Безопасно говоря

🎟️ Разыгрываем три проходки на закрытый митап 📆 18 июня в Москве пройдёт Assume Birch — камерный ивент для специалистов по кибербезу с докладами, направленными на атакующую безопасность, и нетворкингом. Митап проходит дважды в год в формате закрытой встречи для своих. Попасть туда просто так нельзя: только по приглашению организаторов или как +1 от спикера. На митапе выступят два наших инженера: 🟣 Заряжай, но проверяй: анализ уязвимостей экосистемы шеринговых зарядных станций. Данила Урванцев, инженер по ИБ Городских сервисов, расскажет об исследовании реального устройства, которое проводилось в период интеграции сервиса аренды пауэрбанков «Бери заряд» в экосистему Яндекса 🟣 Твой Secure Boot не твой: как мы автоматизировали проверку загрузчиков умных устройств. Дмитрий Сибирцев, инженер по ИБ Алисы и Умных устройств, объяснит, как устроены загрузчики в Умных устройствах и как мы построили инструмент, который автоматически проверяет целостность и подлинность прошивок без запуска на железе 🛎 Разыгрываем три проходки на Assume Birch среди наших подписчиков. Участвуйте, если вы точно сможете присутствовать очно в Москве 18 июня. Условия: 🟣 Подписаться на канал «Охоты за ошибками» 🟣 Подписаться на канал Assume Birch 🟣 Быть подписчиком нашего канала Yandex for Security 🟣 Нажать на кнопку «Участвую» под этим постом 🧩 Каждый участник получит свой номер. 9 июня мы определим трёх победителей с помощью силы рандома и вручим проходки на закрытый митап. 💕 Желаем всем удачи! ⏩ С подробными правилами конкурса можно ознакомиться здесь. Подписывайтесь: 💬 @Yandex4Security 📹 @YandexForSecurity

⚡️ Закрываем уязвимости интерфейсов прикладных служб и веб-приложений Linux-инфраструктур Прямо сейчас Yandex Cloud наблюдает целевые атаки с шифрованием данных в Linux-инфраструктуре российских организаций. В кампании участвуют APT-группировки Bearlyfy (Labubu, Toy Ghouls) и Head Mare (PhantomCore). Основные цели атак — узлы прикладных служб, виртуализации и баз данных. Используют публичные интерфейсы прикладных служб и веб-приложения. Имплант может находиться в скрытой фазе до двух лет. Отсутствие текущей сетевой активности к gsocket-релеям ещё не означает чистоту инфраструктуры. Рекомендации

⚫️Изолируйте публичные интерфейсы прикладных служб. Административные API, СУБД, интерфейсы агентов автоматизации и серверы видеоконференций должны быть доступны только из выделенного сегмента, но не из интернета. Для фильтрации на уровне ВМ используйте Security Groups в Yandex Compute Cloud, для публичных веб-фронтов — Yandex Smart Web Security. ⚫️Сегментируйте сеть по уровням доверия. Отделите базы данных и хранилища резервных копий от прикладных сегментов, VPN-маршрутов и внешних точек входа. Используйте отдельные сети Yandex Virtual Private Cloud или подсети с собственными Security Groups, Yandex Cloud Interconnect для связности с корпоративной сетью и NAT Gateway для централизации исходящего трафика. ⚫️Отключите аутентификацию по паролю через SSH для служебных учетных записей. Для административного доступа используйте ключи, MFA и OS Login. Это привязывает SSH-доступ к учетным записям в Yandex Cloud, позволяет хранить ключи централизованно, исключает локальные ~/.ssh/authorized_keys как точку управления и передает события подключения в Yandex Audit Trails. ⚫️Перенесите резервные копии в иммутабельное хранилище. Используйте Yandex Object Storage с Object Lock поверх версионированного бакета в режиме Compliance или с постоянным Legal Hold. Режим Governance недостаточен, потому что скомпрометированная учетная запись с ролью storage.admin может снять такую защиту. ⚫️Применяйте принцип минимальных привилегий. Назначайте сервисным аккаунтам только необходимые IAM-роли, ограничивайте доступ конкретными бакетами и операциями, не используйте лишние статические ключи. Храните и ротируйте секреты в Yandex Lockbox. ⚫️Мониторьте исходящий трафик с прикладных узлов. Соединения к нестандартным портам и неизвестным внешним адресам рассматривайте как приоритетный сигнал. Храните журналы на максимальную доступную глубину: из-за скрытой фазы импланта ретроспективный поиск важнее текущего состояния. ⚫️Используйте Yandex Cloud Logging для централизации журналов ВМ, Yandex Audit Trails для событий IAM и data plane, включая Flow- и DNS-логи, и Yandex Cloud Detection and Response для сетевой видимости. ⚫️Сканируйте уязвимости в образах и артефактах в Yandex Cloud Registry до публикации. Это позволяет сократить риск на стороне цепочки сборки. ⚫️Контролируйте целостность системных каталогов Linux-узлов: /etc/cron.d/, /var/spool/cron/, /lib/systemd/system/, ~/.ssh/, ~/.config/. Проверяйте подмену легитимных systemd-юнитов, cron-команды с pkill -0 и exec -a, маскировку процессов под ядерные потоки, учетные записи без следов создания и интерактивных входов, а также расхождение между mtime и Birth time на годы. ⚫️Сканируйте файловую систему и память YARA-правилами. Проверка памяти особенно важна, потому что gsocket может выполняться из memfd без файла на диске. ⚫️При обнаружении компрометации не перезагружайте и не выключайте узел до снятия снимков системного и пользовательских дисков, а по возможности и дампа памяти средствами Yandex Compute Cloud. Изолируйте узел через Security Groups без отключения сетевого интерфейса, обратитесь в техническую поддержку Yandex Cloud и выполните ротацию всех учетных данных, доступных скомпрометированному узлу. Заранее настроенные снапшоты по расписанию и Yandex Cloud Backup упрощают восстановление. ⚫️Используйте встроенные средства Yandex Cloud. Yandex Identity Hub и федерация удостоверений позволяют централизовать административный доступ с временем жизни сессии до шести часов. Yandex Security Deck помогает выявлять избыточные права, ошибки в конфигурации инфраструктуры, Kubernetes-кластеров и открытые секреты. Yandex Cloud Detection and Response помогает обнаруживать вредоносную сетевую активность и контролировать изменения в IAM, а также сохраняет аудит за пределами контура заказчика.

Затронутые технологии 🔵Публично доступные интерфейсы прикладных служб: административные API, интерфейсы агентов автоматизации, серверы видеоконференций, уязвимые веб-приложения. 🔵Linux-узлы прикладных сервисов, виртуализации и баз данных, на которых возможно локальное повышение привилегий после первичного доступа. 🔵Средства скрытого управления и закрепления: gsocket, revsocks, обратные SSH-туннели, GOST, rsocx, cloudflared, localtonet, systemd, cron. 🔵Средства воздействия: GenieLocker (hostd) и Babuk-вариант для Linux/ESXi.

Подробности в блоге ⏩

Если вам нужна дополнительная информация, пожалуйста, напишите на cloudtrust@yandex-team.ru.

Андрей Кузнецов, архитектор Yandex Identity Hub и Yandex Identity and Access Management, напоминает о вебинаре по настройке OIDC-приложений ✔️ ↪️подробности↩️

Результаты совместного исследования российского рынка SIEM-систем представили Yandex B2B Tech и Кибердом. В исследовании участвовали 223 компаний из различных отраслей — от финансового сектора и телекоммуникаций до промышленности и ритейла. Изучали: 🔺 критерии выбора, 🔺 эксплуатационные барьеры, 🔺 архитектурные ограничения, 🔺 нереализованные потребности.

Вот краткие результаты исследования

*️⃣ Около 60% компаний вынуждены экономить на хранении данных в SIEM-системах. *️⃣ TCO становится стратегическим фактором выбора. Стоимость хранения, обработки и эксплуатации напрямую влияет на полноту видимости и качество расследований. *️⃣ Подход на базе Data Lake будет набирать популярность, потому что позволяет хранить и анализировать больше данных без линейного роста стоимости классического SIEM. *️⃣ ИИ и автоматизация будут внедряться через доверие и измеримый эффект. Интересны инструменты, которые уменьшают шум, ускоряют расследование и помогают анализировать контекст угроз. *️⃣ Кадровый дефицит меняет требования к продукту — даже менее опытный аналитик должен уметь разбираться в срабатываниях, понимать контекст и принимать корректные решения с помощью встроенных подсказок, готовых сценариев и автоматизации. А подробности — в карточках ⬆️⬆️⬆️

Скачать исследование ⏩

🤝 Интересно, идём смотреть 👍 Спасибо, но давайте что-нибудь другое

Всё самое главное о продуктах и инструментах ИБ Yandex Cloud за май 🗓 Проверяйте, не прошло ли что-то мимо вас: 🖇 Эксперты оценили Smart Web Security в обзоре Anti-malware по защите от DDoS‑атак ⏩ 🖇 Запустили подписки в Yandex Security Deck — теперь вы можете выбрать подходящий тариф для защиты вашей инфраструктуры. Подробнее о подписках и тарифах — в документации ⏩ 🖇 Опубликовали новую версию стандарта по защите и безопасному использованию Яндекс 360, где собрали практические рекомендации по ключевым задачам администраторов, технических специалистов и специалистов по информационной безопасности. 🖇 Добавили новые рантайм-политики в модуле KSPM Yandex Security Deck для защиты от уязвимостей ядра Linux: ▶️ Copy Fail (CVE‑2026‑31431) ▶️ Dirty Frag (объединяет CVE‑2026‑43284 и CVE‑2026‑43500) Эти уязвимости позволяют получить root‑права в основных дистрибутивах Linux. 🖇 Больше не принимаем новые OAuth-токены для доступа к Yandex Cloud, полученные через Яндекс ID — о причинах рассказывали в посте ⏩ 🤝 Спасибо, все видели, все помним 👀 Есть новенькое

Вместе делаем хорошее ❤️ Яндекс выпустил отчёт об устойчивом развитии за 2025 год — в нём ежегодно собирают результаты, как наши технологии, люди и проекты помогли сделать жизнь лучше. Рассказываем о нашем с вами общем вкладе — вместе с сервисами безопасности Yandex Cloud в 2025 году: 🔖 Сервисами информационной безопасности Yandex Cloud пользовался каждый четвёртый коммерческий клиент платформы. 🔖 Yandex Cloud Detection and Response ежедневно обрабатывал более 103 миллиардов событий. 🔖 2 727 человек пришли на оплачиваемые стажировки во всём Яндексе, и 50% из них продолжили работу в компании. Если вы тоже хотите присоединиться, то следите за набором на сайте ⏩ А на обложке поста — афиша о цифровой безопасности Евгении Шабунининой, одной из финалистов арт-проекта «Афишируем хорошее». Участники проекта визуализировали ключевые направления устойчивого развития: благотворительность, защиту окружающей среды, инклюзию, безопасность и другие. Цифровую галерею афиш создали современные художники и важные для Яндекса люди: сотрудники, партнёры, преподаватели, студенты и подопечные НКО. ⭐️ Посмотрите все афиши ⏩

Приходите на вебинар по настройке OIDC-приложений в Yandex Identity Hub ⚙️ Разберём, как: 🕐 Правильно использовать OIDC для аутентификации пользователей в приложениях и не допустить ошибок при внедрении. 🕑 Грамотно и безопасно настроить OIDC-приложение и протестировать его работу без развёртывания собственного бэкенда — с нуля до рабочего прототипа. Пригодится, если хотите глубже изучить: ▶️ основы OIDC и OAuth 2.0 — роли, типы клиентов и grant flows; ▶️ выбор подходящего типа приложения для вашего сценария; ▶️ создание и настройка OIDC-приложения в Yandex Identity Hub; ▶️ тестирование OIDC без написания бэкенда — какие ключевые запросы нужны. Также покажем, как настройки Identity Hub и параметры запросов влияют на поведение приложения. ❤️ После вебинара вы сможете самостоятельно создавать и настраивать OIDC-приложения в Identity Hub, тестировать OIDC-интеграции без развёртывания серверной части и применять полученные знания при разработке и защите реальных приложений. 🗓 25 июня 12:00 мск Регистрация ⏩

Что под капотом Bot Score в Yandex Smart Web Security  На Хабре рассказали, почему пользователям перестало хватать одного режима «включить защиту» и как появился Bot Score — скоринговый механизм для гибкой настройки защиты от роботов. Вот несколько спойлеров из статьи⬇️⬇️ 1️⃣ Архитектура не сводится к одной ML-модели. Помимо CatBoost, используются высокоточные эвристики и поведенческие сигналы. Логика проста: не стоит тратить ресурсы модели там, где задачу можно решить обычным if. 2️⃣ Одна из ключевых идей — учитывать экономику обхода защиты. Для части признаков в CatBoost задали monotonic constraints: рост факторов, связанных с роботной активностью, не должен снижать итоговый скор. Чем точнее бот имитирует человека, тем дороже ему обходятся инфраструктура и обход защиты. 3️⃣ Высокий Bot Score не обязательно означает вредоносность. В системе верифицировали более 100 типов роботов из 17 категорий — от поисковых краулеров и AI-ботов до сервисов мониторинга и анализа безопасности. Ошибочная блокировка таких роботов может повлиять, например, на индексацию ресурса. Иду на Хабр ⏩ 👍 Было интересно

Эпоха ИИ-агентов — как обеспечить безопасность и эффективность разработки ⬇️ Обсуждаем в офлайне на бизнес-митапе 19 июня лучшие практики, риски и возможности, которые приносит Agentic Development Lifecycle (ADLC) в 2026 году.

Yandex SourceCraft — платформа со встроенным ИИ-ассистентом для управления полным жизненным циклом разработки. Платформа помогает командам создавать качественный код, обеспечивая безопасность и контроль на всех этапах.

Программа: *️⃣ Когда код пишут не только люди: как меняется подход к разработке в эпоху Agentic Development Lifecycle (ADLC). Дмитрий Иванов, CEO, SourceCraft *️⃣ AgentSecOps: как защитить код, инфраструктуру и пайплайны от ошибок AI-агентов. Опыт Яндекса. Денис Макрушин, CPO SourceCraft Security, Yandex Infrastructure *️⃣ Дискуссия «Безопасность ИИ агентов в разработке» Участвуют эксперты SourceCraft, SolidLab и Yandex Cloud Продолжить общаться можно будет во время фуршета, а в демозоне — протестировать SourceCraft в режиме реального времени 🔥 Зарегистрироваться →

Привет! Спасибо, что добавили Combot в Безопасно говоря! Узнайте больше о возможностях для вашей группы, войдя в систему.

▶️ Осваиваем Yandex SIEM — уже через 20 минут В 12:00 начинаем вебинар, где: 🔺 покажем, как работать с Yandex SIEM, 🔺 подробно разберём, как устроена работа аналитика в этом сервисе. ⤴️Подключиться ⤵️

Zero Trust: от теории к внедрению ⏩ Традиционная модель «защищённый периметр» уже не работает так эффективно, как прежде. Гибридная работа, BYOD, удалёнка, облака — всё это делает инфраструктуру сложной и уязвимой. Теперь каждый сотрудник — потенциальная точка входа. Согласно отчётам, 66% атак связаны с удалённым доступом, а стоимость утечки данных в 2024 году достигла почти $5 млн. Подход Zero Trust отвечает на этот вызов: он требует проверки каждого запроса, независимо от того, откуда он пришёл.

Что включает в себя Zero Trust

Zero Trust — это не один продукт, а стратегия, которая объединяет: 🔵централизованное управление доступом (IdP, MFA); 🔵микросегментацию сети; 🔵политику минимальных привилегий; 🔵постоянный мониторинг активности; 🔵 контроль соответствия требованиям.

Когда сложно внедрять

Мешают наследие в инфраструктуре, ограниченные бюджеты и сопротивление пользователей. Поэтому Zero Trust требует не только технологий, но и пересмотра процессов, прозрачной коммуникации и координации между ИБ, ИТ и бизнесом.

Как начать внедрение

Начинайте внедрение с бизнес-критичных данных и систем. Такой подход позволяет быстро повысить уровень безопасности без полной перестройки всей инфраструктуры. Работает phased rollout: 1️⃣ Пилот на критичных системах — IdP, MFA, сегментация. 2️⃣ Подключение основных сервисов, настройка мониторинга. 3️⃣ Расширение контроля, автоматизация, continuous compliance. ⏩ Результат: прозрачность, сниженные риски, соответствие требованиям регуляторов и устойчивая безопасность — даже в распределённой и гибридной инфраструктуре. 👍 Уже внедрили 🔥 Работает частично

✌️ Встраиваем безопасность в процесс разработки в прямом эфире 2 июня в 12:00 приглашаем на практический вебинар от команды SourceCraft Security. Поговорим о том, какие угрозы несёт ИИ в разработке и как правильно выстроить безопасность Agentic Development Lifecycle: от коммита до продакшена. Разберём полный цикл безопасной разработки и фундаментальные инструменты: 🔡 Поиск секретов в коде и истории Git 🔡 SAST для поиска уязвимостей по готовым и кастомным правилам 🔡 ИИ-триаж для автоматической фильтрации False Positive 🔡 SCA и контроль рисков в зависимостях В финале проведём розыгрыш призов среди самых активных участников. ❤️ Регистрируйтесь и добавляйте встречу в календарь.

ИИ-боты — что умеют, как определить и как от них защититься ⬇️ Эти боты умеют имитировать поведение реальных пользователей — и для этого используют технологии искусственного интеллекта и машинного обучения.

Они способны: 🔺решать простые капчи, 🔺эмулировать движение мыши человека, 🔺менять User-Agent и IP-адреса, 🔺соблюдать случайные интервалы между действиями, 🔺превращать ваш продукт в часть обучения для ИИ-системы конкурентов.

Обнаружить таких ботов традиционными методами сложно — приходится применять поведенческий анализ и сложные алгоритмы машинного обучения. Именно эти методы защиты способны адаптироваться к новым тактикам атак в реальном времени.

Как определить

TLS-отпечатки JA3/JA4 — первоэтапная проверка при установлении защищенного соединения. ИИ-боты могут идеально имитировать поведение человека на самом сайте, но идентификация по параметрам начального этапа TLS-соединения позволяет раскусить техническую начинку бота еще до того, как он начнет совершать действия на странице. Поведенческий анализ — поскольку ИИ-боты пытаются имитировать человека, именно анализ их поведения (паттернов, кликов, задержек) позволяет выявить скрытую автоматизацию. Списки верифицированных ботов — надёжная защита от ИИ-краулеров. Система безопасности жестко ограничивает доступ, разрешая сбор информации только доверенным роботам.

Как защититься от ИИ-ботов

В облаке защиту от них на уровне хостинга обеспечивает провайдер. Когда так не происходит — можно подключить Yandex Smart Web Security (SWS). Сервис за счёт многоуровневой фильтрации трафика эффективно защищает от: ▶️DDoS на уровнях L3, L4, L7; ▶️атак из списка OWASP® Top 10; ▶️поведенческих угроз и ботов; ▶️следит за эндпойнтами API; ▶️ограничивает доступ по геопризнаку или источнику IP. В гибридных сценариях и вне Yandex Cloud SWS подключают перед инфраструктурой в качестве обратного прокси-сервера со сменой A-записей DNS. Сервис анализирует трафик в реальном времени с помощью машинного обучения и можно добавить свои правила фильтрации. Подробнее о типах ботов, признаках их атаки и защите сайтов от них, рассказали в блоге ⏩ 👍 если нужно больше таких постов

Как настроить ИБ, если ваша организация работает в Яндекс 360 ⬇️ Проверить, используете ли вы базовые подсказки из нашего стандарта по защите и безопасному использованию Яндекс 360. Собрали его для администраторов, технических специалистов и специалистов по ИБ — всех, кто отвечает за безопасность информационных систем, использующих сервисы Яндекс 360. Рекомендации касаются таких задач, как: 🔺 управление учетными записями и правами доступа; 🔺 двухфакторная аутентификация и восстановление учетных записей; 🔺 мониторинг и анализ аудитных логов; парольная политика и управление паролями; 🔺 ограничение доступа к внешним сервисам и приложениям; 🔺защита данных и предотвращение утечек. Посмотреть стандарт по защите и безопасному использованию Яндекс 360 ⏩ 👍 Используем 🤝 Все работает и так

Осваиваем Yandex SIEM! SIEM часто считают сложным в настройке и эксплуатации: долгое подключение, непростой язык запросов, высокий порог входа для команд. ⭐️ 4 июня приходите на наш практический вебинар, где: 🔺покажем, как работать с Yandex SIEM, 🔺подробно разберём, как устроена работа аналитика в этом сервисе.

На вебинаре обсудим: ✓основы работы с KQL — базовый синтаксис, ✓логику запросов и создание правил; ✓детектирование в SIEM и основы разработки правил; ✓поиск событий, триаж и анализ алертов в интерфейсе SIEM; ✓расследование и реагирование на инциденты; ✓типовые ошибки при запуске SIEM; А также способы ускорить онбординг команды и быстрее получить результат от SIEM.

🗓 4 июня 12:00 мск Регистрация ⏩

Безопасности только на уровне инфраструктуры уже недостаточно. Причина — более сложные атаки и гибридные инфраструктуры. 📍Большая часть инцидентов начинается с ошибок в конфигурациях и управлении доступами. Вот некоторые цифры из нашего исследования-анализа киберугроз в облачной среде: ▶️ на 87% выросло количество кибератак с использованием программ‑вымогателей; ▶️ на 23% — попытки кражи учётных данных; ▶️ на 58% — атаки на конфиденциальные данные; ▶️ зафиксировано в два раза больше атак на облачные и гибридные инфраструктуры, чем в первом полугодии 2025 года: всего более 50 тысяч отраженных попыток.

Платформа Yandex Cloud обеспечивает разные уровни защиты. Базовая защита работает «из коробки». Для безопасности высочайшего уровня нужно дополнительно настроить: ✓ контроль доступов, ✓ постоянный мониторинг, ✓ защиту веб-инфраструктуры, ✓ работу с данными и резервным копированием.

В карточках рассказываем неочевидные способы закрыть векторы атак с помощью сервисов облака.⬆️⬆️⬆️ Подробнее о каждом решении читаете здесь: → Yandex Security Deck → Yandex Cloud Detection and Response → Yandex Identity Hub Подписывайтесь на телеграм-канал команды безопасности Yandex Cloud: следим за рисками, отражаем атаки, делимся инсайтами⏩

Создаем систему защиты гибридной ИТ-инфраструктуры для «Норникеля» ⭐️ На конференции ЦИПР‑2026 «Норникель» и Yandex B2B Tech подписали соглашение по ИБ — горно-металлургическая компания создаст единую систему защиты гибридной ИТ-инфраструктуры с использованием сервисов безопасности Yandex Cloud. «Норникель» выстроит сквозную архитектуру работы с данными с учетом внутренних стандартов безопасности компании: 1️⃣ определенная часть данных остается в закрытом контуре, 2️⃣ допустимая информация через выделенное соединение и специальную технологию Private Endpoint будет обрабатываться в Yandex Cloud.

⏩ Это сотрудничество открывает широкие возможности для формирования на уровне отрасли нового стандарта в сфере информационной безопасности.

— Алексей Мартынцев, директор Департамента защиты информации и ИТ-инфраструктуры «Норникеля» ➡️ Если вам тоже нужно подобное решение — напишите вашему менеджеру или оставьте заявку