чем персонализированная медицина отличается от стандартизированной, и при чём тут машинное обучение. Какие проекты цифровой медицины развиваются в России и мире и почему огромная их часть — обеспечение безопасности. И насколько всё это повышает наши шансы на долгую, комфортную жизнь.
Ведущий:
• Рами Мулейс, менеджер продуктов безопасности Yandex Cloud
Гости:
• Александр Ракитько, директор по продукту Genotek
• Валерия Кузоватова, директор Департамента развития клинических и образовательных проектов ФГАОУ ВО Первый МГМУ им. И. М. Сеченова Минздрава России (Сеченовский Университет)
• Константин Бражников, руководитель проекта «Цифровой биобанк» ФГАОУ ВО Первый МГМУ им. И. М. Сеченова Минздрава России (Сеченовский Университет)
Все эпизоды в плей-листе на YouTube: https://clck.ru/36SjGr
Было ли вам интересно послушать про настоящее и будущее цифровой медицины? Напишите нам в комментариях! Хотите поделиться опытом, поругаться, задать вопрос, предложить свои темы для новых эпизодов или экспертов, которых надо позвать в гости? И об этом пишите в комментариях или по адресу: [email protected]. -
Говорим про умные автономные устройства — то есть, обо всём, что может самостоятельно передвигаться по городским дорогам, рельсам, по нашим домам, промышленным карьерам или огромным складам.
Какие существуют уровни автономности? Сильно ли робот-пылесос отличается от умного электрокара, и в чём именно? Зачем роверам-доставщикам милые мордашки, и получат ли автомобили будущего такую же «дружелюбную» внешность? Может ли хакер захватить управление несущимся по автобану смарткаром, и что в таком случае будет с водителем? Как выглядит «черный ящик» самоуправляемой машины, и что в нём хранится? Какая инфраструктура нужна для распространения «умного» транспорта и, наконец, как всё это обезопасить? Раньше мы видели такое только в кино, а теперь всё чаще встречаем в жизни. Пристёгивайтесь, поехали!
Ведущие:
• Антон Черноусов, Developer Advocate Yandex Cloud
• Алексей Миртов, руководитель группы продуктов Security & Compliance Yandex Cloud
Гости:
• Борис Рютин, руководитель группы безопасности умных устройств и беспилотных технологий Яндекса
• Кирилл Ильин, CISO СберАвто
Все эпизоды в видео-версии в плей-листе на YouTube: https://clck.ru/36SjGr
О каких аспектах безопасности автономного транспорта мы не рассказали? Напишите нам в комментариях! Хотите поделиться опытом, поругаться, задать вопрос, предложить свои темы для новых эпизодов или экспертов, которых надо позвать в гости? И об этом пишите в комментариях или по адресу: [email protected] -
Начинаем новый сезон подкаста, посвящённый технологиям, которые окажут влияние на наше будущее. AI — искусственный интеллект — стал «словом 2023 года», по версии словаря Collins Dictionary. Развитие ИИ стало одной из главных тем в технологическом мире.
По данным исследования Yandex Cloud, более 50% крупных компаний в России уже используют ИИ в своей работе, ещё 26% — планируют это делать. Аналитики международных исследовательских агентств прогнозируют колоссальные изменения в мировой экономике, связанные с внедрением машинного обучения в производственные процессы. Но большая технологическая революция только начинается — как в бизнесе, так и в других областях. Насколько сильное влияние развитие ИИ оказывает и ещё окажет на сферу информационной безопасности, зло это или добро и что вообще происходит — разбирались в этом эпизоде.
Ведущие:
• Антон Черноусов, Developer Advocate Yandex Cloud
• Рами Мулейс, менеджер продуктов безопасности Yandex Cloud
В гостях:
• Евгений Латышев, тимлид команды Data Science, Циан
• Владислав Тушканов, руководитель группы исследований и разработки технологий машинного обучения в «Лаборатории Касперского»
Партнёр выпуска: телеграм-канал «Порвали два трояна»
Подкаст доступен в видео-версии на YouTube: https://clck.ru/35xLaf
Знаете какие-то важные аспекты развития ИИ для ИБ, о которых мы забыли упомянуть? Напишите об этом в комментариях к видео-версии. Если хотите поделиться опытом, задать вопрос, предложить свои темы для новых эпизодов или экспертов — тоже пишите в комментариях или по адресу: [email protected]. -
Наконец-то позвали в гости настоящих хакеров. Но есть нюанс. В этом выпуске рассказываем про тех, кто выбрал светлую сторону: как становятся пентестерами, какие специфические моменты есть в этой профессии, почему компании доверяют тестирование своих ИТ-инфраструктур внешним специалистам. И, наконец, почему лучше не называть пентестеров хакерами.
Погрузились в тему глубоко и надеемся, что получилось интересно и вдохновляюще.
Ведущие:
• Антон Черноусов, Developer Advocate Yandex Cloud
• Рами Мулейс, менеджер продуктов безопасности Yandex Cloud
Гости:
• Павел Загуменнов, руководитель продукта BI.ZONE CPT
• Егор Богомолов, CEO Singleton Security & CyberEd
Подкаст доступен в видео-версии на YouTube: https://clck.ru/35xLaf
А вы доверили бы заниматься взломом своей информационной системы внешним специалистам, пусть даже очень хорошим? Напишите в комментариях! Если хотите поделиться опытом, задать вопрос, предложить свои темы для новых эпизодов или экспертов — тоже пишите в комментариях или по адресу: [email protected]. -
В последние два года хакерские атаки на российские компании не только участились, но и стали гораздо более мощными и изощрёнными. За каждой «удачной» атакой — потеря денег, данных, штрафы от регулятора и репутационные риски для компаний. Сегодня говорим про мониторинг событий безопасности с помощью SIEM: что это, зачем и как правильно применять.
В этом эпизоде обсуждаем: нужно ли отдельно строить мониторинг событий безопасности и для чего; как оценивать эффективность инструментов мониторинга и нужно ли проверять их на практике, а главное — как это сделать; за что отвечают специалисты SOC и где они обитают. А также — с чего начать если нужно внедрить систему мониторинга и как это сделать, если вы в облаках?
Ведущие:
· Антон Черноусов: Developer Advocate Yandex Cloud
· Алексей Миртов: Руководитель группы продуктов Security & Compliance Yandex Cloud
Гости:
· Алексей Леднёв: Руководитель отдела обнаружения атак экспертного центра безопасности Positive Technologies
· Илья Маркелов: Руководитель направления развития единой корпоративной платформы «Лаборатории Касперского»
Подкаст доступен в видео-версии на YouTube: https://clck.ru/35xLaf
Если вы используете системы управления информационной безопасностью и событиями безопасности у себя, хотите поделиться опытом или задать нам вопрос, предложить свои темы для новых эпизодов или позвать экспертов, которым доверяете — напишите об этом в комментариях на YouTube или по адресу: [email protected]. -
Что такое «бумажная» и «практическая» безопасность, почему ИБ-специалисты часто разделяют эти понятия, откуда берутся «бумажные» требования и всегда ли им следуют на практике? В чем специфика стандартов ИБ для облака? И успевают ли эти самые стандарты меняться вместе с рынком? В новом эпизоде обсудили эти и многие другие вопросы, поделились опытом и лайфхаками и пришли к неожиданным выводам.
Ведущие:
• Антон Черноусов, Developer Advocate Yandex Cloud
• Рами Мулейс, менеджер продуктов безопасности Yandex Cloud
Гости:
• Егор Кузнецов, коммерческий директор Б-152
• Алексей Кузнецов, технический руководитель направления анализа защищённости МТС RED
Подкаст доступен в видео-версии на YouTube: https://clck.ru/35ZvEn
Поделиться своим историями о «бумажной» и практической безопасности, предложить свои темы для новых эпизодов, рассказать, кого хотите видеть и слышать у нас в гостях, похвалить и поругать ведущих можно в комментариях на YouTube или по адресу: [email protected]. -
В специальном аудио-эпизоде подкаста «Безопасно говоря» трое специалистов поговорили про соревнования в области кибербезопасности, CTF. Вспомнили Bank Security Challenge: как старт соревнований пришлось переносить из-за внезапно найденной уязвимости, сколько было участников и почему это было очень круто. Порассуждали про приложение опыта соревнований к реальным задачам и CTF как элемент образовательной системы: почему это важная часть становления специалиста по ИБ и в чём роль сообщества. А также о том, как исторически складывались правила соревнований CTF.
Участники:
• Антон Черноусов, Developer Advocate Yandex Cloud
• Рами Мулейс, менеджер продуктов безопасности Yandex Cloud
• Алексей Хайдин, ведущий специалист по анализу защищённости, участник команды DERED
Полезные ссылки:
• Offensive security: откуда берутся пентестеры: https://cloud.yandex.ru/blog/posts/2023/01/ctf-and-pentest
• Проверка боем: чем полезны СTF-соревнования и как их организовать?: https://clck.ru/35UVAv
• Соревнование по кибербезопасности: https://bsc.dered.io/
Хотите поделиться своим историями про соревнования, рассказать о собственном опыте захвата флага, предложить свои темы для новых эпизодов, рассказать, кого хотите видеть и слышать у нас в гостях, похвалить и поругать ведущих можно по адресу: [email protected] -
Актуальные угрозы и новые подходы к защите промышленных ИТ-инфраструктур — какие они? Какие плюсы и минусы видят компании промышленной отрасли в переходе к облачной инфраструктуре?
В третьем эпизоде подкаста «Безопасно говоря» обсуждаем, как меняются стратегии безопасности в ИТ для промышленного сектора. Какие ключевые изменения в векторах атак злоумышленников наблюдались за последнее время. Насколько отрасль готова к новым вызовам, и что изменилось кардинально в построении моделей угроз и расчете рисков.
Ведущие:
· Антон Черноусов, Developer Advocate Yandex Cloud
· Алексей Миртов, руководитель группы продуктовой архитектуры Security & Compliance Yandex Cloud
Гости:
· Сергей Репринцев, CTO «Ультиматек»
· Сергей Черкасов, начальник управления информационной безопасности «ФосАгро»
Подкаст доступен в видео-версии на YouTube.
Поделиться своим историями о важности защиты ИТ-инфраструктуры критических объектов, предложить свои темы для новых эпизодов, рассказать, кого хотите видеть и слышать у нас в гостях, похвалить и поругать ведущих можно в комментариях на YouTube или по адресу: [email protected] -
Информационная безопасность — это не состояние, это процесс. А для того, чтобы этот процесс двигался в нужную сторону, надо развивать культуру ИБ в компаниях.
С вами второй эпизод подкаста «Безопасно говоря», в котором мы обсудили: какие косты и другие факторы необходимо учитывать компаниям при миграции в облако, что выгоднее в перспективе трёх-пяти лет, облако или on-premise, и что из этого в реальности безопаснее. А ещё поговорили с гостями из СДЭК и «Азбуки Вкуса» о том, как снизить влияние человеческого фактора при миграции в облако, нужно ли обучать азам ИБ сотрудников крупных ритейл-компаний, почему необходимо побольше автоматизировать и почаще обнимать своих безопасников — и многое другое.
Ведущие:
· Антон Черноусов, Developer Advocate Yandex Cloud
· Алексей Миртов, руководитель группы продуктов Cloud Security & Compliance, Yandex Cloud
Гости:
· Павел Куликов, CTO СДЭК
· Дмитрий Кузеванов, CTO «Азбука вкуса»
Подкаст доступен в видео-версии на YouTube.
Поделиться своим опытом миграции в облако и историями, когда «человеческий фактор» сыграл свою роль в ИБ, предложить свои темы для новых эпизодов, рассказать, кого хотите видеть и слышать у нас в гостях, похвалить и поругать ведущих можно в комментариях на YouTube или по адресу: [email protected] -
Чтобы выстроить безопасную работу в облаках бизнесу, разработке и ИБ необходимо учиться говорить на одном языке. В первом эпизоде подкаста «Безопасно говоря» ведущие и гости обсудили этот процесс с точки зрения финтех-организаций. Поговорили о том, как сделать безопасный банк в облаке с нуля, вовлечь команды ИТ и бизнеса в принятие решений по безопасности, воспитать или найти на рынке секьюрити-чемпионов.
Ведущие:
• Антон Черноусов, Developer Advocate Yandex Cloud
• Рами Мулейс, менеджер продуктов безопасности Yandex Cloud
Гости:
• Роберт Сабирянов, кофаундер, CTO банка «Бланк»
• Павел Арланов, директор по безопасности маркетплейса финансовых и страховых услуг «Сравни»
Подкаст доступен в видео-версии на YouTube.
Поделиться своим опытом выстраивания DevSecOps-процессов, предложить свои темы для новых эпизодов, рассказать, кого хотите видеть и слышать у нас в гостях, похвалить и поругать ведущих можно в комментариях на YouTube или по адресу: [email protected] -
Совсем скоро здесь появится первый эпизод подкаста «Безопасно говоря», в котором бизнес, разработка и ИБ учатся говорить на одном языке. Ведущие — Антон, Рами и Алексей из Yandex Cloud и их гости — специалисты по ИБ, разработчики и руководители бизнеса из разных компаний будут обсуждать работу в облаке в контексте информационной безопасности.
В первых сезонах вы услышите и увидите гостей из финтеха, ритейла, промышленности, IT, ИБ и других отраслей. Обсудим, как запускать DevSecOps-процессы, выстраивать практическую безопасность, соблюдать требования регуляторов, защищать приложения и многое другое.
Подкаст запускается на всех популярных платформах и в видеоверсии на YouTube.
Подпишитесь, чтобы не пропустить!
Предложить свои темы для новых эпизодов, рассказать, кого хотите видеть и слышать у нас в гостях, похвалить и поругать ведущих можно в комментариях на YouTube или по адресу: [email protected]