Хабрахабр

Практический видеокурс Школы информационной безопасности

Нет смысла лишний раз напоминать, почему при разработке сервисов важно уделять внимание безопасности. Поговорим о том, как строить системы защиты, поддерживать их в актуальном состоянии и развивать с увеличением числа угроз. Довольно много практических знаний по этой теме можно получить из интернета. Теория, в свою очередь, неплохо освещается в нескольких российских вузах. Есть и множество полезной литературы. Но хорошего специалиста по безопасности отличает не просто знание инструментов и теории, а способность применять теорию в реальных ситуациях.

Лекции в школе подготовили и прочитали сотрудники службы ИБ Яндекса — те специалисты, которые непосредственно отвечают за защиту наших продуктов. В апреле этого года мы впервые провели бесплатную Школу информационной безопасности. Мы получили более 700 заявок, 35 человек успешно закончили школу, 9 из них получили офферы в Яндекс (7 — на позицию стажёра, 2 — на штатную позицию).

Вы можете почерпнуть те же знания, что и студенты — разве что интерактива поменьше и не нужно делать домашнее задание. Сегодня мы публикуем видеокурс со всеми лекциями Школы. Для просмотра стоит знать хотя бы один язык программирования (JS, Python, C++, Java), на начальном уровне разбираться в принципах построения и работы веб-приложений, понимать принципы работы операционных систем и сетевой инфраструктуры, а также основные типы атак и виды уязвимостей.

Надеемся, этот курс прокачает вас в роли специалиста по ИБ, а также поможет защитить ваши сервисы от утечек данных и атак злоумышленников.

001. Безопасность веб-приложений — Эльдар Заитов

Разберем уязвимости на стороне клиента. Расскажем про устройство современного веба — микросервисную архитектуру, технологические, архитектурные уязвимости и как их предотвращать. Поговорим про способы эксплуатации.

002. Безопасность мобильных приложений — Ярослав Бучнев

Поговорим о типовых уязвимостях мобильных приложений и о том, как их предотвращать на iOS и Android.

003. Сетевая безопасность — Борис Лыточкин

Заходите, открыто или ретроспектива развития безопасности в WiFi с первого стандарта до 2018. — Мощность DDoS атак превысила 1Tbit/s: кто виноват и что делать?
— Безопасность в IPv6: можно ли предотвратить arp spoofing, используя IPv6?
— Так ли безопасен WiFi?

004. Безопасность ОС — Игорь Гоц

Обсудим мандатные модели доступа (SELinux, AppArmor), устройство netfilter и iptables, а также procfs, sysctl и hardening OS. Расскажем про классическую модель безопасность UNIX и расширения Posix ACL, системы журналирования syslog и journald. Поговорим про устройство стекового фрейма и уязвимости, связанные с переполнением буфера на стеке, механизмы защиты от подобных атак: ASLR, NX-Bit, DEP.

005. Безопасность бинарных приложений — Андрей Ковалев

В частности, рассмотрим уязвимости, связанные с порчей памяти (out of bound, use after free, type confusion), а также компенсационные технические меры, которые применяются в современных компиляторах для снижения вероятности их эксплуатации. Поговорим о безопасности компилируемых приложений.

006. Расследование инцидентов. Форензика — Антон Конвалюк

Также рассмотрим некоторые инструменты, которые помогают расследовать инциденты, и попробуем их на практике. Поговорим про подходы к обнаружению и расследованию инцидентов и основные проблемы, с которыми приходится сталкиваться.

007. Виртуализация и контейнеризация — Антон Конвалюк

В этой лекции по безопасности рассмотрим основные технологии, которые обеспечивают виртуализацию и контейнеризацию. Для повышения КПД серверов мы в Яндексе используем контейнеры. Поговорим про capabilities, namespaces, cgroups и прочие технологии, посмотрим, как это работает в современных Linux-системах на примере Ubuntu. Основной упор сделаем на контейнеризацию, как на наиболее популярный способ деплоя приложений.

008. Криптография — Евгений Сидоров

Расскажем про то, как они это делают, про PKI, её недостатки и TLS разных версий. Инженеры ИБ в Яндексе каждый день применяют знания о криптографии. Обсудим технологию Certificate Transparency, протокол Roughtime, баги в реализации алгоритмов и протоколов, а также скрытые недостатки различных фреймворков. Рассмотрим атаки на TLS и методы ускорения протокола.

Теги
Показать больше

Похожие статьи

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

Кнопка «Наверх»
Закрыть