Практический видеокурс Школы информационной безопасности

в 10:06, , рубрики: IPv6, безопасность ios, безопасность веб-приложений, безопасность мобильных приложений, безопасность ос, безопасность приложений, Блог компании Яндекс, видеокурсы, виртуализация, информационная безопасность, контейнеризация, криптография, курсы, Промышленное программирование, расследование инцидентов

Нет смысла лишний раз напоминать, почему при разработке сервисов важно уделять внимание безопасности. Поговорим о том, как строить системы защиты, поддерживать их в актуальном состоянии и развивать с увеличением числа угроз. Довольно много практических знаний по этой теме можно получить из интернета. Теория, в свою очередь, неплохо освещается в нескольких российских вузах. Есть и множество полезной литературы. Но хорошего специалиста по безопасности отличает не просто знание инструментов и теории, а способность применять теорию в реальных ситуациях.

В апреле этого года мы впервые провели бесплатную Школу информационной безопасности. Лекции в школе подготовили и прочитали сотрудники службы ИБ Яндекса — те специалисты, которые непосредственно отвечают за защиту наших продуктов. Мы получили более 700 заявок, 35 человек успешно закончили школу, 9 из них получили офферы в Яндекс (7 — на позицию стажёра, 2 — на штатную позицию).

Сегодня мы публикуем видеокурс со всеми лекциями Школы. Вы можете почерпнуть те же знания, что и студенты — разве что интерактива поменьше и не нужно делать домашнее задание. Для просмотра стоит знать хотя бы один язык программирования (JS, Python, C++, Java), на начальном уровне разбираться в принципах построения и работы веб-приложений, понимать принципы работы операционных систем и сетевой инфраструктуры, а также основные типы атак и виды уязвимостей.

Надеемся, этот курс прокачает вас в роли специалиста по ИБ, а также поможет защитить ваши сервисы от утечек данных и атак злоумышленников.

001. Безопасность веб-приложений — Эльдар Заитов

Расскажем про устройство современного веба — микросервисную архитектуру, технологические, архитектурные уязвимости и как их предотвращать. Разберем уязвимости на стороне клиента. Поговорим про способы эксплуатации.

002. Безопасность мобильных приложений — Ярослав Бучнев

Поговорим о типовых уязвимостях мобильных приложений и о том, как их предотвращать на iOS и Android.

003. Сетевая безопасность — Борис Лыточкин

— Мощность DDoS атак превысила 1Tbit/s: кто виноват и что делать?
— Безопасность в IPv6: можно ли предотвратить arp spoofing, используя IPv6?
— Так ли безопасен WiFi? Заходите, открыто или ретроспектива развития безопасности в WiFi с первого стандарта до 2018.

004. Безопасность ОС — Игорь Гоц

Расскажем про классическую модель безопасность UNIX и расширения Posix ACL, системы журналирования syslog и journald. Обсудим мандатные модели доступа (SELinux, AppArmor), устройство netfilter и iptables, а также procfs, sysctl и hardening OS. Поговорим про устройство стекового фрейма и уязвимости, связанные с переполнением буфера на стеке, механизмы защиты от подобных атак: ASLR, NX-Bit, DEP.

005. Безопасность бинарных приложений — Андрей Ковалев

Поговорим о безопасности компилируемых приложений. В частности, рассмотрим уязвимости, связанные с порчей памяти (out of bound, use after free, type confusion), а также компенсационные технические меры, которые применяются в современных компиляторах для снижения вероятности их эксплуатации.

006. Расследование инцидентов. Форензика — Антон Конвалюк

Поговорим про подходы к обнаружению и расследованию инцидентов и основные проблемы, с которыми приходится сталкиваться. Также рассмотрим некоторые инструменты, которые помогают расследовать инциденты, и попробуем их на практике.

007. Виртуализация и контейнеризация — Антон Конвалюк

Для повышения КПД серверов мы в Яндексе используем контейнеры. В этой лекции по безопасности рассмотрим основные технологии, которые обеспечивают виртуализацию и контейнеризацию. Основной упор сделаем на контейнеризацию, как на наиболее популярный способ деплоя приложений. Поговорим про capabilities, namespaces, cgroups и прочие технологии, посмотрим, как это работает в современных Linux-системах на примере Ubuntu.

008. Криптография — Евгений Сидоров

Инженеры ИБ в Яндексе каждый день применяют знания о криптографии. Расскажем про то, как они это делают, про PKI, её недостатки и TLS разных версий. Рассмотрим атаки на TLS и методы ускорения протокола. Обсудим технологию Certificate Transparency, протокол Roughtime, баги в реализации алгоритмов и протоколов, а также скрытые недостатки различных фреймворков.

Автор: tokza

Источник

Поделиться

* - обязательные к заполнению поля