👩‍🏫 Security-специалисты, ждём вас на Scale 2025

В отдельном треке обсудим, как ИИ помогает безопасникам и бизнесу, поговорим про новые инструменты в составе CNAPP-платформы и кейс миграции решения по защите от DDoS- и веб-атак. А ещё разберём, что эффективнее для защиты — текстовые правила или ML и какую пользу приносит интеграция ИБ-сервисов с продуктами Яндекс 360.

Какие доклады вас ждут:

🟣 AI-агенты в ИБ: от наивного стажёра до доверенного члена команды. Сергей Нестерук, эксперт ML Security в Yandex Cloud

🟣 Миграция на Smart Web Security: кейс ЦИАН. Святослав Грунский, менеджер продуктов безопасности в Yandex Cloud, и Андрей Смирнов, руководитель продуктовой безопасности в ЦИАН

🟣 ML WAF: от текстовых правил к машинному обучению. Семён Григорьев, разработчик Антиробота в Яндексе

И это только малая часть того, что мы подготовили. Полную программу смотрите на сайте. Кстати, ориентироваться по ней вы можете с помощью нашего нейровиджета!

Когда и где:

📆 24 сентября

😬 Москва, БЦ «Амальтея»

📹 Будет трансляция

🆕 Зарегистрироваться на конференцию

Подписывайтесь:
💬 @Yandex4Security
📹 @YandexForSecurity

💕 Привет, вы в канале Yandex for Security

Здесь security-инженеры Яндекса делятся экспертизой, показывают, как работает безопасность в наших сервисах, и обсуждают новости индустрии.

Посты, которые могут вас заинтересовать:

🟣 Во что играют разработчики Яндекса — рассказываем про соревнования Capture the Flag

🟣 Как мы обеспечиваем защиту и конфиденциальность данных

🟣 Что такое YCDR и где его попробовать

🟣 Я, Антиробот: как устроен наш защитник от DDoS-атак и зачем ему CatBoost

🟣 Что нам делать со сторонними куками

Какие ещё каналы вам понравятся:

🧬 Yandex for Teamleads. Здесь собираются тимлиды, техлиды и другие управленцы в IT

🧬 Наш ютуб для security. Канал Яндекса для всех, кто горит компьютерной безопасностью

🧬 Yandex for Developers. Канал Яндекса о технологиях и людях, которые их создают. Общий хаб для всех стеков и разрабов

Подписывайтесь:
💬 @Yandex4Security
📹 @YandexForSecurity

⚙️ Наш коллега нашёл критическую уязвимость в Google Chrome

Инженер из Yandex Security Team сообщил о серьёзной уязвимости CVE-2025-9864 в движке V8, который обрабатывает JavaScript. Через неё злоумышленники могут удалённо выполнить вредоносный код на компьютере. Ребята из Google уже отреагировали на сообщение.

Поэтому рекомендуем обновиться. Для этого достаточно перейти в раздел «О браузере Google Chrome» в настройках, где система автоматически предложит установить актуальную версию.

Подписывайтесь:
💬 @Yandex4Security
📹 @YandexForSecurity

👩‍🏫 Yandex Neuro Scale 2025 уже сегодня!

Подключайтесь к онлайн-трансляции, на которой спикеры из IT-индустрии поделятся технологической и бизнес‑экспертизой, анонсами и практическими рекомендациями.

Вас ждут доклады по трекам:

🟣 Infrastructure — эволюция от дата‑центров и Bare Metal до новых платформ, AI‑интеграций и умных инструментов управления. Расширенные сценарии использования сервисов и практики повышения отказоустойчивости

🟣 DevOps — автоматизация инженерных процессов и развитие культуры: платформа SourceCraft, новые возможности в Kubernetes, Observability и Serverless в DevOps

🟣 Data — платформа данных Yandex Cloud, масштаб, архитектура, крупные внедрения, развитие ключевых сервисов и вклад в опенсорс

🟣 AI Studio — в каком направлении развивается платформа AI Studio, какие компоненты в неё входят, как на их основе создавать собственные AI‑сервисы и какие обновления представят команды

🟣 AI in action — готовые AI-сервисы Яндекса, их применение на практике и реальная польза для бизнеса

🟣 Security — актуальные подходы к облачной информационной безопасности, неизбежное применение AI, новые инструменты в составе CNAPP-платформы, опыт миграции на наши решения и сравнение текстовых правил и машинного обучения

🟣 Cases — руководители проектов, IT‑директора и технические эксперты расскажут истории о реализованных проектах в разных отраслях, где облачные технологии помогли решить стратегические задачи и достичь значимых бизнес‑результатов

Полная программа конференции есть на сайте. Кстати, ориентироваться по ней вы можете с помощью нашего нейровиджета!

⏩ Смотреть трансляцию

Подписывайтесь:
💬 @Yandex4Security
📹 @YandexForSecurity

⚙️ Недостаток использования смарт-карт в тирной модели: как одно решение может привести к уязвимости всей инфраструктуры безопасности

Когда мы внедряем смарт-карты для администраторов в Windows-инфраструктуре, мы ждём, что рисков, связанных с кражей паролей, станет меньше. Но оказывается, что штатный механизм использования смарт-карт имеет фундаментальный недостаток. Например, ваши администраторы заходят по RDP на сервер, чтобы его настроить. А сервер уже скомпрометирован — и злоумышленник может использовать проброшенные сертификаты администратора, чтобы аутентифицироваться под административной учётной записью, закрепиться в инфраструктуре и развить атаку на остальные критические системы компании с помощью скомпрометированных учёток.

🏠 Павел Черёмушкин и Анатолий Василенко из команды инженеров безопасности Яндекса детально разобрали на OFFZONE 2025, почему так происходит. А ещё предложили своё решение, так как готовые инструменты от Microsoft имеют ограничения и не покрывают все необходимые сценарии использования.

⏩ В чём проблема

В классической тирной модели инфраструктуры у админов несколько учётных записей для разных уровней доступа в нескольких AD-доменах. Чтобы пароли не повторялись и не хранились на листочках, в систему аутентификации внедряют смарт-карты. Пароль от учёток меняется на случайный, а для входа используют физический токен и ПИН-код. Кажется, что это идеальное решение.

⏩ Но есть нюанс: проброс сертификатов по RDP

Когда админ подключается к серверу с галочкой «Проброс смарт-карты», на атакованный хост пробрасываются все сертификаты со всех его смарт-карт. В этот момент злоумышленник может использовать любой из них для аутентификации под любой из учётных записей администратора. Так он может получить доступ к системам из других защищённых контуров. И через один скомпрометированный сервер будет взломана вся инфраструктура компании.

⏩ Ребята перебрали стандартные решения Microsoft для безопасного удалённого доступа. Увы, они не подошли:

🟣 Restricted Admin. Не работает на доменных контроллерах и требует прав локального администратора, поэтому не подходит для пользователей. При выполнении double hop (подключении с сервера на сервер по цепочке) аутентификация идёт от имени компьютера — это мешает администрированию сервисов, состоящих из нескольких компонент

🟣 Remote Credential Guard. Он тоже не работает на доменных контроллерах, а в новых версиях Windows его ещё и постоянно ломают. К тому же эта технология открывает новые возможности для перемещения внутри инфраструктуры

⏩ Поскольку готовых инструментов нет, Павел и Анатолий разработали инструменты, которые реализуют следующий подход:

🟣 Внедрение в процесс RDP-клиента. Использовали Application Verifier DLLs и COM Hijacking для перехвата интересных нам функций

🟣 Хук вызовов, которыми обмениваются сервер и смарт-карта. С помощью перехвата функции SCardTransmit можно анализировать, какой именно сертификат пытаются использовать для доступа

Это лишь верхушка айсберга. В полном выступлении — технические детали реализации проекта, его подводные камни, разбор APDU-запросов и ответы на вопросы о break-glass-доступе.

📺 Посмотреть доклад можно здесь.

Подписывайтесь:
💬 @Yandex4Security
📹 @YandexForSecurity

⚙️ Фестиваль технологий и инженерного воображения

24 сентября мы провели Yandex Neuro Scale — главную конференцию Yandex Cloud. Традиционно многие интерактивы и активности создавали сами разработчики для разработчиков.

Что происходило на площадке:

🟣 Говорящие грибы. Мы подключили мицелий к нейросетям через нейроинтерфейс. Грибы генерировали сигналы, которые YandexGPT превращала в текст, а SpeechKit — в голос

🟣 Серваки и сосиски. На стенде Infrastructure гости собирали серверы, а мы наглядно тестировали безопасность стоек с помощью пальцев-сосисок

🟣 Хаос в Контейнерленде. Мы создали отдельную вселенную, где сервисы не отвечают, поды падают, а хранилища недоступны. Участники могли попробовать себя в роли мастера K8s и исправить типичные ошибки в коде, чтобы всё спасти

🟣 Мечты о будущем можно было визуализировать на платформе SourceCraft, попрограммировав немного с ИИ-ассистентом и подправив YAML-конфиг. Все результаты стали частью частью общего «вихря образов»

Ребята прочитали более 50 докладов, провели 14 воркшопов и организовали 9 зон экспо. Кстати, на офлайн-часть конфы пришли три тысячи участников! Окунуться в атмосферу Yandex Neuro Scale можно по ссылкам ниже ⬇️

〰️ Фото
〰️ Презентации
〰️ Доклады

⏩ А полный разбор нашего техноперформанса вы можете почитать на Хабре.

Подписывайтесь:
💬 @Yandex4Security
📹 @YandexForSecurity

⚪️ Как сварить ISO 27001 по рецепту Яндекс 360

Представьте, что ваша компания — это большая шумная кухня. Десятки ингредиентов-сервисов, свои вкусы и специи-процессы. Как приготовить из этого всего безопасное, вкусное и сертифицированное по мировым стандартам блюдо?

Меня зовут Люзия Алфёрова, и я консультант по информационной безопасности в Яндекс 360. Сегодня я поделюсь проверенным рецептом внедрения ISO/IEC 27001. А также приёмами, которые помогают нашей команде выдерживать технологический процесс так, чтобы ни одна деталь не была упущена, ничего не пригорело и информационная безопасность получалась стабильно высокого качества.

🍽️ Давайте заглянем на нашу кухню и узнаем, зачем нам вообще нужен этот ISO

Сертификация ISO/IEC 27001 — подтверждение того, что в компании внедрена и эффективно работает система управления информационной безопасностью, которая соответствует международным стандартам. За что она отвечает:

🟣 Единые правила игры. Все команды работают по одним и тем же базовым рецептам

🟣 Прозрачность и контроль. Мы заранее знаем, какие ингредиенты могут испортить блюдо

🟣 Доверие клиентов и партнёров. Подтверждение того, что наши сервисы безопасны

🟣 Непрерывное улучшение. Мы постоянно оттачиваем наши рецепты защиты

🟣 Баланс между стандартизацией и гибкостью. ISO/IEC 27001 помогает нам найти золотую середину

⏩ Как мы готовим основу для сертификации

Как и на хорошей кухне, мы начинаем с подготовки ингредиентов и проверки оборудования. Вот три ключевых принципа:

🟣 Единство без унификации. Мы варим архитектурный бульон вместе: общие процессы, автоматизацию, контроль. Но каждый сервис сохраняет свой уникальный вкус. Нет подчинения, есть общий ритм и постоянный обмен лучшими практиками

🟣 Планирование вместо импровизации. Крупные изменения и обновления не случаются внезапно. Мы заранее тестируем новинки на дегустационных пробах, вместе корректируем рецепты и только потом запускаем в продакшен

🟣 Аудит как помощь, а не наказание. Независимая команда внутреннего аудита регулярно пробует каждый сервис на вкус. Её цель — вовремя заметить слабые места и помочь скорректировать курс, а не искать виноватых

⏩ Добавляем специи по вкусу

Без базового набора специй (IAM, логирование, чек-листы) не получится ни одного блюда. Эти практики внедряются во все сервисы по умолчанию. А дальше начинается магия!

Почта требует «долгого тушения» — значит, делаем по-своему. Новый сервис хочет добавить свою специю — пожалуйста! Главное, чтобы результат был безопасным и вкусным. А лучшие находки мы фиксируем на общей доске решений.

В большой кухне всё держится не только на продуктах, но и на знании приёмов готовки. Наши ISO-рецепты — это не сухая теория, а опыт десятков дегустаций, коллективных обсуждений и проверок, которые делают систему устойчивой и живой.

📖 Если хотите узнать все секреты от шефа, читайте полный разбор нашего фирменного рецепта на Хабре.

Подписывайтесь:
💬 @Yandex4Security
📹 @YandexForSecurity