Александр расскажет об автоматике, которую создали в Авито для закрытия доступа к публичным файлам в облаке. Он опишет процесс, который мы построили для сокращения числа публичных файлов в два раза. А еще вспомним о нескольких забытых edge-кейсах.
О спикере: Инженер, ведущий в безопасное будущее. Замкадыш из Новосибирска. 7+ лет занимаюсь тестированием на проникновение и разработкой решений для продуктовой безопасности. Неравнодушен к реверс-инжинирингу, эксплуатации бинарных уязвимостей и языку Rust.
00:00 | Вступление 00:58 | С чего всё начиналось 02:05 | Появился процесс контроля публичных файлов на гугл-диске 02:25 | Что мы увидели в выдаче по слову «пароль» 03:09 | Быстрый подход к решению проблемы 04:30 | Подход с полным погружением 06:55 | Системный подход 07:53 | Процесс аппрува: файлы 09:05 | Процесс аппрува: папки 09:54 | Подход к техдолгу 10:58 | Edge-case: Спам 12:13 | Edge-case: два домена 13:00 | Итоговая схема 14:00 | Результаты 15:30 | Вопрос из зала: насколько выросла нагрузка на дежурного тех.специалиста? 16:47 | Вопрос из зала: по каким ключевым словам искали файлы? 18:23 | Вопрос из зала: были ли проблемы в коммуникации с бизнесом? 19:00 | Вопрос из зала: не пора ли поменять Google на что-то более безопасное? 19:15 | Вопрос из youtube: какова вероятность пропустить стоящий файл из-за rate-лимита? 20:00 | Вопрос из зала: есть ли лазейка в системе? 21:03 | Вопрос из зала: какие данные файлов учитываете? 21:45 | Вопрос из зала: на каком этапе осуществляется контроль загрузки данных? 22:30 | Вопрос из зала: насколько ваше решение применимо к хранилищам более низкого типа? 23:13 | Вопрос из зала: пробовали ли прикрутить Data Loss Prevention?