Александр расскажет об автоматике, которую создали в Авито для закрытия доступа к публичным файлам в облаке. Он опишет процесс, который мы построили для сокращения числа публичных файлов в два раза. А еще вспомним о нескольких забытых edge-кейсах.
О спикере: Инженер, ведущий в безопасное будущее. Замкадыш из Новосибирска. 7+ лет занимаюсь тестированием на проникновение и разработкой решений для продуктовой безопасности. Неравнодушен к реверс-инжинирингу, эксплуатации бинарных уязвимостей и языку Rust.
00:00 | Вступление
00:58 | С чего всё начиналось
02:05 | Появился процесс контроля публичных файлов на гугл-диске
02:25 | Что мы увидели в выдаче по слову «пароль»
03:09 | Быстрый подход к решению проблемы
04:30 | Подход с полным погружением
06:55 | Системный подход
07:53 | Процесс аппрува: файлы
09:05 | Процесс аппрува: папки
09:54 | Подход к техдолгу
10:58 | Edge-case: Спам
12:13 | Edge-case: два домена
13:00 | Итоговая схема
14:00 | Результаты
15:30 | Вопрос из зала: насколько выросла нагрузка на дежурного тех.специалиста?
16:47 | Вопрос из зала: по каким ключевым словам искали файлы?
18:23 | Вопрос из зала: были ли проблемы в коммуникации с бизнесом?
19:00 | Вопрос из зала: не пора ли поменять Google на что-то более безопасное?
19:15 | Вопрос из youtube: какова вероятность пропустить стоящий файл из-за rate-лимита?
20:00 | Вопрос из зала: есть ли лазейка в системе?
21:03 | Вопрос из зала: какие данные файлов учитываете?
21:45 | Вопрос из зала: на каком этапе осуществляется контроль загрузки данных?
22:30 | Вопрос из зала: насколько ваше решение применимо к хранилищам более низкого типа?
23:13 | Вопрос из зала: пробовали ли прикрутить Data Loss Prevention?
00:58 | С чего всё начиналось
02:05 | Появился процесс контроля публичных файлов на гугл-диске
02:25 | Что мы увидели в выдаче по слову «пароль»
03:09 | Быстрый подход к решению проблемы
04:30 | Подход с полным погружением
06:55 | Системный подход
07:53 | Процесс аппрува: файлы
09:05 | Процесс аппрува: папки
09:54 | Подход к техдолгу
10:58 | Edge-case: Спам
12:13 | Edge-case: два домена
13:00 | Итоговая схема
14:00 | Результаты
15:30 | Вопрос из зала: насколько выросла нагрузка на дежурного тех.специалиста?
16:47 | Вопрос из зала: по каким ключевым словам искали файлы?
18:23 | Вопрос из зала: были ли проблемы в коммуникации с бизнесом?
19:00 | Вопрос из зала: не пора ли поменять Google на что-то более безопасное?
19:15 | Вопрос из youtube: какова вероятность пропустить стоящий файл из-за rate-лимита?
20:00 | Вопрос из зала: есть ли лазейка в системе?
21:03 | Вопрос из зала: какие данные файлов учитываете?
21:45 | Вопрос из зала: на каком этапе осуществляется контроль загрузки данных?
22:30 | Вопрос из зала: насколько ваше решение применимо к хранилищам более низкого типа?
23:13 | Вопрос из зала: пробовали ли прикрутить Data Loss Prevention?
