Episodi

  • Атаки на цепочки поставок или supply chain attack — это сложный для обнаружения, и при этом очень распространённый вид атак. Можно заполучить уязвимость, используя опенсорс-библиотеку, а можно пропустить «вредоноса» через незащищённого подрядчика. И то, и другое несет угрозу уже непосредственно вашему бизнесу.

    В новом выпуске «Безопасно говоря» с гостями из финансового сектора обсуждаем, как снизить риски атак через цепочки поставок и где эти риски надо отслеживать.

    В гостях:
    Николай Клендар, директор департамента информационной безопасности, Хоум БанкСергей Демидов, директор по информационной безопасности, Московская биржаВедущие:
    Алексей Миртов – руководитель группы продуктов Security & Compliance, Yandex Cloud Рами Мулейс – менеджер продуктов безопасности Yandex Cloud
    Наш подкаст можно не только слушать, но и смотреть: https://clck.ru/36SjGr

    Полезные ссылки:

    ГК «Солар»: ущерб от атак на цепочки поставок в финсекторе: https://rt-solar.ru/events/news/3898/ Вебинар «Как выстроить пайплайн безопасной разработки в Yandex Cloud»: https://www.youtube.com/live/WEMZReeJjwc?si=ywlBjEGYYCIV-QQK
    Знаете, где ещё подстерегают атаки «третьей стороны»? Напишите в комментариях! А чтобы поделиться опытом, поругаться, задать вопрос, предложить свои темы или экспертов, которых надо позвать в гости, пишите по адресу: [email protected]

  • Как думаете, что хуже — дефейс сайта или отказ в обслуживании? И что важнее сегодня для бизнеса, веб или мобильное приложение? С практикующими специалистами обсудили ущерб от атак, их виды и стоимость защиты приложений для бизнеса. На каком уровне необходимо защищать приложения? Поговорили об инструментах защиты и их значимости для компаний разного масштаба и уровня зрелости. Поделились реальными историями и опытом.

    Гости выпуска:

    Антон Антоничев, ИТ-директор METRO РоссияВладимир Прокопенко, эксперт по технической защите R-ONE

    Ведущие:

    Алексей Миртов – руководитель группы продуктов Security & Compliance, Yandex Cloud Рами Мулейс – менеджер продуктов безопасности Yandex Cloud

    Наш подкаст можно не только слушать, но и смотреть: https://clck.ru/36SjGr

    Обещанные ссылки:

    Атаки на мобильные приложения: https://www.kommersant.ru/doc/5481646Исследование Positive Technologies: https://www.ptsecurity.com/ru-ru/research/analytics/web-vulnerabilities-2020-2021/Курс по безопасной разработке: https://yandex.cloud/ru/training/devsecops

    Хотите рассказать о своём опыте в защите от атак на ресурсы компании, задать вопрос, предложить свои темы или экспертов, которых надо позвать в гости? Пишите: [email protected] или заходите в комментарии под видео-версией.

  • Episodi mancanti?

    Fai clic qui per aggiornare il feed.

  • Это самый необычный эпизод подкаста «Безопасно говоря». Наша команда во главе с ведущими — Рами и Алексеем — провела 4 прекрасных дня на международном киберфестивале Positive Hack Days Fest 2. Мы захватили с собой облачный барометр, чтобы измерить отношение к облакам, микрофон, чтобы вам были слышны ответы, и солнцезащитные очки, чтобы защититься от яркого солнца.

    Опросили гостей фестиваля, поговорили с докладчиками, обошли всю огромную площадку PHDays в Лужниках, чтобы передать вам атмосферу события. Получилось как минимум весело, а чтобы было ещё и полезно, оставляем тут ссылки на упомянутые в эпизоде доклады:

    Мария Зубченко с докладом «SLSA: оценка эффективности защиты цепочек поставок в облаке»: https://phdays.com/forum/program/?talk-id=664Антон Черноусов с докладом «Пять острых углов вашего serverless-решения»: https://phdays.com/forum/program/?date=2024%2F5%2F24&talk-id=702Николай Панченко с докладом «Для чего защищать пайплайны развертывания публичных облаков и как это сделать?»: https://phdays.com/forum/program/?talk-id=665Никита Гергель с докладом «Как устроена безопасная разработка в облачном провайдере: https://phdays.com/forum/program/?talk-id=666Вадим Осипов и Дмитрий Руссак с докладом «RCE-уязвимость в Managed ClickHouse глазами специалиста SOC в Yandex Cloud»: https://phdays.com/forum/program/?talk-id=639

    В роли специальных корреспондентов – ведущие подкаста:

    Алексей Миртов – руководитель группы продуктов Security & Compliance, Yandex CloudРами Мулейс – менеджер продуктов безопасности, Yandex Cloud

    Понравился формат? Поддержите нас лайком, подпиской, комментарием! Нашли себя в эпизоде? Поделитесь им с друзьями и коллегами!

    Напоминаем, что наш подкаст можно не только слушать, но и смотреть на YouTube. Плейлист «Безопасно говоря»: https://clck.ru/36SjGr

    Хотите поделиться опытом, поругаться, задать вопрос, предложить свои темы или экспертов, которых надо позвать в гости? Пишите в комментариях или по адресу: [email protected]

  • Позвали в гости мастодонтов рынка и поговорили об актуальной картине угроз для облачных сред. Обсудили сходства и различия инцидентов в локальной и облачной инфраструктуре. Не обошли вниманием специфические средства защиты для облаков – сформировался ли такой рынок в России и каковы его объёмы? Разобрали проблемы доверия, экономику и задачи вендоров и заказчиков. В чём мы сходимся, а где ещё необходимо налаживать диалог.

    Гости выпуска:
    • Алексей Лукацкий — бизнес-консультант по информационной безопасности, Positive Technologies
    • Муслим Меджлумов — директор по продуктам и технологиям, BI.ZONE
    • Евгений Сидоров — CISO, Yandex Cloud

    Ведущий:
    Алексей Миртов — руководитель группы продуктовой архитектуры Security, Yandex Cloud

    Напоминаем, что наш подкаст можно не только слушать, но и смотреть: https://clck.ru/36SjGr

    Если мы не затронули какие-то интересные нюансы в теме угроз для облаков – напишите нам об этом в комментариях на платформах, где это возможно, и мы постараемся раскрыть их в следующих эпизодах. Хотите поделиться опытом, поругаться, задать вопрос, предложить свои темы или экспертов, которых надо позвать в гости? И об этом пишите в комментариях или по адресу: [email protected]

  • Кибербезопасность не может существовать в отрыве от бизнеса, при этом решения по ИБ должен принимать некий конкретный человек. Кто он, с кем он обсуждает свои решения, можно ли воспринимать функцию ИБ как сервис, и как безопасность должна внедряться в культуру компаний? Как это организовано в Северстали, Одноклассниках, Альфа-Банке и можно ли переносить опыт крупного бизнеса на средние и маленькие компании, учитывая разницу в ресурсах. А ещё — к чему CISO должны быть готовы в наступившем году. Дискутируем в двух разрезах: философском и утилитарном.

    Ведущий:

    Рами Мулейс — менеджер продуктов безопасности Yandex Cloud

    Гости:

    Денис Горчаков — Директор по информационной безопасности, ОдноклассникиСергей Гусев — Заместитель директора по информационной безопасности, АО «Северсталь Менеджмент»Сергей Крамаренко — Руководитель департамента кибербезопасности, Альфа-Банк

    Полезные материалы:

    Исследование Yandex Cloud и компании ДРТ «Какие средства информационной безопасности CISO использовали в 2023 году»Подкаст доступен в видео-версии на YouTube

    Поделиться своими историями, предложить темы для новых эпизодов, рассказать, кого хотите видеть и слышать у нас в гостях, похвалить и поругать ведущего можно в комментариях на YouTube или по адресу: [email protected]


  • Нельзя просто взять и не подвести итоги года. В специальном новогоднем выпуске подкаста обсудили, что происходило в 2023 году с регулированием, развитием продуктов ИБ, атаками на бизнес, развитием ИИ. Почему финансовый сектор оказался одним из наиболее передовых. Чем будут озабочены ИБ-специалисты в следующем году и к каким новым задачам надо подготовиться.

    А чтобы подведение итогов было максимально разносторонним, собрали для этого выпуска специалистов разных направлений из Yandex Cloud.

    Участники выпуска:
    • Рами Мулейс, менеджер продуктов безопасности
    • Алексей Миртов, руководитель группы продуктов Security & Compliance
    • Екатерина Липова, руководитель направления по защите данных
    • Александр Долбнев, руководитель группы по работе с финансовым сектором
    • Никита Гергель, руководитель Security & Compliance

    ▶️ Все эпизоды в плей-листе на YouTube: https://clck.ru/36SjGr

    И конечно самое главное — пожелания в конце выпуска. Обязательно послушайте и поделитесь своими итогами и планами в комментариях. А лучшим новогодним подарком для нас будет ваша поддержка: лайк-подписка-комментарий! Поделиться своими идеями по развитию подкаста вы можете под видео в YT либо по адресу: [email protected].

  • Развитие высокотехнологичной медицины влияет на жизнь каждого человека, но в работе с медицинскими данными есть множество нюансов. В последнем эпизоде третьего сезона нашего подкаста говорим о том, кем и какие медицинские данные сегодня собираются, для чего используются, а также как и от чего их нужно защищать.

    Из эпизода вы узнаете, можно ли смоделировать человека и для чего нужен банк с биологическими данными. Чем персонализированная медицина отличается от стандартизированной, и при чём тут машинное обучение. Какие проекты цифровой медицины развиваются в России и мире и почему огромная их часть — обеспечение безопасности. И насколько всё это повышает наши шансы на долгую, комфортную жизнь.

    Ведущий:
    • Рами Мулейс, менеджер продуктов безопасности Yandex Cloud

    Гости:
    • Александр Ракитько, директор по продукту Genotek
    • Валерия Кузоватова, директор Департамента развития клинических и образовательных проектов ФГАОУ ВО Первый МГМУ им. И. М. Сеченова Минздрава России (Сеченовский Университет)
    • Константин Бражников, руководитель проекта «Цифровой биобанк» ФГАОУ ВО Первый МГМУ им. И. М. Сеченова Минздрава России (Сеченовский Университет)

    Все эпизоды в плей-листе на YouTube: https://clck.ru/36SjGr


    Было ли вам интересно послушать про настоящее и будущее цифровой медицины? Напишите нам в комментариях! Хотите поделиться опытом, поругаться, задать вопрос, предложить свои темы для новых эпизодов или экспертов, которых надо позвать в гости? И об этом пишите в комментариях или по адресу: [email protected].

  • Говорим про умные автономные устройства — то есть, обо всём, что может самостоятельно передвигаться по городским дорогам, рельсам, по нашим домам, промышленным карьерам или огромным складам.

    Какие существуют уровни автономности? Сильно ли робот-пылесос отличается от умного электрокара, и в чём именно? Зачем роверам-доставщикам милые мордашки, и получат ли автомобили будущего такую же «дружелюбную» внешность? Может ли хакер захватить управление несущимся по автобану смарткаром, и что в таком случае будет с водителем? Как выглядит «черный ящик» самоуправляемой машины, и что в нём хранится? Какая инфраструктура нужна для распространения «умного» транспорта и, наконец, как всё это обезопасить? Раньше мы видели такое только в кино, а теперь всё чаще встречаем в жизни. Пристёгивайтесь, поехали!

    Ведущие:
    • Антон Черноусов, Developer Advocate Yandex Cloud
    • Алексей Миртов, руководитель группы продуктов Security & Compliance Yandex Cloud

    Гости:
    • Борис Рютин, руководитель группы безопасности умных устройств и беспилотных технологий Яндекса
    • Кирилл Ильин, CISO СберАвто

    Все эпизоды в видео-версии в плей-листе на YouTube: https://clck.ru/36SjGr

    О каких аспектах безопасности автономного транспорта мы не рассказали? Напишите нам в комментариях! Хотите поделиться опытом, поругаться, задать вопрос, предложить свои темы для новых эпизодов или экспертов, которых надо позвать в гости? И об этом пишите в комментариях или по адресу: [email protected]

  • Начинаем новый сезон подкаста, посвящённый технологиям, которые окажут влияние на наше будущее. AI — искусственный интеллект — стал «словом 2023 года», по версии словаря Collins Dictionary. Развитие ИИ стало одной из главных тем в технологическом мире.
    По данным исследования Yandex Cloud, более 50% крупных компаний в России уже используют ИИ в своей работе, ещё 26% — планируют это делать. Аналитики международных исследовательских агентств прогнозируют колоссальные изменения в мировой экономике, связанные с внедрением машинного обучения в производственные процессы. Но большая технологическая революция только начинается — как в бизнесе, так и в других областях. Насколько сильное влияние развитие ИИ оказывает и ещё окажет на сферу информационной безопасности, зло это или добро и что вообще происходит — разбирались в этом эпизоде.

    Ведущие:

    • Антон Черноусов, Developer Advocate Yandex Cloud
    • Рами Мулейс, менеджер продуктов безопасности Yandex Cloud

    В гостях:

    • Евгений Латышев, тимлид команды Data Science, Циан
    • Владислав Тушканов, руководитель группы исследований и разработки технологий машинного обучения в «Лаборатории Касперского»

    Партнёр выпуска: телеграм-канал «Порвали два трояна»

    Подкаст доступен в видео-версии на YouTube: https://clck.ru/35xLaf

    Знаете какие-то важные аспекты развития ИИ для ИБ, о которых мы забыли упомянуть? Напишите об этом в комментариях к видео-версии. Если хотите поделиться опытом, задать вопрос, предложить свои темы для новых эпизодов или экспертов — тоже пишите в комментариях или по адресу: [email protected].

  • Наконец-то позвали в гости настоящих хакеров. Но есть нюанс. В этом выпуске рассказываем про тех, кто выбрал светлую сторону: как становятся пентестерами, какие специфические моменты есть в этой профессии, почему компании доверяют тестирование своих ИТ-инфраструктур внешним специалистам. И, наконец, почему лучше не называть пентестеров хакерами.

    Погрузились в тему глубоко и надеемся, что получилось интересно и вдохновляюще.

    Ведущие:
    • Антон Черноусов, Developer Advocate Yandex Cloud
    • Рами Мулейс, менеджер продуктов безопасности Yandex Cloud

    Гости:
    • Павел Загуменнов, руководитель продукта BI.ZONE CPT
    • Егор Богомолов, CEO Singleton Security & CyberEd

    Подкаст доступен в видео-версии на YouTube: https://clck.ru/35xLaf

    А вы доверили бы заниматься взломом своей информационной системы внешним специалистам, пусть даже очень хорошим? Напишите в комментариях! Если хотите поделиться опытом, задать вопрос, предложить свои темы для новых эпизодов или экспертов — тоже пишите в комментариях или по адресу: [email protected].

  • В последние два года хакерские атаки на российские компании не только участились, но и стали гораздо более мощными и изощрёнными. За каждой «удачной» атакой — потеря денег, данных, штрафы от регулятора и репутационные риски для компаний. Сегодня говорим про мониторинг событий безопасности с помощью SIEM: что это, зачем и как правильно применять.

    В этом эпизоде обсуждаем: нужно ли отдельно строить мониторинг событий безопасности и для чего; как оценивать эффективность инструментов мониторинга и нужно ли проверять их на практике, а главное — как это сделать; за что отвечают специалисты SOC и где они обитают. А также — с чего начать если нужно внедрить систему мониторинга и как это сделать, если вы в облаках?

    Ведущие:
    · Антон Черноусов: Developer Advocate Yandex Cloud
    · Алексей Миртов: Руководитель группы продуктов Security & Compliance Yandex Cloud

    Гости:
    · Алексей Леднёв: Руководитель отдела обнаружения атак экспертного центра безопасности Positive Technologies
    · Илья Маркелов: Руководитель направления развития единой корпоративной платформы «Лаборатории Касперского»

    Подкаст доступен в видео-версии на YouTube: https://clck.ru/35xLaf

    Если вы используете системы управления информационной безопасностью и событиями безопасности у себя, хотите поделиться опытом или задать нам вопрос, предложить свои темы для новых эпизодов или позвать экспертов, которым доверяете — напишите об этом в комментариях на YouTube или по адресу: [email protected].

  • Что такое «бумажная» и «практическая» безопасность, почему ИБ-специалисты часто разделяют эти понятия, откуда берутся «бумажные» требования и всегда ли им следуют на практике? В чем специфика стандартов ИБ для облака? И успевают ли эти самые стандарты меняться вместе с рынком? В новом эпизоде обсудили эти и многие другие вопросы, поделились опытом и лайфхаками и пришли к неожиданным выводам.

    Ведущие:
    • Антон Черноусов, Developer Advocate Yandex Cloud
    • Рами Мулейс, менеджер продуктов безопасности Yandex Cloud

    Гости:
    • Егор Кузнецов, коммерческий директор Б-152
    • Алексей Кузнецов, технический руководитель направления анализа защищённости МТС RED

    Подкаст доступен в видео-версии на YouTube: https://clck.ru/35ZvEn

    Поделиться своим историями о «бумажной» и практической безопасности, предложить свои темы для новых эпизодов, рассказать, кого хотите видеть и слышать у нас в гостях, похвалить и поругать ведущих можно в комментариях на YouTube или по адресу: [email protected].

  • В специальном аудио-эпизоде подкаста «Безопасно говоря» трое специалистов поговорили про соревнования в области кибербезопасности, CTF. Вспомнили Bank Security Challenge: как старт соревнований пришлось переносить из-за внезапно найденной уязвимости, сколько было участников и почему это было очень круто. Порассуждали про приложение опыта соревнований к реальным задачам и CTF как элемент образовательной системы: почему это важная часть становления специалиста по ИБ и в чём роль сообщества. А также о том, как исторически складывались правила соревнований CTF.

    Участники:
    • Антон Черноусов, Developer Advocate Yandex Cloud
    • Рами Мулейс, менеджер продуктов безопасности Yandex Cloud
    • Алексей Хайдин, ведущий специалист по анализу защищённости, участник команды DERED

    Полезные ссылки:
    • Offensive security: откуда берутся пентестеры: https://cloud.yandex.ru/blog/posts/2023/01/ctf-and-pentest
    • Проверка боем: чем полезны СTF-соревнования и как их организовать?: https://clck.ru/35UVAv
    • Соревнование по кибербезопасности: https://bsc.dered.io/


    Хотите поделиться своим историями про соревнования, рассказать о собственном опыте захвата флага, предложить свои темы для новых эпизодов, рассказать, кого хотите видеть и слышать у нас в гостях, похвалить и поругать ведущих можно по адресу: [email protected]

  • Актуальные угрозы и новые подходы к защите промышленных ИТ-инфраструктур — какие они? Какие плюсы и минусы видят компании промышленной отрасли в переходе к облачной инфраструктуре?

    В третьем эпизоде подкаста «Безопасно говоря» обсуждаем, как меняются стратегии безопасности в ИТ для промышленного сектора. Какие ключевые изменения в векторах атак злоумышленников наблюдались за последнее время. Насколько отрасль готова к новым вызовам, и что изменилось кардинально в построении моделей угроз и расчете рисков.

    Ведущие:
    · Антон Черноусов, Developer Advocate Yandex Cloud
    · Алексей Миртов, руководитель группы продуктовой архитектуры Security & Compliance Yandex Cloud

    Гости:

    · Сергей Репринцев, CTO «Ультиматек»
    · Сергей Черкасов, начальник управления информационной безопасности «ФосАгро»

    Подкаст доступен в видео-версии на YouTube.

    Поделиться своим историями о важности защиты ИТ-инфраструктуры критических объектов, предложить свои темы для новых эпизодов, рассказать, кого хотите видеть и слышать у нас в гостях, похвалить и поругать ведущих можно в комментариях на YouTube или по адресу: [email protected]

  • Информационная безопасность — это не состояние, это процесс. А для того, чтобы этот процесс двигался в нужную сторону, надо развивать культуру ИБ в компаниях.

    С вами второй эпизод подкаста «Безопасно говоря», в котором мы обсудили: какие косты и другие факторы необходимо учитывать компаниям при миграции в облако, что выгоднее в перспективе трёх-пяти лет, облако или on-premise, и что из этого в реальности безопаснее. А ещё поговорили с гостями из СДЭК и «Азбуки Вкуса» о том, как снизить влияние человеческого фактора при миграции в облако, нужно ли обучать азам ИБ сотрудников крупных ритейл-компаний, почему необходимо побольше автоматизировать и почаще обнимать своих безопасников — и многое другое.

    Ведущие:
    · Антон Черноусов, Developer Advocate Yandex Cloud
    · Алексей Миртов, руководитель группы продуктов Cloud Security & Compliance, Yandex Cloud

    Гости:
    · Павел Куликов, CTO СДЭК
    · Дмитрий Кузеванов, CTO «Азбука вкуса»

    Подкаст доступен в видео-версии на YouTube.

    Поделиться своим опытом миграции в облако и историями, когда «человеческий фактор» сыграл свою роль в ИБ, предложить свои темы для новых эпизодов, рассказать, кого хотите видеть и слышать у нас в гостях, похвалить и поругать ведущих можно в комментариях на YouTube или по адресу: [email protected]

  • Чтобы выстроить безопасную работу в облаках бизнесу, разработке и ИБ необходимо учиться говорить на одном языке. В первом эпизоде подкаста «Безопасно говоря» ведущие и гости обсудили этот процесс с точки зрения финтех-организаций. Поговорили о том, как сделать безопасный банк в облаке с нуля, вовлечь команды ИТ и бизнеса в принятие решений по безопасности, воспитать или найти на рынке секьюрити-чемпионов.

    Ведущие:
    • Антон Черноусов, Developer Advocate Yandex Cloud
    • Рами Мулейс, менеджер продуктов безопасности Yandex Cloud
    Гости:
    • Роберт Сабирянов, кофаундер, CTO банка «Бланк»
    • Павел Арланов, директор по безопасности маркетплейса финансовых и страховых услуг «Сравни»

    Подкаст доступен в видео-версии на YouTube.

    Поделиться своим опытом выстраивания DevSecOps-процессов, предложить свои темы для новых эпизодов, рассказать, кого хотите видеть и слышать у нас в гостях, похвалить и поругать ведущих можно в комментариях на YouTube или по адресу: [email protected]

  • Совсем скоро здесь появится первый эпизод подкаста «Безопасно говоря», в котором бизнес, разработка и ИБ учатся говорить на одном языке. Ведущие — Антон, Рами и Алексей из Yandex Cloud и их гости — специалисты по ИБ, разработчики и руководители бизнеса из разных компаний будут обсуждать работу в облаке в контексте информационной безопасности.

    В первых сезонах вы услышите и увидите гостей из финтеха, ритейла, промышленности, IT, ИБ и других отраслей. Обсудим, как запускать DevSecOps-процессы, выстраивать практическую безопасность, соблюдать требования регуляторов, защищать приложения и многое другое.

    Подкаст запускается на всех популярных платформах и в видеоверсии на YouTube.

    Подпишитесь, чтобы не пропустить!

    Предложить свои темы для новых эпизодов, рассказать, кого хотите видеть и слышать у нас в гостях, похвалить и поругать ведущих можно в комментариях на YouTube или по адресу: [email protected]