Дайджест новостей безопасности

Новости индустрииНовости индустрии

Российские компании начали обучать специалистов по тестированию безопасности компьютерных систем.

В прошлой подборке новостей мы рассказывали о CISO‑форуме, на котором Алексей Миртов проводил мастер‑класс, посвящённый безопасной разработке в облаке. Форум прошёл 14 апреля и на нём говорилось о том, что нужно обучать пентестеров именно «в отрасли».

Мы в Yandex Cloud тоже считаем важным развивать эту сферу и повышать квалификацию специалистов по кибербезопасности. Для этого мы помогаем организовывать хакерские соревнования (CTF), о чём я рассказывал в статье на vc.ru. А ещё Yandex Cloud разрабатывает курсы по безопасности — они бесплатны и доступны для всех.

Yandex CloudYandex Cloud

Кейсы по соответствию требованиямКейсы по соответствию требованиям

Помогаем выполнять требования безопасности — компания Skillaz прошла аттестацию по 152-ФЗ и получила сертификат соответствия ИСПДн уровню защищённости УЗ-2, а финтех TalkBank получил международный сертификат PCI DSS.

Эти два кейса подтверждают, что выполнять требования безопасности в облаке — точно не проблема. Yandex Cloud берёт на себя существенную часть работ по аттестации. Кроме того, платформа соответствует требованиям PCI DSS 3.2.1 как Level 1 Service Provider — это сильно облегчает клиенту процесс создания инфраструктуры, отвечающей требованиям PCI DSS.

Продуктовые апдейтыПродуктовые апдейты

В MaxPatrol SIEM появились новые правила для мониторинга событий на ресурсах Yandex Cloud — 50 правил нормализации событий и 20 правил корреляции.

Вместе с командой MaxPatrol SIEM мы разработали и протестировали большое количество правил. Важно, что они расширяют возможности мониторинга и на инфраструктуру, развёрнутую в Kubernetes. Напомню, что компания Gartner прогнозирует, что к 2025 году 85% компаний будут использовать микросервисы, тогда как в 2020 году таких компаний было менее 30%.

В Yandex Cloud появилась возможность добавлять сервисные аккаунты в группу пользователей.

Это небольшое, но важное обновление — теперь намного проще управлять правами доступа.

Поиск секретов Yandex Cloud — делимся типами и способами поиска секретов в открытых источниках.

Подготовили для документации инструкцию, которая описывает процесс поиска секретов и что делать после их обнаружения. А ещё делимся сценарием, как с помощью секрета в Yandex Lockbox безопасно хранить пароли при создании ВМ Windows.