🏠 Встреча с командой Identity Access Management

13 мая приглашаем специалистов по безопасности, DevOps- и SRE-инженеров на Yandex Cloud IAM Meetup. Встречаемся в московском офисе Яндекса на Льва Толстого.

В программе три доклада от ребят из Yandex Cloud:

🟣 Максим Попов, старший разработчик Authorization and Organization Services, расскажет о защите refresh-токенов в Yandex Cloud, DPoP и аппаратной PIV-аттестации ключей

🟣 Антон Дедов, архитектор функций безопасности IAM, покажет, как устроена мультирегиональность Yandex Cloud, а ещё расскажет про компромиссы и гарантии безопасности дизайна и UX

🟣 Илья Мартынов, руководитель подразделения IAM Infrastructure в Yandex Cloud, и Александр Мокин, ведущий разработчик Identity Provider, проведут за кулисы OS Login: расскажут про его архитектуру и ключевые особенности в Yandex Cloud

После докладов устроим Q&A и понетворкаем на фуршете.

⏩ Зарегистрироваться и узнать подробности можно здесь.

Подписывайтесь:
💬 @Yandex4Security
📹 @YandexForSecurity

👾 Я, Антиробот: как устроен наш защитник от DDoS-атак и зачем ему CatBoost

Речь про внутренний сервис Яндекса, который защищает нас от атак на уровне L7. Он анализирует все запросы и решает, кого пустить, кому показать капчу, а кого отправить на страницу 403 думать о своём поведении.

При этом Антиробот должен одновременно выдерживать нагрузку всех RPS Яндекса вместе взятых и десятки миллионов RPS во время атак, которые происходят каждый день. И не замедлять работу сервисов для обычных пользователей. Для достижения связки скорость — надёжность мы разделили его на две части.

🟣 Часть первая: самый быстрый ковбой на Диком Западе

Она отвечает на каждый запрос и оценивает его роботность. Защитник записывает небольшую часть факторов запроса: куда он идёт, какие у него заголовки, IP-адрес, был ли он замечен в атаках ранее и так далее. Всего около тысячи факторов.

После над этим факторным пространством запускается лёгкий CatBoost — быстрая модель с малым количеством факторов. Она оценивает подозрительность запроса и решает, пускать его дальше или отправлять на дальнейшую оценку.

🟣 Часть вторая: самый умный ковбой на Диком Западе

Здесь работает куда более сложный и тяжёлый CatBoost, который оценивает десятки тысяч факторов. Например, агрегации по времени или то, на какие ещё сервисы идут запросы с конкретного IP. Если запрос после этого всё ещё выглядит подозрительным — его отправляют на капчу.

🟣 А зачем нам вообще ML

Как показывает практика, ML-модели хорошо отделяют обычный трафик от ботов и позволяют уйти от быстро устаревающих эвристических правил. В данных для их обучения нет недостатка: мы каждый день логируем вредоносные запросы, из которых извлекаем новые факторы для быстрой и умной частей. Выделенные атаки автоматически идут на обучение новых моделей.

🟣 Но не ML’ем единым

Машинное обучение — это круто, но атакующие постоянно ищут новые способы обходить нашу защиту. Так что без работы аналитиков и разработчиков, без постоянного улучшения процессов Антиробот со временем будет терять в качестве.

⏩ А узнать об этих процессах можно тут

Подписывайтесь:
💬 @Yandex4Security
📹 @YandexForSecurity

🛎 Ищем спикеров на big tech night!

Приглашаем выступить 12 сентября в Москве на «Ночи музеев» в мире IT. Одновременно пять российских компаний откроют двери своих офисов и покажут IT-специалистам, как, где и кем создаются технологии для миллионов пользователей. Коллаборацию придумали в Яндексе, а соорганизаторами стали Сбер, X5, Т-Банк и Lamoda.

Мы ждём спикеров, которые готовы поделиться экспертизой и прочитать хардовые технологические доклады.

Всего будет 5 треков — каждый привязан к конкретной площадке. Тема вашего доклада определит офис, в котором вы будете выступать:

🟣 Next-Gen Development — офис Яндекса
🟣 Мультиагентные системы в продукте и бизнес-процессах — офис Сбера
🟣 Архитектура и управление сложными системами — офис X5
🟣 AI для SDLC: от кода до прода — офис Т-Банка
🟣 Создание инфраструктуры для разработки и управление ей — офис Lamoda

⏩ Узнать подробности можно здесь, а заявки принимаются до 30 июня.

Подписывайтесь:
💬 @Yandex4Security
📹 @YandexForSecurity

☁️ Обсуждаем безопасность облаков в подкасте «Как мы делаем Yandex Cloud»

В этом выпуске познакомились с Евгением Сидоровым, директором по информационной безопасности Yandex Cloud, и Евгением Грязновым, менеджером продукта YCDR.

В подкасте эксперты рассказали, как появился YCDR — новый инструмент для выявления ИБ-угроз. А ещё обсудили, какие атаки бывают на облака и как ИИ помогает с ними справляться. В конце приоткрыли завесу над грядущими планами и челленджами.

〰️ Смотрите на ютубе, рутубе и в VK Видео
〰️ Слушайте в Яндекс Музыке или на любой удобной подкаст-платформе

Подписывайтесь:
💬 @Yandex4Security
📹 @YandexForSecurity

💬 Новый сезон подкаста «Безопасно говоря» — уже в эфире!

Он посвящен технологиям, которые меняют взгляд на безопасность и помогают ИБ-специалистам реагировать на атаки практически мгновенно.

Обратная сторона медали — использование новых технологий хакерами. Как сегодня в этой гонке быть на шаг впереди? Разберёмся вместе с экспертами.

Первый выпуск шестого сезона мы записали в выездном формате — прямо с площадки PHDays, главного фестиваля по кибербезопасности. Говорим о самой горячей теме — роли ИИ в атаках и защите.

🟡 Как багхантеры используют нейросети, чтобы находить уязвимости?
🟡 Могут ли злоумышленники взломать беспилотный автомобиль или голосового помощника?
🟡 Что делает ИИ с кибербезопасностью — усиливает или усложняет её?
🟡 И может ли он сам стать уязвимостью?

Обсуждаем с практиками реальные кейсы — полезные, забавные и даже пугающие.

В гостях:
— Сергей Колесников, CTO CICADA8
— Анатолий Иванов, CPO Standoff Bug Bounty
— Роман Астраханцев, AppSec-инженер Алисы и автономного транспорта Яндекса

🎙 Ведущий — Рами Мулейс, руководитель команды Cloud Trust в Yandex Cloud.

📺 YouTube ▶️ Rutube 📺 VK Видео
🥹 Яндекс Музыка и другие подкаст-платформы

И не забудьте подписаться, чтобы не пропустить следующие эпизоды.

#yacloud_podcasts

💕 AI Яндекса официально безопасен и этичен

Мы первыми в России прошли сертификацию ISO 42001. Независимые аудиторы подтвердили, что Яндекс ответственно подходит к созданию и внедрению AI в продукты.

〰️ Что такое ISO 42001

Это международный стандарт для систем менеджмента в организациях, которые разрабатывают или используют решения на основе AI. Он оценивает не сами продукты и технологии, а то, насколько прозрачно, безопасно и эффективно действует компания при разработке и внедрении AI в сервисы.

〰️ Аудит также подтвердил, что мы:

🟣 Обеспечиваем безопасность данных пользователей YandexGPT
🟣 Автоматически мониторим ошибки и аномалии в работе моделей
🟣 Следим за качеством и этичностью ответов
🟣 Анализируем обратную связь от пользователей
🟣 Ведём подробную документацию
🟣 Учитываем этические и социальные риски, которые связаны с развитием AI
🟣 Обучаем сотрудников правилам ответственной разработки

〰️ Какие сервисы Яндекса затрагивает сертификат

Все, в которых есть технологии на базе YandexGPT. Таких у нас больше 20 штук, среди них: Поиск, AI-ассистент Алиса, Нейроэксперт, Реклама, Шедеврум, Умная камера, AI-ассистенты в Яндекс Еде, Маркете и Лавке. А ещё наш AI используют клиенты платформы Yandex Cloud AI Studio.

Подписывайтесь:
💬 @Yandex4Security
📹 @YandexForSecurity

🔒 Строим кибербезопасность вместе

Yandex B2B Tech и компания SolidSoft поделились новостью о создании совместного предприятия. В планах — разработка инструментов кибербезопасности, которые помогут бизнесу защитить свои веб-приложения от угроз и атак.

〰️ Зачем?

🟣 Для обмена опытом и синтеза технологий. Сделка поможет объединить межсетевой экран SolidWall WAF и облачный сервис Smart Web Security от Yandex Cloud, специализирующийся на защите от DDoS-атак и ботов.

Совместные разработки можно будет использовать как в облаке, так и on-premises. А ещё в планах усилить технологии с помощью AI.

〰️ Почему сейчас?

🟣 Спрос как никогда велик! Как говорят в Yandex B2B Tech, российский рынок защиты веб-приложений превысил 30 миллиардов рублей. В Yandex Cloud добавляют: за 2024 год спрос на сервисы кибербезопасности в экосистеме вырос в 2,1 раза.

💕 Желаем удачи и следим за успехами!

Подписывайтесь:
💬 @Yandex4Security
📹 @YandexForSecurity