Безопасность связана не только с теорией, но и с практикой. Поэтому мы открыли Школу информационной безопасности, которая будет посвящена в первую очередь практическим вопросам на основе опыта Яндекса. Сегодня мы расскажем читателям Хабра, чему именно мы будем учить в Школе.

Представьте себе системного администратора небольшой ИТ компании, например регионального провайдера. Это человек, который привык много делать руками, решать любые проблемы и даже отвечает за ИБ своей компании. Или есть разработчик, который несет ответственность за безопасность своего кода. Или человек в НИИ, которому приходится следить за локалкой и закрывать в ней дыры. Или просто студент-старшекурсник, а то и выпускник, интересующийся ИБ. У всех у них за плечами теория по безопасности из универа или книг, все они умеют самостоятельно учиться, но им живо не хватает систематизации знаний и практики именно в области ИБ. Такой практики, которая дает впоследствии уверенность в своих силах.

Как раз практические кейсы мы собираемся показывать и разбирать в новой школе Яндекса. Мы покажем на практике, как мы делаем безопасность в Яндексе, какие задачки подкидывает жизнь и как мы их решаем.

Программа и другие детали под катом. Еще под катом можно взять ссылку на тестовые задачи вступительного отбора, которые можно порешать и просто для развлечения.

Что это будет?

Уже в апреле Школа информационной безопасности Яндекса откроет свои двери в Москве. Чтобы поступить, нужно выполнить любые 5 из 10 тестовых заданий вот здесь. Мы проверим решения и выберем лучшие. Конечно же, чем больше заданий вы выполните и чем полнее опишите решения, тем больше шанс попасть на курс. Прием заявок закроется 28 февраля.

Для поступления в Школу нужно знать хотя бы один язык программирования (JS, Python, C++, Java), разбираться на начальном уровне в принципах построения и работы веб-приложений, принципах работы операционных систем и сетевой инфраструктуры, знать основные типы атак и виды уязвимостей.

Внутри курса только прикладная безопасность, которую мы сами применяем каждый день. Программа рассчитана на тех, кто уже работает в ИТ или ИБ, студентов старших курсов и тех, кто закончил университет по ИТ-специальности, но при этом чувствует, что хочет дальше развиваться в сторону ИБ.

Три раза в неделю очные лекции с домашним заданием. Например, лекция по форензике (расследованию совершившейся атаки) и в качестве домашнего задания дамп логов и образы дисков, по которым надо разобраться, что именно случилось. И так по всем темам программы: от веб-уязвимостей до безопасности сетей. Обучение бесплатное, как и в других школах Яндекса. Для иногородних участников из регионов России и стран СНГ предоставляется оплата проезда и проживания.

Программа рассчитана на один месяц и будет проходить в вечернее время по будням со 2 по 27 апреля 2018 года. В конце Школы вас ждёт итоговая работа. Лучшим ученикам предлагается возможность пройти стажировку в нашем отделе ИБ и, возможно, пополнить нашу команду безопасности. Занятия в московском офисе Яндекса.

Программа

Сетевая безопасность

Об атаках на протоколы канального, сетевого и прикладного уровней, о DDoS-атаках. Поговорим про пакетные фильтры, VPN и IPSec, а также о системах обнаружения вторжений (IDS).

Безопасность веб-приложений

Расскажем про устройство современного веба — микросервисную архитектуру, технологические, архитектурные уязвимости и как их предотвращать. Разберем уязвимости на стороне клиента. Поговорим про способы эксплуатации.

Криптография

Расскажем про PKI и её недостатки, про TLS разных версий, атаки на них и методы ускорения протокола. Обсудим Blockchain и его применение в PKI — в технологии Certificate Transparency. Также поговорим про зависимость от точного времени и обсудим подходы к решению этой проблемы.

Безопасность мобильных приложений

Поговорим о типовых уязвимостях мобильных приложений и о том, как их предотвращать на iOS и Android.

Безопасность ОС

Расскажем про классическую модель безопасность UNIX и расширения Posix ACL, системы журналирования syslog и journald. Обсудим мандатные модели доступа (SELinux, AppArmor), устройство netfilter и iptables, а также procfs, sysctl и hardening OS. Поговорим про устройство стекового фрейма и уязвимости, связанные с переполнением буфера на стеке, механизмы защиты от подобных атак: ASLR, NX-Bit, DEP.

Виртуализация и контейнеризация

Для повышения КПД серверов мы в Яндексе используем контейнеры. В этой лекции по безопасности рассмотрим основные технологии, которые обеспечивают виртуализацию и контейнеризацию. Основной упор сделаем на контейнеризацию, как на наиболее популярный способ деплоя приложений. Поговорим про capabilities, namespaces, cgroups и прочие технологии, посмотрим, как это работает в современных Linux-системах на примере Ubuntu.

Безопасность бинарных приложений

Поговорим о безопасности компилируемых приложений. В частности, рассмотрим уязвимости, связанные с порчей памяти (out of bound, use after free, type confusion), а также компенсационные технические меры, которые применяются в современных компиляторах для снижения вероятности их эксплуатации.

Расследование инцидентов

Поговорим про подходы к обнаружению и расследованию инцидентов и основные проблемы, с которыми приходится сталкиваться. Также рассмотрим некоторые инструменты, которые помогают расследовать инциденты, и попробуем их на практике.

В общем, если очень коротко — возможно, вы слышали всю эту теорию в университете (или читали что-то по темам), а мы собираемся показать, как это работает на практике.

Для домашних заданий понадобится примерно ещё 6-7 часов в неделю. Мы будем давать небольшие задачи по будням и потяжелее-подольше на выходные. Вас ждут кейсы, разбирая которые, вы почувствуете себя в условиях, приближенных к реальным. И, самое главное, вы получите возможность задать все вопросы, возникшие в процессе решения, ребятам из нашей команды.

Куда нажимать?
— Вот здесь есть немного видео про безопасность (это пара лекций в курсе про инфраструктуру).
— Вот вступительные задания. Обратите внимание: они на знание разных технологий, поэтому достаточно решить 5 из 10.
— Сайт Школы информационной безопасности с более детальной программой.