Информационная
безопасность
Наша команда заботится о безопасности сервисов Яндекса. Пользователи доверяют нам свои данные, а мы надежно их защищаем. Наша работа — находить безопасное и удобное решение для любой задачи.
О нас в цифрах
более
1 ТБ
логов в день мы обрабатываем
более25
аудитов в год мы проходим
более100 млн
строк кода в месяц мы проверяем
более2000
инцидентов в день мы регистрируем
21 млн
запросов в секунду мы отразили в самой крупной DDoS-атаке
Наши команды
1
Security Engineering
2
Anti-fraud
3
Security Operations
4
Compliance
5
Awareness
6
Access management
Security Engineering
Команда Security Engineering помогает бизнесу обеспечивать безопасность. Мы решаем разные задачи технической безопасности — от инфраструктуры до бизнес-логики приложений.
Чем мы занимаемся:
- Обеспечиваем безопасность на разных этапах жизни продукта: от проектирования нового сервиса до его runtime;
- Консультируем по вопросам безопасности другие команды Яндекса. Например, рассказываем, как правильно организовать хранение критичных данных или интегрировать новый сервис;
- Помогаем проектировать функциональности для защиты данных наших пользователей;
- Участвуем в мероприятиях для получения сертификатов, которые позволяют нашим сервисам подтверждать высокий уровень безопасности;
- Расследуем инциденты безопасности.
Всё это делает нашу работу разнообразной и захватывающей. Скучать будет некогда :)
Antifraud
Команда Антифрода защищает сервисы от внешних угроз с помощью машинного обучения и других алгоритмов, которые помогают извлекать полезную информацию из данных. Мы анализируем поведенческие и технические сигналы, чтобы понимать, исходит ли запрос к сервисам Яндекса от робота или от человека, и отличать настоящие отзывы и рейтинги от накрученных.
Чем мы занимаемся
- Защищаем продукты и сервисы Яндекса от DDoS. Мы обеспечиваем принятие точных решений на распределенной системе за 1 миллисекунду под миллионами RPS;
- Делаем капчу приятней. Иногда люди сталкиваются с капчей, и мы хотим сделать опыт взаимодействия с ней максимально легким;
- Обеспечиваем антифрод пользовательского контента. Сервисы хотят честные рейтинги и ненакрученный контент. Например, отзывы на Картах, комментарии к постам в Кью, лайки, подписки. А мы помогаем в этом.
Пишем о том, почему отказались от расширения для 8 млн пользователей.
Рассказываем о том, как расследовали крупнейшую DDoS-атаку в истории
интернета.
интернета.
Объясняем простыми словами, что такое антифрод.
Говорим о том, как рассчитываем факторы в антифроде.
Рассуждаем об особенностях ML в антифроде.
Делимся тем, как делаем комфортными для людей продукты по борьбе с
роботами.
роботами.
Security Operations
Команда Security Operations защищает сервисы Яндекса от внутренних и внешних угроз. В режиме реального времени мы обрабатываем террабайты данных для того, чтобы найти аномалии, связанные с возможными нарушениями безопасности. Мы решаем множество интересных задач от расследования инцидентов в гибридных инфраструктурах и до развития инфраструктуры, позволяющей обрабатывать большой поток входящих событий и находить злоумышленников.
Чем мы занимаемся
- Расследуем инциденты и целевые атаки в гибридных инфраструктурах;
- Помогаем бизнесу обеспечивать мониторинг безопасности систем и сервисов;
- Развиваем Multicloud-инфраструктуру SOC по обработке больших данных.
Compliance
Команда Compliance помогает сервисам Яндекса и инженерам безопасности выстраивать процессы так, чтобы они соответствовали международным стандартам информационной безопасности. В первую очередь мы заботимся о реальной безопасности наших сервисов и снижении рисков. Яндекс быстро растет и меняется, стремится использовать передовые технологии, а мы помогаем гибко настроить процессы под развитие компании.
В нашей команде
- Можно посмотреть работающие процессы безопасности, часто они масштабные и затрагивают сотни и тысячи людей;
- Много интересных проектов, можно попробовать себя в качестве главного менеджера проекта или поучиться у коллег;
- Большой спектр стандартов, по которым мы работаем: ISO 27001, ISO 27701, SOC 2 Type 2, PCI DSS, ГОСТ, GDPR и пр;
- Мы регулярно проходим сертификационные аудиты и подтверждаем, что наши процессы соответствуют международным стандартам;
- Нет бюрократии и 1000 согласований, процессы простые и понятные;
- Слышат мнение каждого, и опыт каждого сотрудника важен для нас;
- Можно расти и развиваться вместе с командой, мы сертифицируем новые бизнесы, внедряем новые стандарты.
Рассказываем, как и зачем проходить сертификацию AICPA SOC 2 и 3
Awareness
Команда Awareness развивает цифровую грамотность сотрудников — объясняет, какие есть угрозы и что нужно делать, чтобы их избежать. Обучение сотрудников позволяет создать культуру безопасности, внедрить безопасные бизнес-процессы и повысить доверие клиентов и партнеров.
Яндекс быстро растет и меняется, при этом стремится использовать передовые технологии, а мы помогаем компании оперативно реагировать на инциденты безопасности и устранять их — это снижает риски экономических потерь и делает бизнес более эффективным.
Чем мы занимаемся
- Разрабатываем и продвигаем онлайн-курсы по информационной безопасности (ИБ) для сотен и тысяч людей;
- Развиваем культуру безопасности в Яндексе: например, рассказываем о безопасных процессах или пишем простым языком статьи о них, чтобы сотрудники делали правильный и безопасный выбор в повседневной работе;
- Демонстрируем ценность безопасного продукта и процесса, придумываем и внедряем схемы мотивации сотрудников, поощряем тех, кто успешно продвигает ИБ в Яндексе;
- Организовываем мероприятия по ИБ, выстраиваем отношения с другими представителями IT-индустрии в этой области;
- Придумываем классный мерч, чтобы повышать узнаваемость бренда Информационной безопасности как в Яндексе, так и вовне;
- Растем и развиваемся вместе с командой, где слышат мнение и ценят опыт каждого сотрудника;
- Внедряем новые процессы и стандарты.
Access management
Команда управления доступами выстраивает безопасные процессы
управления логическим доступом.
Чем мы занимаемся
- Внедряем и улучшаем процессы управления логическим доступом в информационных системах;
- Анализируем и корректируем ролевые модели, в том числе для идентификации недопустимого сочетания ролей и полномочий (SoD);
- Оцениваем риски ИБ в части управления доступами;
- Разрабатываем требования к функциональности корпоративной системы управления доступами (IDM).
Наш вклад в комьюнити
1
Education activity
2
Security tooling
Почему ты выбрал(а) Яндекс?
«В отличие от консалтинга, работа в безопасности Яндекса позволяет мне почувствовать значимость моей работы для пользователей. Мне безумно нравится ощущение от выпуска продуктов в мир, ведь именно я и наша команда помогли этому продукту быть безопаснее.»
Андрей
команда Security Engineering
«В команде безопасности Яндекса я осознал, что попал в окружение настоящих профессионалов своего дела, у которых много чему научился и теперь стараюсь передавать эти знания другим.»
Александр
команда Access Management
«Для меня важно выбирать интересные задачи и прокачивать свои скиллы в разных областях. Мои ожидания оправдались.»
Иван
команда Security Engineering
«Хочу быть в тренде! Многие новшества в России тестирует именно Яндекс благодаря новым топовым технологиям, которые сотрудники сами и изобрели.»
Алексей команда Anti-Fraud
«Реальная безопасность и реальные инциденты. Яндекс — интересная цель для многих атакующих, и у нас есть возможность поохотиться за свежими техниками и тактиками.»
Антон команда SOC
«Технологический стек с человеческим лицом. Можно делать проекты, а не думать, как перед этим организовать хранения кода, на каком железе развернуть, где взять на это бюджет и где набрать админов.»
Дмитрий команда Security Engineering
«Люди, которые делают Яндекс Яндексом. Безопасники Яндекса — это люди, которые решают нетривиальные проблемы, о которых обычно даже не пишут в книжках и статьях.»
Анна команда Compliance
«В отличие от консалтинга, работа в безопасности Яндекса позволяет мне почувствовать значимость моей работы для пользователей. Мне безумно нравится ощущение от выпуска продуктов в мир, ведь именно я и наша команда помогли этому продукту быть безопаснее.»
Андрей
команда Security Engineering
«В команде безопасности Яндекса я осознал, что попал в окружение настоящих профессионалов своего дела, у которых много чему научился и теперь стараюсь передавать эти знания другим.»
Александр
команда Access Management
«Для меня важно выбирать интересные задачи и прокачивать свои скиллы в разных областях. Мои ожидания оправдались.»
Иван
команда Security Engineering
«Хочу быть в тренде! Многие новшества в России тестирует именно Яндекс благодаря новым топовым технологиям, которые сотрудники сами и изобрели.»
Алексей команда Anti-Fraud
«Реальная безопасность и реальные инциденты. Яндекс — интересная цель для многих атакующих, и у нас есть возможность поохотиться за свежими техниками и тактиками.»
Антон команда SOC
«Технологический стек с человеческим лицом. Можно делать проекты, а не думать, как перед этим организовать хранения кода, на каком железе развернуть, где взять на это бюджет и где набрать админов.»
Дмитрий команда Security Engineering
«Люди, которые делают Яндекс Яндексом. Безопасники Яндекса — это люди, которые решают нетривиальные проблемы, о которых обычно даже не пишут в книжках и статьях.»
Анна команда Compliance
20 вакансий
Security Engineer в Автономный транспорт
Яндекс активно развивает технологии автономного вождения. Приглашаем вас улучшать безопасность инфраструктуры, роботов и автомобилей. Вы будете внедрять и поддерживать практики DevSecOps, выявлять и устранять уязвимости, а также изучать новые угрозы и методы защиты, чтобы применять эти знания.
Антифрод & Антиробот
Ищем сильного аналитика, которому интересны алгоритмы анализа данных для поиска аномалий, обнаружения мошеннических действий, DDoS-атак и нежелательного контента.
Технический менеджер проектов в команду информационной безопасности
Мы ищем специалиста, который поможет улучшать процессы информационной безопасности сервисов Яндекса. Ждём кандидатов с опытом обработки массивов данных в форматах JSON, TSKV, CSV и работы с логами веб-сервисов.
Security Engineer в Фантех
Мы ищем инженера, который поможет командам Фантеха выкатывать защищённые сервисы, обеспечивать безопасность пользовательских данных и контент правообладателей. Приходите, если понимаете код на популярных языках программирования и умеете находить уязвимости.
Аpplication security engineer (Junior/Middle)
Команда Security Engineering помогает бизнесам обеспечивать безопасность. Приходите к нам, если интересуетесь SDLC и анализом безопасного кода на Java, Python, Go, C++. Будет много интересного: расследования, обучение, конференции.
Application Security
Вам предстоит выступать экспертом по ИБ для команд разработки, проводить анализ защищённости существующих продуктов компании, автоматизировать свою работу, используя Python или Go. Пригодится опыт в безопасности веб-приложений, понимание устройства *nix-систем, SDLC.
Hardware security
Команда Hardware Security помогает анализировать защищённость аппаратной части сервисов Яндекса и улучшать её. Мы ищем инженеров, которые будут заниматься безопасностью умных устройств и беспилотных автомобилей. Откликайтесь, если знаете механизмы безопасности Android, владеете Golang или Python.
SOC
Команда Security Operations защищает сервисы Яндекса от внутренних и внешних угроз. Мы ищем специалиста, который поможет расследовать инциденты и развивать многооблачную инфраструктуру SOC для обработки больших данных.
Infrastructure security
Мы ищем инженеров, которые будут обеспечивать безопасность конечных устройств и заниматься задачами пользовательской инфраструктуры в Маркете. Откликайтесь, если разбираетесь в безопасности инфраструктуры управления, знаете Golang или Python.
Security Еngineer в Рекламу
Команда продуктовой безопасности Яндекса ищет опытного AppSec-инженера, который будет выстраивать архитектуру безопасности высоконагруженных сервисов, прокачиваться в харденингах самых неожиданных конфигураций и автоматизировать процессы.
Security engineer (вендорные решения)
Команда безопасности Яндекса ищет специалиста, который будет исследовать уязвимости вендорных решений, автоматизировать процессы их безопасности и внедрять инструменты DevSecOps. Приходите, если уже занимались безопасностью веб-приложений и имели дело с DevOps-технологиями в области ИБ.
Руководитель разработки инструментов ИБ
Мы создаём инструменты, которые защищают миллионы пользователей от спама и вредоносных сайтов. Ищем тимлида, который поможет переосмыслить подход к разработке сервисов безопасности и задаст вектор развития. Откликайтесь, если разрабатывали бэкенд-системы, знаете Python и управляли командой.
Инженер инфраструктурной группы SOC
SOC Яндекса работает с большим количеством источников информации, чтобы обеспечить мониторинг ИБ и оперативное реагирование. Мы ищем инженера, который усилит команду в направлении работы с агентами безопасности. Приходите, если работали с оsquery или Sysmon, пишете на Bash и Python.
Security engineer в команду безопасности Яндекс Go
Команда безопасности Яндекс Go ищет специалиста, который будет находить нетривиальные уязвимости в коде и инфраструктуре сервисов. Приходите, если разбираетесь в безопасности веб-приложений и умеете писать код на Golang и Python.
Специалист ИБ в группу управления логическим доступом
Яндекс уделяет большое внимание информационной безопасности, за это в компании отвечает целая служба. Мы ищем в команду специалиста, который будет участвовать в улучшении процессов управления логическим доступом внутри сервисов Яндекса.
Security engineer в Маркет
Яндекс Маркет — один из крупнейших маркетплейсов в России с миллионами товаров. Ищем специалиста, который будет отвечать за безопасность сервисов Маркета. Если вы любите искать нетривиальные уязвимости в коде, общаться с командами, делать процесс разработки безопаснее – приходите, мы вас ждём!
Тимлид в команду безопасности Яндекс Браузера
Мы ищем тимлида в команду, которая занимается безопасностью Браузера. Вы будете отвечать за ревью архитектурных решений, развитие процессов SDLC, безопасность кодовой базы приложения Браузера и сервисов вокруг него, а также развивать команду и практики ИБ в рамках всей службы.
Infrastructure Security Engineer (Endpoints)
Сотрудники Яндекса работают на разных операционных системах. Мы ищем специалиста, который будет заниматься безопасностью пользовательской IT-инфраструктуры. Если вы готовы применять лучшие практики, изучать новые технологии и развиваться вместе с нами — ждём вас в команде.
Hardware Security Engineer в Умные устройства
Сервисы Яндекса активно развиваются на стыке онлайна и офлайна: самокаты и каршеринг от Yandex Go, постаматы Яндекс Маркета и умные устройства с Алисой. Мы ищем специалистов со знанием ОС Linux и механизмов её безопасности. Вам предстоит анализировать защищённость новых устройств и продуктов.
Security engineer в Поиск
Ищем опытного security-инженера в сердце Яндекса — Поиск. Вы будете решать задачи, затрагивающие безопасность миллионов пользователей и десятков продуктов. Если вы любите искать нетривиальные уязвимости в коде, общаться с командами, делать процесс разработки безопаснее – приходите, мы вас ждем!
Tue Mar 12 2024 23:20:27 GMT+0300 (Moscow Standard Time)