ru
Feedback
Безопасно говоря

Безопасно говоря

Открыть в Telegram

Следим за рисками, отражаем атаки, делимся решениями. Всё о безопасности облачной инфраструктуры — практика, кейсы и инсайты от команды Yandex Cloud, которая защищает её каждый день.

Больше
634
Подписчики
Нет данных24 часа
+17 дней
+1230 день
Архив постов
ИИ-боты — что умеют, как определить и как от них защититься ⬇️ Эти боты умеют имитировать поведение реальных пользователей —
ИИ-боты — что умеют, как определить и как от них защититься ⬇️ Эти боты умеют имитировать поведение реальных пользователей — и для этого используют технологии искусственного интеллекта и машинного обучения.
Они способны: 🔺решать простые капчи, 🔺эмулировать движение мыши человека, 🔺менять User-Agent и IP-адреса, 🔺соблюдать случайные интервалы между действиями, 🔺превращать ваш продукт в часть обучения для ИИ-системы конкурентов.
Обнаружить таких ботов традиционными методами сложно — приходится применять поведенческий анализ и сложные алгоритмы машинного обучения. Именно эти методы защиты способны адаптироваться к новым тактикам атак в реальном времени.
Как определить
TLS-отпечатки JA3/JA4 — первоэтапная проверка при установлении защищенного соединения. ИИ-боты могут идеально имитировать поведение человека на самом сайте, но идентификация по параметрам начального этапа TLS-соединения позволяет раскусить техническую начинку бота еще до того, как он начнет совершать действия на странице. Поведенческий анализ — поскольку ИИ-боты пытаются имитировать человека, именно анализ их поведения (паттернов, кликов, задержек) позволяет выявить скрытую автоматизацию. Списки верифицированных ботов — надёжная защита от ИИ-краулеров. Система безопасности жестко ограничивает доступ, разрешая сбор информации только доверенным роботам.
Как защититься от ИИ-ботов
В облаке защиту от них на уровне хостинга обеспечивает провайдер. Когда так не происходит — можно подключить Yandex Smart Web Security (SWS). Сервис за счёт многоуровневой фильтрации трафика эффективно защищает от: ▶️DDoS на уровнях L3, L4, L7; ▶️атак из списка OWASP® Top 10; ▶️поведенческих угроз и ботов; ▶️следит за эндпойнтами API; ▶️ограничивает доступ по геопризнаку или источнику IP. В гибридных сценариях и вне Yandex Cloud SWS подключают перед инфраструктурой в качестве обратного прокси-сервера со сменой A-записей DNS. Сервис анализирует трафик в реальном времени с помощью машинного обучения и можно добавить свои правила фильтрации. Подробнее о типах ботов, признаках их атаки и защите сайтов от них, рассказали в блоге👍 если нужно больше таких постов

Как настроить ИБ, если ваша организация работает в Яндекс 360 ⬇️ Проверить, используете ли вы базовые подсказки из нашего ста
Как настроить ИБ, если ваша организация работает в Яндекс 360 ⬇️ Проверить, используете ли вы базовые подсказки из нашего стандарта по защите и безопасному использованию Яндекс 360. Собрали его для администраторов, технических специалистов и специалистов по ИБ — всех, кто отвечает за безопасность информационных систем, использующих сервисы Яндекс 360. Рекомендации касаются таких задач, как: 🔺 управление учетными записями и правами доступа; 🔺 двухфакторная аутентификация и восстановление учетных записей; 🔺 мониторинг и анализ аудитных логов; парольная политика и управление паролями; 🔺 ограничение доступа к внешним сервисам и приложениям; 🔺защита данных и предотвращение утечек. Посмотреть стандарт по защите и безопасному использованию Яндекс 360 ⏩ 👍 Используем 🤝 Все работает и так

Осваиваем Yandex SIEM! SIEM часто считают сложным в настройке и эксплуатации: долгое подключение, непростой язык запросов, вы
Осваиваем Yandex SIEM! SIEM часто считают сложным в настройке и эксплуатации: долгое подключение, непростой язык запросов, высокий порог входа для команд. ⭐️ 4 июня приходите на наш практический вебинар, где: 🔺покажем, как работать с Yandex SIEM, 🔺подробно разберём, как устроена работа аналитика в этом сервисе.
На вебинаре обсудим: ✓основы работы с KQL — базовый синтаксис, ✓логику запросов и создание правил; ✓детектирование в SIEM и основы разработки правил; ✓поиск событий, триаж и анализ алертов в интерфейсе SIEM; ✓расследование и реагирование на инциденты; ✓типовые ошибки при запуске SIEM; А также способы ускорить онбординг команды и быстрее получить результат от SIEM.
🗓 4 июня 12:00 мск Регистрация

Безопасности только на уровне инфраструктуры уже недостаточно. Причина — более сложные атаки и гибридные инфраструктуры. 📍Бо
+5
Безопасности только на уровне инфраструктуры уже недостаточно. Причина — более сложные атаки и гибридные инфраструктуры. 📍Большая часть инцидентов начинается с ошибок в конфигурациях и управлении доступами. Вот некоторые цифры из нашего исследования-анализа киберугроз в облачной среде: ▶️ на 87% выросло количество кибератак с использованием программ‑вымогателей; ▶️ на 23% — попытки кражи учётных данных; ▶️ на 58% — атаки на конфиденциальные данные; ▶️ зафиксировано в два раза больше атак на облачные и гибридные инфраструктуры, чем в первом полугодии 2025 года: всего более 50 тысяч отраженных попыток.
Платформа Yandex Cloud обеспечивает разные уровни защиты. Базовая защита работает «из коробки». Для безопасности высочайшего уровня нужно дополнительно настроить: ✓ контроль доступов, ✓ постоянный мониторинг, ✓ защиту веб-инфраструктуры, ✓ работу с данными и резервным копированием.
В карточках рассказываем неочевидные способы закрыть векторы атак с помощью сервисов облака.⬆️⬆️⬆️ Подробнее о каждом решении читаете здесь: → Yandex Security Deck Yandex Cloud Detection and Response → Yandex Identity Hub Подписывайтесь на телеграм-канал команды безопасности Yandex Cloud: следим за рисками, отражаем атаки, делимся инсайтами

Создаем систему защиты гибридной ИТ-инфраструктуры для «Норникеля» ⭐️ На конференции ЦИПР‑2026 «Норникель» и Yandex B2B Tech
Создаем систему защиты гибридной ИТ-инфраструктуры для «Норникеля» ⭐️ На конференции ЦИПР‑2026 «Норникель» и Yandex B2B Tech подписали соглашение по ИБ — горно-металлургическая компания создаст единую систему защиты гибридной ИТ-инфраструктуры с использованием сервисов безопасности Yandex Cloud. «Норникель» выстроит сквозную архитектуру работы с данными с учетом внутренних стандартов безопасности компании: 1️⃣ определенная часть данных остается в закрытом контуре, 2️⃣ допустимая информация через выделенное соединение и специальную технологию Private Endpoint будет обрабатываться в Yandex Cloud.
⏩ Это сотрудничество открывает широкие возможности для формирования на уровне отрасли нового стандарта в сфере информационной безопасности.
— Алексей Мартынцев, директор Департамента защиты информации и ИТ-инфраструктуры «Норникеля» ➡️ Если вам тоже нужно подобное решение — напишите вашему менеджеру или оставьте заявку

⏩ Как работает встроенная в платформу и инфраструктурные сервисы Yandex Cloud безопасность ⏩ Какие дополнительные средства можно использовать, что повысить ее уровень до «высочайший»
— рассказала команда инфраструктурных сервисов Yandex Cloud в посте выше ⬆️ ⚡️ Больше практических кейсов и обновлений в инфраструктурных сервисах Yandex Cloud читайте в канале Infra’n’Cloud

Repost from Infra’n’Cloud
Что важно понимать при работе с сервисами и платформами Yandex Cloud? Как обеспечена защита инфраструктуры платформы 🔐 В Yan
+8
Что важно понимать при работе с сервисами и платформами Yandex Cloud? Как обеспечена защита инфраструктуры платформы 🔐 В Yandex Cloud безопасность — это не только защита от внешних угроз, но и надёжность самой платформы. Она обеспечивается на уровне платформы и сервисов, в том числе инфраструктурных.
Базовые инфраструктурные сервисы платформы — вычислительные ресурсы: виртуальные машины и физические серверы, предоставляемые в аренду. Они отвечают за обработку данных.  Чтобы защитить данные пользователей, важно обеспечивать безопасность на нескольких уровнях: встроенные механизмы и дополнительные средства, которые могут использовать сами клиенты.
Рассмотрим на примере сервисов, как работает встроенная безопасность, а также какие дополнительные средства вы можете использовать, чтобы повысить защиту данных при работе с ними. В карточках собрали ключевое, а подробнее читайте в документации ⬇️
🟣
Зоны доступности
— карточка 2.
🟣
Безопасность Yandex Cloud
— карточка 3.
🟣
Yandex BareMetal
— карточки 4 и 5.
🟣
Шифрование в Compute Cloud
и
снимки дисков
— карточка 6.
🟣
IAM и разграничение ролей —
карточка 7.
🟣
Резервное копирование
и
работа с разными инструментами резервного копирования
— карточка 8.
🟣
Сетевая изоляция и доступы
— карточка 9.
🔥 — безопасная инфраструктура — это база

Остановили кибератаки и снизили финансовые риски для «Энджой Рисёч». Компания «Энджой Рисёч» разрабатывает ПО и проводит марк
+5
Остановили кибератаки и снизили финансовые риски для «Энджой Рисёч».
Компания «Энджой Рисёч» разрабатывает ПО и проводит маркетинговые исследования в России и странах СНГ.
Ситуация. Oдин из сервисов «Энджой Рисёч» несколько дней атаковал злоумышленник. Он пытался войти с разных IP-адресов, используя купленные базы логинов и паролей, и предпринимал более чем 100 тыс. попыток взлома в час. Атака продолжалась несколько дней. Из-за неё нагрузка на сервис выросла в 200 раз. Требовалось срочно найти инструмент для защиты от кибератак и фильтрации трафика. Было важно: 🔵 комплексное решение, а не набор отдельных инструментов 🔵 отсутствие затрат на инфраструктуру и обслуживание 🔵 быстрое реагирование на критические инциденты Мы за несколько часов подключили Yandex Smart Web Security — сервис для защиты сайтов и приложений от DDoS-, веб-атак и ботов. Подробности — в карточках ⬆️⬆️⬆️

⏩ Как защитить кластеры Kubernetes® от уязвимостей Linux Copy Fail и Dirty Frag с помощью фиксов и модуля Контроль Kubernetes
+2
Как защитить кластеры Kubernetes® от уязвимостей Linux Copy Fail и Dirty Frag с помощью фиксов и модуля Контроль Kubernetes® (KSPM) в Yandex Security Deck.
Об этих уязвимостях Linux. Copy Fail CVE-2026-31431 — уязвимость ядра Linux. Позволяет неавторизованному пользователю получить root-права на всех основных дистрибутивах Linux, выпущенных с 2017 года. Dirty Frag позволяет получить права root в основных дистрибутивах Linux — она объединяет уязвимости записи в страничный кэш xfrm-ESP (CVE-2026-43284) и RxRPC записи в страничный кэш (CVE-2026-43500). Статус уязвимостей — мы оперативно обновили все инфраструктурные конфигурации Yandex Cloud.
Используйте runtime-политики, которые мы добавили в модуль KSPM Yandex Security Deck. Кратко, что сделать: 🔺 Установить на все кластеры K8s фикс из поста. 🔺 Включить для критичных кластеров K8s модуль KSPM. ➡️ Подробнее о включении SD ➡️ Как активировать KSPM 🔺 Включить набор требований Microsoft Threat Matrix for Kubernetes. Он включает в себя runtime-политики по обнаружению попыток эксплуатации Copy Fail и Dirty Frag. Попробовать

Не принимаем новые OAuth‑токены, полученные через Яндекс ID — с 1 июня 2026 года. Рассказываем, каких именно OAuth‑токенов ко
Не принимаем новые OAuth‑токены, полученные через Яндекс ID — с 1 июня 2026 года. Рассказываем, каких именно OAuth‑токенов коснется решение, почему мы его приняли и как перейти на безопасные альтернативы.
*️⃣ Старые OAuth‑токены, выданные до 1 июня 2026 года действуют до окончания своего срока. Изменения касаются только OAuth‑токенов, выданных для доступа к Yandex Cloud по процедуре, описанной в инструкции по получению OAuth-токена. Токены для других сервисов Яндекса, включая Яндекс 360, это не затрагивает.
Причина — использование персонального OAuth‑токена в инфраструктурных и автоматизированных сценариях несёт дополнительные риски безопасности. Почему мы считаем OAuth‑токены менее предпочтительными: ▶️Долгий срок жизни — один год. Токен не обновляется автоматически и остаётся действительным, даже если пользователь давно не заходил в систему. ▶️Токен не привязан к конкретному устройству. Перехватив его, злоумышленник может действовать с любой машины и не оставаться на скомпрометированном устройстве — это существенно затрудняет его обнаружение. ▶️Сложности контроля. Владельцы организаций не могут прозрачно отследить использование таких токенов с помощью Audit Trails. ▶️Риск скрытого создания. При компрометации учётной записи Яндекс ID злоумышленник может незаметно создать OAuth‑токен и использовать его для закрепления в облачной инфраструктуре. Чем заменить OAuth‑токены и как перейти на альтернативы подробно рассказываем в блоге

Всё самое главное о продуктах и инструментах ИБ Yandex Cloud за апрель собрали в карточках⬆️⬆️⬆️ Что ещё было классного? Коне
+4
Всё самое главное о продуктах и инструментах ИБ Yandex Cloud за апрель собрали в карточках⬆️⬆️⬆️ Что ещё было классного? Конечно, Cloud Security Day! ⏩ Здесь можно посмотреть записи докладов. А в этом посте — фото. Также в апреле рассказали, как сделать из ИИ-агента доверенного члена команды ИБ. Об этом написал Сергей Нестерук — он отвечает за безопасность применения искусственного интеллекта в Yandex Cloud. 👍 — если собирать для вас такой дайджест новостей каждый месяц

⚡️ Закрываем свежую уязвимость в ядре Linux Copy Fail (CVE-2026-31431) — это логическая уязвимость в подсистеме криптографиче
⚡️ Закрываем свежую уязвимость в ядре Linux
Copy Fail (CVE-2026-31431) — это логическая уязвимость в подсистеме криптографического API ядра Linux, позволяющая обычному пользователю системы получить права суперпользователя (root). PoC работает на всех основных дистрибутивах Linux, выпущенных с 2017 года и до момента выхода патча, без модификаций под конкретное ядро или дистрибутив.
Атака: 🔺 не требует удалённого доступа — только непривилегированный локальный аккаунт; 🔺не требует ни race window, ни kernel-specific смещений; 🔺 использует крипто-API ядра (AF_ALG), который включён в дефолтных конфигурациях практически всех мейнстрим-дистрибутивов; 🔺 может быть использована как примитив побега из контейнера на хост, поскольку page cache общий для всего узла. Вектор атаки и уровень опасности согласно CVSS v.3.1 Базовая оценка: 7,8 HIGH Vector: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H Подробное описание атаки в блоге →
Затронутые технологии: ▶️ ядро Linux, подсистема crypto/ (модуль algif_aead); ▶️ интерфейс пользовательского пространства AF_ALG; ▶️ системный вызов splice() в связке с сокетами AF_ALG. Уязвимыми являются ядра Linux, собранные в интервале с 2017 года (момент внедрения in-place оптимизации algif_aead) до момента включения исправляющего патча мейнлайна. Поскольку модуль algif_aead входит в дефолтную конфигурацию ядра большинства дистрибутивов, эксплуатация возможна «из коробки». Уязвимость напрямую не затрагивает следующие пути использования крипто-API: dm-crypt / LUKS, kTLS, IPsec/XFRM, in-kernel TLS, OpenSSL/GnuTLS/NSS в дефолтных сборках, SSH, kernel keyring crypto. Все они работают с in-kernel crypto API напрямую и не проходят через AF_ALG. 🔵Сайт уязвимости 🔵Технический разбор Xint Code (Theori) 🔵PoC и issue tracker
Рекомендации по обнаружению уязвимости: Отключить модуль algif_aead до установки патча ядра. Команда выполняется от имени root и применяется немедленно. Новые сокеты AF_ALG создаваться не смогут, ранее открытые — продолжат работать до закрытия.
 # echo "install algif_aead /bin/false" > /etc/modprobe.d/disable-algif.conf
   # rmmod algif_aead 2>/dev/null || true
Обновить ядро до версии, содержащей патч. Уязвимость: 🔵присутствует в ядрах с 4.14 (commit 72548b093ee3, 2017 год) 🔵 устранена в следующих релизах: ✓6.18.22 (стабильная ветка) — commit fafe0fa2995a ✓6.19.12 (стабильная ветка) — commit ce42ee423e58 ✓7.0-rc7 (мейнлайн) — commit a664bf3d603d Для контейнерных и sandbox-нагрузок целесообразно блокировать создание сокетов AF_ALG через seccomp независимо от состояния патчей. Влияние на сервисы Yandex Cloud Обновили конфигурации инфраструктуры Yandex Cloud для применения митигирующих мер. 🔔Пользователям сервиса Yandex Managed Service for Kubernetes® нужно самостоятельно применить митигирующую меру на узлах своих кластеров. Для этого опубликован DaemonSet, который отключает модуль algif_aead. Применение выполняется штатной командой:
$ kubectl apply -f copy-fail-mitigation-daemonset.yaml
Актуальные версии образов в Yandex Cloud Marketplace, содержащие митигирующие меры, готовим к публикации. 📍 Если вам нужна дополнительная информация, пожалуйста, напишите на cloudtrust@yandex-team.ru. 👍 — спасибо, было полезно

💻 Разработали архитектуру безопасной и удобной мультирегиональности Сама по себе мультирегиональность существовала в облаках
+4
💻 Разработали архитектуру безопасной и удобной мультирегиональности Сама по себе мультирегиональность существовала в облаках и до нас. Но когда мы запускали Yandex Cloud в Казахстане, перед нами встала сложная инженерная дилемма: как сделать управление ресурсами в разных регионах удобным, сохранив их полную независимость?
⏪️ Привет! На связи Антон Дедов, архитектор функций безопасности IAM в Yandex Cloud. Традиционные провайдеры либо заставляют заводить отдельную организацию для каждого региона (безопасно, но жутко неудобно), либо делают один административное пространство на все регионы (удобно, но если произойдёт инцидент безопасности в одном регионе, то он может задеть и другие регионы). Я и мои коллеги Аркадий Вязников, Владислав Архипов и Евгений Сидоров решили, что компромиссы не для нас, и разработали принципиально новый подход. А недавно и получили на него патент. Самое главное о технологии — в карточках, а подробности — в статье⏩️.
⚡️ — заслуженный патент всей команде! ➡️ Давайте разрабатывать такие решения вместе?

Если вы в Казахстане и вам нужен сервис для безопасного хранения и управления артефактами ПО — забирайте! Теперь наш Yandex C
Если вы в Казахстане и вам нужен сервис для безопасного хранения и управления артефактами ПО — забирайте! Теперь наш Yandex Cloud Registry доступен и в Казахстане ⭐️ В Yandex Cloud Registry можно хранить: 🔺Docker‑образы 🔺Java-артефакты 🔺Node.js‑артефакты Благодаря реестру Yandex Cloud Registry вы значительно упростите управление зависимостями между компонентами проекта.
Реестр — это централизованное хранилище и инструмент управления различными файлами, которые используются при разработке и развертывании приложений.
Команды, которые работают над крупными и сложными проектами, смогут хранить в каждом реестре наборы версий пакетов, связанных с определёнными ресурсами облака. Узнать подробнее и попробовать Yandex Cloud Registry бесплатно

Хотели на CISO Forum 2026, но не получилось? Можем рассказать, что было на наших докладах — выбирайте, с какого начать ⬆️⬆️ А если все получилось и вы уже тут — приходите знакомится на наш стенд! Ищите нас на втором этаже рядом с зоной переговоров и залом, где пройдёт трек B.

О каком докладе рассказать в первую очередь?
Anonymous voting

✔️ Фото готовы, записи на сайте, Cloud Security Day зафинален. Спасибо за то, что слушали, задавали вопросы и были с нами онл
+9
✔️ Фото готовы, записи на сайте, Cloud Security Day зафинален. Спасибо за то, что слушали, задавали вопросы и были с нами онлайн и офлайн! Участвовали, понравилось, было полезно? Ставьте ❤️

Что будет, если итоговое решение в ИБ оставить за ИИ-агентом, а не за человеком⬆️ 👁‍🗨 ИИ-агент в ИБ — это не магическая кно
+2
Что будет, если итоговое решение в ИБ оставить за ИИ-агентом, а не за человеком⬆️ 👁‍🗨 ИИ-агент в ИБ — это не магическая кнопка «разобрать инцидент за меня». Он правда умеет быстро анализировать алерты, подтягивать контекст и предлагать действия. Но если дать ему слишком много свободы, можно получить не ускорение SOC, а новый класс отказов.
В карточках показываем на реальном сценарии, почему ИИ-агенту нельзя просто дать доступы и пустить в прод. И как выглядит ИИ-помощник, которому можно доверять.
В статье на Хабре Сергей Нестерук, который отвечает за безопасность применения искусственного интеллекта в Yandex Cloud, рассказывает, как сделать из ИИ-агента доверенного члена команды ИБ. → Читать

Приходите послушать команду Yandex B2B Tech на CISO Forum 2026! 🕒 28 апреля ждём вас в московском Центре Международной Торго
+4
Приходите послушать команду Yandex B2B Tech на CISO Forum 2026! 🕒 28 апреля ждём вас в московском Центре Международной Торговли. Эксперты Yandex B2B Tech выступят сразу в нескольких треках. Подробности о докладах собрали в карточках⬆️ О дискуссиях рассказываем ниже: 👁‍🗨 Метрики эффективной ИБ Обсудим, какие метрики покажут бизнесу состояние реальной защиты. Спикер: Никита Гергель, руководитель Cloud Security & Compliance 👁‍🗨 ИИ и AI агенты в кибербезопасности Новые возможности на всех этапах работы с агентами и встраивание ИБ в жизненный цикл ИИ. Спикер: Евгений Сидоров, CISO Yandex Cloud. ✔️ Приходите пообщаться на наш стенд — обсудить продукты и реальные кейсы из мира ИБ. Ищите нас на втором этаже рядом с зоной переговоров и залом, где пройдёт трек B. Полная программа на сайте форума

Недавно подписались? Добро пожаловать в «Безопасно говоря» 🖤 Здесь — все о безопасности облачной инфраструктуры от команды Y
+2
Недавно подписались? Добро пожаловать в «Безопасно говоря» 🖤 Здесь — все о безопасности облачной инфраструктуры от команды Yandex Cloud, которая защищает ее каждый день: 👁‍🗨 практика, 👁‍🗨 кейсы, 👁‍🗨 инсайты.
✔️ Вот какие посты больше всего сохраняли и пересылали наши подписчики: Список всех наших бесплатных курсов по SecurityТоп киберугроз в облакеЗакрываем свежие уязвимости в ReactServer Components и Next.jsКак YCDR помог AstraZeneca повысить безопасность в облакеНовая версия Yandex Ruleset в SWS: добавили новые сигнатуры
А еще рассказываем о вебинарах, митапах и конференциях. И иногда развлекаемся, как в бинго по защите ПДн → Ждем ваших идей — что еще было бы вам полезно?