Безопасно говоря

Это самый необычный эпизод подкаста «Безопасно говоря». Наша команда во главе с ведущими — Рами и Алексеем — провела 4 прекрасных дня на международном киберфестивале Positive Hack Days Fest 2. Мы захватили с собой облачный барометр, чтобы измерить отношение к облакам, микрофон, чтобы вам были слышны ответы, и солнцезащитные очки, чтобы защититься от яркого солнца.Опросили гостей фестиваля, поговорили с докладчиками, обошли всю огромную площадку PHDays в Лужниках, чтобы передать вам атмосферу события. Получилось как минимум весело, а чтобы было ещё и полезно, оставляем тут ссылки на упомянутые в эпизоде доклады:Мария Зубченко с докладом «SLSA: оценка эффективности защиты цепочек поставок в облаке»: https://phdays.com/forum/program/?talk-id=664Антон Черноусов с докладом «Пять острых углов вашего serverless-решения»: https://phdays.com/forum/program/?date=2024%2F5%2F24&talk-id=702Николай Панченко с докладом «Для чего защищать пайплайны развертывания публичных облаков и как это сделать?»: https://phdays.com/forum/program/?talk-id=665Никита Гергель с докладом «Как устроена безопасная разработка в облачном провайдере: https://phdays.com/forum/program/?talk-id=666Вадим Осипов и Дмитрий Руссак с докладом «RCE-уязвимость в Managed ClickHouse глазами специалиста SOC в Yandex Cloud»: https://phdays.com/forum/program/?talk-id=639В роли специальных корреспондентов – ведущие подкаста:Алексей Миртов – руководитель группы продуктов Security & Compliance, Yandex CloudРами Мулейс – менеджер продуктов безопасности, Yandex CloudПонравился формат? Поддержите нас лайком, подпиской, комментарием! Нашли себя в эпизоде? Поделитесь им с друзьями и коллегами! Напоминаем, что наш подкаст можно не только слушать, но и смотреть на YouTube. Плейлист «Безопасно говоря»:  https://clck.ru/36SjGrХотите поделиться опытом, поругаться, задать вопрос, предложить свои темы или экспертов, которых надо позвать в гости? Пишите в комментариях или по адресу: cloudpodcast@yandex.ru

Позвали в гости мастодонтов рынка и поговорили об актуальной картине угроз для облачных сред. Обсудили сходства и различия инцидентов в локальной и облачной инфраструктуре. Не обошли вниманием специфические средства защиты для облаков – сформировался ли такой рынок в России и каковы его объёмы? Разобрали проблемы доверия, экономику и задачи вендоров и заказчиков. В чём мы сходимся, а где ещё необходимо налаживать диалог.   Гости выпуска:  • Алексей Лукацкий — бизнес-консультант по информационной безопасности, Positive Technologies • Муслим Меджлумов — директор по продуктам и технологиям, BI.ZONE • Евгений Сидоров — CISO, Yandex CloudВедущий:Алексей Миртов — руководитель группы продуктовой архитектуры Security, Yandex CloudНапоминаем, что наш подкаст можно не только слушать, но и смотреть: https://clck.ru/36SjGrЕсли мы не затронули какие-то интересные нюансы в теме угроз для облаков – напишите нам об этом в комментариях на платформах, где это возможно, и мы постараемся раскрыть их в следующих эпизодах. Хотите поделиться опытом, поругаться, задать вопрос, предложить свои темы или экспертов, которых надо позвать в гости? И об этом пишите в комментариях или по адресу: cloudpodcast@yandex.ru

Кибербезопасность не может существовать в отрыве от бизнеса, при этом решения по ИБ должен принимать некий конкретный человек. Кто он, с кем он обсуждает свои решения, можно ли воспринимать функцию ИБ как сервис, и как безопасность должна внедряться в культуру компаний? Как это организовано в Северстали, Одноклассниках, Альфа-Банке и можно ли переносить опыт крупного бизнеса на средние и маленькие компании, учитывая разницу в ресурсах. А ещё — к чему CISO должны быть готовы в наступившем году. Дискутируем в двух разрезах: философском и утилитарном. Ведущий:Рами Мулейс — менеджер продуктов безопасности Yandex CloudГости:Денис Горчаков — Директор по информационной безопасности, ОдноклассникиСергей Гусев — Заместитель директора по информационной безопасности, АО «Северсталь Менеджмент»Сергей Крамаренко — Руководитель департамента кибербезопасности, Альфа-БанкПолезные материалы:Исследование Yandex Cloud и компании ДРТ «Какие средства информационной безопасности CISO использовали в 2023 году»Подкаст доступен в видео-версии на YouTubeПоделиться своими историями, предложить темы для новых эпизодов, рассказать, кого хотите видеть и слышать у нас в гостях, похвалить и поругать ведущего можно в комментариях на YouTube или по адресу: cloudpodcast@yandex.ru

Нельзя просто взять и не подвести итоги года. В специальном новогоднем выпуске подкаста обсудили, что происходило в 2023 году с регулированием, развитием продуктов ИБ, атаками на бизнес, развитием ИИ. Почему финансовый сектор оказался одним из наиболее передовых. Чем будут озабочены ИБ-специалисты в следующем году и к каким новым задачам надо подготовиться. А чтобы подведение итогов было максимально разносторонним, собрали для этого выпуска специалистов разных направлений из Yandex Cloud. Участники выпуска: • Рами Мулейс, менеджер продуктов безопасности • Алексей Миртов, руководитель группы продуктов Security & Compliance • Екатерина Липова, руководитель направления по защите данных • Александр Долбнев, руководитель группы по работе с финансовым сектором  • Никита Гергель, руководитель Security & Compliance ▶️ Все эпизоды в плей-листе на YouTube: https://clck.ru/36SjGrИ конечно самое главное — пожелания в конце выпуска. Обязательно послушайте и поделитесь своими итогами и планами в комментариях. А лучшим новогодним подарком для нас будет ваша поддержка: лайк-подписка-комментарий! Поделиться своими идеями по развитию подкаста вы можете под видео в YT либо по адресу: cloudpodcast@yandex.ru.

Развитие высокотехнологичной медицины влияет на жизнь каждого человека, но в работе с медицинскими данными есть множество нюансов. В последнем эпизоде третьего сезона нашего подкаста говорим о том, кем и какие медицинские данные сегодня собираются, для чего используются, а также как и от чего их нужно защищать. Из эпизода вы узнаете, можно ли смоделировать человека и для чего нужен банк с биологическими данными. Чем персонализированная медицина отличается от стандартизированной, и при чём тут машинное обучение. Какие проекты цифровой медицины развиваются в России и мире и почему огромная их часть — обеспечение безопасности. И насколько всё это повышает наши шансы на долгую, комфортную жизнь. Ведущий:•  Рами Мулейс, менеджер продуктов безопасности Yandex CloudГости: • Александр Ракитько, директор по продукту Genotek • Валерия Кузоватова, директор Департамента развития клинических и образовательных проектов ФГАОУ ВО Первый МГМУ им. И. М. Сеченова Минздрава России (Сеченовский Университет) • Константин Бражников, руководитель проекта «Цифровой биобанк» ФГАОУ ВО Первый МГМУ им. И. М. Сеченова Минздрава России (Сеченовский Университет)Все эпизоды в плей-листе на YouTube: https://clck.ru/36SjGrБыло ли вам интересно послушать про настоящее и будущее цифровой медицины? Напишите нам в комментариях! Хотите поделиться опытом, поругаться, задать вопрос, предложить свои темы для новых эпизодов или экспертов, которых надо позвать в гости? И об этом пишите в комментариях или по адресу: cloudpodcast@yandex.ru.

Говорим про умные автономные устройства — то есть, обо всём, что может самостоятельно передвигаться по городским дорогам, рельсам, по нашим домам, промышленным карьерам или огромным складам. Какие существуют уровни автономности? Сильно ли робот-пылесос отличается от умного электрокара, и в чём именно? Зачем роверам-доставщикам милые мордашки, и получат ли автомобили будущего такую же «дружелюбную» внешность? Может ли хакер захватить управление несущимся по автобану смарткаром, и что в таком случае будет с водителем? Как выглядит «черный ящик» самоуправляемой машины, и что в нём хранится? Какая инфраструктура нужна для распространения «умного» транспорта и, наконец, как всё это обезопасить? Раньше мы видели такое только в кино, а теперь всё чаще встречаем в жизни. Пристёгивайтесь, поехали!Ведущие:  • Антон Черноусов, Developer Advocate Yandex Cloud • Алексей Миртов, руководитель группы продуктов Security & Compliance Yandex CloudГости:  • Борис Рютин, руководитель группы безопасности умных устройств и беспилотных технологий Яндекса • Кирилл Ильин, CISO СберАвтоВсе эпизоды в видео-версии в плей-листе на YouTube: https://clck.ru/36SjGr О каких аспектах безопасности автономного транспорта мы не рассказали? Напишите нам в комментариях! Хотите поделиться опытом, поругаться, задать вопрос, предложить свои темы для новых эпизодов или экспертов, которых надо позвать в гости? И об этом пишите в комментариях или по адресу: cloudpodcast@yandex.ru

Начинаем новый сезон подкаста, посвящённый технологиям, которые окажут влияние на наше будущее. AI — искусственный интеллект — стал «словом 2023 года», по версии словаря Collins Dictionary. Развитие ИИ стало одной из главных тем в технологическом мире.По данным исследования Yandex Cloud, более 50% крупных компаний в России уже используют ИИ в своей работе, ещё 26% — планируют это делать. Аналитики международных исследовательских агентств прогнозируют колоссальные изменения в мировой экономике, связанные с внедрением машинного обучения в производственные процессы. Но большая технологическая революция только начинается — как в бизнесе, так и в других областях. Насколько сильное влияние развитие ИИ оказывает и ещё окажет на сферу информационной безопасности, зло это или добро и что вообще происходит — разбирались в этом эпизоде.Ведущие: • Антон Черноусов, Developer Advocate Yandex Cloud • Рами Мулейс, менеджер продуктов безопасности Yandex CloudВ гостях:  • Евгений Латышев, тимлид команды Data Science, Циан • Владислав Тушканов, руководитель группы исследований и разработки технологий машинного обучения в «Лаборатории Касперского»Партнёр выпуска: телеграм-канал «Порвали два трояна»Подкаст доступен в видео-версии на YouTube: https://clck.ru/35xLafЗнаете какие-то важные аспекты развития ИИ для ИБ, о которых мы забыли упомянуть? Напишите об этом в комментариях к видео-версии. Если хотите поделиться опытом, задать вопрос, предложить свои темы для новых эпизодов или экспертов — тоже пишите в комментариях или по адресу: cloudpodcast@yandex.ru.

Наконец-то позвали в гости настоящих хакеров. Но есть нюанс. В этом выпуске рассказываем про тех, кто выбрал светлую сторону: как становятся пентестерами, какие специфические моменты есть в этой профессии, почему компании доверяют тестирование своих ИТ-инфраструктур внешним специалистам. И, наконец, почему лучше не называть пентестеров хакерами. Погрузились в тему глубоко и надеемся, что получилось интересно и вдохновляюще.  Ведущие:  • Антон Черноусов, Developer Advocate Yandex Cloud • Рами Мулейс, менеджер продуктов безопасности Yandex CloudГости:  • Павел Загуменнов, руководитель продукта BI.ZONE CPT  • Егор Богомолов, CEO Singleton Security & CyberEdПодкаст доступен в видео-версии на YouTube: https://clck.ru/35xLafА вы доверили бы заниматься взломом своей информационной системы внешним специалистам, пусть даже очень хорошим? Напишите в комментариях! Если хотите поделиться опытом, задать вопрос, предложить свои темы для новых эпизодов или экспертов — тоже пишите в комментариях или по адресу: cloudpodcast@yandex.ru.

В последние два года хакерские атаки на российские компании не только участились, но и стали гораздо более мощными и изощрёнными. За каждой «удачной» атакой — потеря денег, данных, штрафы от регулятора и репутационные риски для компаний. Сегодня говорим про мониторинг событий безопасности с помощью SIEM: что это, зачем и как правильно применять.В этом эпизоде обсуждаем: нужно ли отдельно строить мониторинг событий безопасности и для чего; как оценивать эффективность инструментов мониторинга и нужно ли проверять их на практике, а главное — как это сделать; за что отвечают специалисты SOC и где они обитают. А также — с чего начать если нужно внедрить систему мониторинга и как это сделать, если вы в облаках?Ведущие: · Антон Черноусов: Developer Advocate Yandex Cloud· Алексей Миртов: Руководитель группы продуктов Security & Compliance Yandex Cloud Гости:· Алексей Леднёв: Руководитель отдела обнаружения атак экспертного центра безопасности Positive Technologies· Илья Маркелов: Руководитель направления развития единой корпоративной платформы «Лаборатории Касперского»Подкаст доступен в видео-версии на YouTube: https://clck.ru/35xLaf  Если вы используете системы управления информационной безопасностью и событиями безопасности у себя, хотите поделиться опытом или задать нам вопрос, предложить свои темы для новых эпизодов или позвать экспертов, которым доверяете — напишите об этом в комментариях на YouTube или по адресу: cloudpodcast@yandex.ru.

Что такое «бумажная» и «практическая» безопасность, почему ИБ-специалисты часто разделяют эти понятия, откуда берутся «бумажные» требования и всегда ли им следуют на практике? В чем специфика стандартов ИБ для облака? И успевают ли эти самые стандарты меняться вместе с рынком? В новом эпизоде обсудили эти и многие другие вопросы, поделились опытом и лайфхаками и пришли к неожиданным выводам. Ведущие:  • Антон Черноусов, Developer Advocate Yandex Cloud • Рами Мулейс, менеджер продуктов безопасности Yandex CloudГости:  • Егор Кузнецов, коммерческий директор Б-152 • Алексей Кузнецов, технический руководитель направления анализа защищённости МТС REDПодкаст доступен в видео-версии на YouTube: https://clck.ru/35ZvEnПоделиться своим историями о «бумажной» и практической безопасности, предложить свои темы для новых эпизодов, рассказать, кого хотите видеть и слышать у нас в гостях, похвалить и поругать ведущих можно в комментариях на YouTube или по адресу: cloudpodcast@yandex.ru.

Актуальные угрозы и новые подходы к защите промышленных ИТ-инфраструктур — какие они? Какие плюсы и минусы видят компании промышленной отрасли в переходе к облачной инфраструктуре? В третьем эпизоде подкаста «Безопасно говоря» обсуждаем, как меняются стратегии безопасности в ИТ для промышленного сектора. Какие ключевые изменения в векторах атак злоумышленников наблюдались за последнее время. Насколько отрасль готова к новым вызовам, и что изменилось кардинально в построении моделей угроз и расчете рисков. Ведущие: · Антон Черноусов, Developer Advocate Yandex Cloud· Алексей Миртов, руководитель группы продуктовой архитектуры Security & Compliance Yandex CloudГости:· Сергей Репринцев, CTO «Ультиматек»· Сергей Черкасов, начальник управления информационной безопасности «ФосАгро» Подкаст доступен в видео-версии на YouTube.Поделиться своим историями о важности защиты ИТ-инфраструктуры критических объектов, предложить свои темы для новых эпизодов, рассказать, кого хотите видеть и слышать у нас в гостях, похвалить и поругать ведущих можно в комментариях на YouTube или по адресу: cloudpodcast@yandex.ru

Информационная безопасность — это не состояние, это процесс. А для того, чтобы этот процесс двигался в нужную сторону, надо развивать культуру ИБ в компаниях. С вами второй эпизод подкаста «Безопасно говоря», в котором мы обсудили: какие косты и другие факторы необходимо учитывать компаниям при миграции в облако, что выгоднее в перспективе трёх-пяти лет, облако или on-premise, и что из этого в реальности безопаснее. А ещё поговорили с гостями из СДЭК и «Азбуки Вкуса» о том, как снизить влияние человеческого фактора при миграции в облако, нужно ли обучать азам ИБ сотрудников крупных ритейл-компаний, почему необходимо побольше автоматизировать и почаще обнимать своих безопасников — и многое другое.Ведущие: · Антон Черноусов, Developer Advocate Yandex Cloud· Алексей Миртов, руководитель группы продуктов Cloud Security & Compliance, Yandex CloudГости:· Павел Куликов, CTO СДЭК· Дмитрий Кузеванов, CTO «Азбука вкуса» Подкаст доступен в видео-версии на YouTube.Поделиться своим опытом миграции в облако и историями, когда «человеческий фактор» сыграл свою роль в ИБ, предложить свои темы для новых эпизодов, рассказать, кого хотите видеть и слышать у нас в гостях, похвалить и поругать ведущих можно в комментариях на YouTube или по адресу: cloudpodcast@yandex.ru

Чтобы выстроить безопасную работу в облаках бизнесу, разработке и ИБ необходимо учиться говорить на одном языке. В первом эпизоде подкаста «Безопасно говоря» ведущие и гости обсудили этот процесс с точки зрения финтех-организаций. Поговорили о том, как сделать безопасный банк в облаке с нуля, вовлечь команды ИТ и бизнеса в принятие решений по безопасности, воспитать или найти на рынке секьюрити-чемпионов. Ведущие: • Антон Черноусов, Developer Advocate Yandex Cloud • Рами Мулейс, менеджер продуктов безопасности Yandex CloudГости: • Роберт Сабирянов, кофаундер, CTO банка «Бланк»   • Павел Арланов, директор по безопасности маркетплейса финансовых и страховых услуг «Сравни»Подкаст доступен в видео-версии на YouTube.Поделиться своим опытом выстраивания DevSecOps-процессов, предложить свои темы для новых эпизодов, рассказать, кого хотите видеть и слышать у нас в гостях, похвалить и поругать ведущих можно в комментариях на YouTube или по адресу: cloudpodcast@yandex.ru

В специальном аудио-эпизоде подкаста «Безопасно говоря» трое специалистов поговорили про соревнования в области кибербезопасности, CTF. Вспомнили Bank Security Challenge: как старт соревнований пришлось переносить из-за внезапно найденной уязвимости, сколько было участников и почему это было очень круто. Порассуждали про приложение опыта соревнований к реальным задачам и CTF как элемент образовательной системы: почему это важная часть становления специалиста по ИБ и в чём роль сообщества. А также о том, как исторически складывались правила соревнований CTF. Участники:  • Антон Черноусов, Developer Advocate Yandex Cloud • Рами Мулейс, менеджер продуктов безопасности Yandex Cloud • Алексей Хайдин, ведущий специалист по анализу защищённости, участник команды DERED Полезные ссылки: • Offensive security: откуда берутся пентестеры: https://cloud.yandex.ru/blog/posts/2023/01/ctf-and-pentest  • Проверка боем: чем полезны СTF-соревнования и как их организовать?: https://clck.ru/35UVAv • Соревнование по кибербезопасности: https://bsc.dered.io/ Хотите поделиться своим историями про соревнования, рассказать о собственном опыте захвата флага, предложить свои темы для новых эпизодов, рассказать, кого хотите видеть и слышать у нас в гостях, похвалить и поругать ведущих можно по адресу: cloudpodcast@yandex.ru

Совсем скоро здесь появится первый эпизод подкаста «Безопасно говоря», в котором бизнес, разработка и ИБ учатся говорить на одном языке. Ведущие — Антон, Рами и Алексей из Yandex Cloud и их гости — специалисты по ИБ, разработчики и руководители бизнеса из разных компаний будут обсуждать работу в облаке в контексте информационной безопасности. В первых сезонах вы услышите и увидите гостей из финтеха, ритейла, промышленности, IT, ИБ и других отраслей. Обсудим, как запускать DevSecOps-процессы, выстраивать практическую безопасность, соблюдать требования регуляторов, защищать приложения и многое другое.Подкаст запускается на всех популярных платформах и в видеоверсии на YouTube. Подпишитесь, чтобы не пропустить!Предложить свои темы для новых эпизодов, рассказать, кого хотите видеть и слышать у нас в гостях, похвалить и поругать ведущих можно в комментариях на YouTube или по адресу: cloudpodcast@yandex.ru