Дайджест новостей безопасности
Менеджер продуктов безопасности Yandex Cloud Рами Мулейс делится новостями индустрии.
Новости индустрии
Российские компании начали обучать специалистов по тестированию безопасности компьютерных систем.
В прошлой подборке новостей мы рассказывали о CISO‑форуме, на котором Алексей Миртов проводил мастер‑класс, посвящённый безопасной разработке в облаке. Форум прошёл 14 апреля и на нём говорилось о том, что нужно обучать пентестеров именно «в отрасли».
Мы в Yandex Cloud тоже считаем важным развивать эту сферу и повышать квалификацию специалистов по кибербезопасности. Для этого мы помогаем организовывать хакерские соревнования (CTF), о чём я рассказывал в статье на vc.ru. А ещё Yandex Cloud разрабатывает курсы по безопасности — они бесплатны и доступны для всех.
Yandex Cloud
Кейсы по соответствию требованиям
Помогаем выполнять требования безопасности — компания Skillaz прошла аттестацию по 152-ФЗ и получила сертификат соответствия ИСПДн уровню защищённости УЗ-2, а финтех TalkBank получил международный сертификат PCI DSS.
Эти два кейса подтверждают, что выполнять требования безопасности в облаке — точно не проблема. Yandex Cloud берёт на себя существенную часть работ по аттестации. Кроме того, платформа соответствует требованиям PCI DSS 3.2.1 как Level 1 Service Provider — это сильно облегчает клиенту процесс создания инфраструктуры, отвечающей требованиям PCI DSS.
Продуктовые апдейты
В MaxPatrol SIEM появились новые правила для мониторинга событий на ресурсах Yandex Cloud — 50 правил нормализации событий и 20 правил корреляции.
Вместе с командой MaxPatrol SIEM мы разработали и протестировали большое количество правил. Важно, что они расширяют возможности мониторинга и на инфраструктуру, развёрнутую в Kubernetes. Напомню, что компания Gartner прогнозирует, что к 2025 году 85% компаний будут использовать микросервисы, тогда как в 2020 году таких компаний было менее 30%.
В Yandex Cloud появилась возможность добавлять сервисные аккаунты в группу пользователей.
Это небольшое, но важное обновление — теперь намного проще управлять правами доступа.
Поиск секретов Yandex Cloud — делимся типами и способами поиска секретов в открытых источниках.
Подготовили для документации инструкцию, которая описывает процесс поиска секретов и что делать после их обнаружения. А ещё делимся сценарием, как с помощью секрета в Yandex Lockbox безопасно хранить пароли при создании ВМ Windows.
В этой статье мы расскажем: