image

Безопасность связана не только с теорией, но и с практикой. Поэтому мы открыли Школу информационной безопасности, которая будет посвящена в первую очередь практическим вопросам на основе опыта Яндекса. Сегодня мы расскажем читателям Хабра, чему именно мы будем учить в Школе.

Представьте себе системного администратора небольшой ИТ компании, например регионального провайдера. Это человек, который привык много делать руками, решать любые проблемы и даже отвечает за ИБ своей компании. Или есть разработчик, который несет ответственность за безопасность своего кода. Или человек в НИИ, которому приходится следить за локалкой и закрывать в ней дыры. Или просто студент-старшекурсник, а то и выпускник, интересующийся ИБ. У всех у них за плечами теория по безопасности из универа или книг, все они умеют самостоятельно учиться, но им живо не хватает систематизации знаний и практики именно в области ИБ. Такой практики, которая дает впоследствии уверенность в своих силах.

Как раз практические кейсы мы собираемся показывать и разбирать в новой школе Яндекса. Мы покажем на практике, как мы делаем безопасность в Яндексе, какие задачки подкидывает жизнь и как мы их решаем.

Программа и другие детали под катом. Еще под катом можно взять ссылку на тестовые задачи вступительного отбора, которые можно порешать и просто для развлечения.

Что это будет?

Уже в апреле Школа информационной безопасности Яндекса откроет свои двери в Москве. Чтобы поступить, нужно выполнить любые 5 из 10 тестовых заданий вот здесь. Мы проверим решения и выберем лучшие. Конечно же, чем больше заданий вы выполните и чем полнее опишите решения, тем больше шанс попасть на курс. Прием заявок закроется 28 февраля.

Для поступления в Школу нужно знать хотя бы один язык программирования (JS, Python, C++, Java), разбираться на начальном уровне в принципах построения и работы веб-приложений, принципах работы операционных систем и сетевой инфраструктуры, знать основные типы атак и виды уязвимостей.

Внутри курса только прикладная безопасность, которую мы сами применяем каждый день. Программа рассчитана на тех, кто уже работает в ИТ или ИБ, студентов старших курсов и тех, кто закончил университет по ИТ-специальности, но при этом чувствует, что хочет дальше развиваться в сторону ИБ.

Три раза в неделю очные лекции с домашним заданием. Например, лекция по форензике (расследованию совершившейся атаки) и в качестве домашнего задания дамп логов и образы дисков, по которым надо разобраться, что именно случилось. И так по всем темам программы: от веб-уязвимостей до безопасности сетей. Обучение бесплатное, как и в других школах Яндекса. Для иногородних участников из регионов России и стран СНГ предоставляется оплата проезда и проживания.

Программа рассчитана на один месяц и будет проходить в вечернее время по будням со 2 по 27 апреля 2018 года. В конце Школы вас ждёт итоговая работа. Лучшим ученикам предлагается возможность пройти стажировку в нашем отделе ИБ и, возможно, пополнить нашу команду безопасности. Занятия в московском офисе Яндекса.

Программа

Сетевая безопасность

Об атаках на протоколы канального, сетевого и прикладного уровней, о DDoS-атаках. Поговорим про пакетные фильтры, VPN и IPSec, а также о системах обнаружения вторжений (IDS).

Безопасность веб-приложений

Расскажем про устройство современного веба — микросервисную архитектуру, технологические, архитектурные уязвимости и как их предотвращать. Разберем уязвимости на стороне клиента. Поговорим про способы эксплуатации.

Криптография

Расскажем про PKI и её недостатки, про TLS разных версий, атаки на них и методы ускорения протокола. Обсудим Blockchain и его применение в PKI — в технологии Certificate Transparency. Также поговорим про зависимость от точного времени и обсудим подходы к решению этой проблемы.

Безопасность мобильных приложений

Поговорим о типовых уязвимостях мобильных приложений и о том, как их предотвращать на iOS и Android.

Безопасность ОС

Расскажем про классическую модель безопасность UNIX и расширения Posix ACL, системы журналирования syslog и journald. Обсудим мандатные модели доступа (SELinux, AppArmor), устройство netfilter и iptables, а также procfs, sysctl и hardening OS. Поговорим про устройство стекового фрейма и уязвимости, связанные с переполнением буфера на стеке, механизмы защиты от подобных атак: ASLR, NX-Bit, DEP.

Виртуализация и контейнеризация

Для повышения КПД серверов мы в Яндексе используем контейнеры. В этой лекции по безопасности рассмотрим основные технологии, которые обеспечивают виртуализацию и контейнеризацию. Основной упор сделаем на контейнеризацию, как на наиболее популярный способ деплоя приложений. Поговорим про capabilities, namespaces, cgroups и прочие технологии, посмотрим, как это работает в современных Linux-системах на примере Ubuntu.

Безопасность бинарных приложений

Поговорим о безопасности компилируемых приложений. В частности, рассмотрим уязвимости, связанные с порчей памяти (out of bound, use after free, type confusion), а также компенсационные технические меры, которые применяются в современных компиляторах для снижения вероятности их эксплуатации.

Расследование инцидентов

Поговорим про подходы к обнаружению и расследованию инцидентов и основные проблемы, с которыми приходится сталкиваться. Также рассмотрим некоторые инструменты, которые помогают расследовать инциденты, и попробуем их на практике.

В общем, если очень коротко — возможно, вы слышали всю эту теорию в университете (или читали что-то по темам), а мы собираемся показать, как это работает на практике.

Для домашних заданий понадобится примерно ещё 6-7 часов в неделю. Мы будем давать небольшие задачи по будням и потяжелее-подольше на выходные. Вас ждут кейсы, разбирая которые, вы почувствуете себя в условиях, приближенных к реальным. И, самое главное, вы получите возможность задать все вопросы, возникшие в процессе решения, ребятам из нашей команды.

Куда нажимать?
Вот здесь есть немного видео про безопасность (это пара лекций в курсе про инфраструктуру).
Вот вступительные задания. Обратите внимание: они на знание разных технологий, поэтому достаточно решить 5 из 10.
— Сайт Школы информационной безопасности с более детальной программой.

Комментарии (10)


  1. Vadem
    20.02.2018 17:00

    Непонятно какие навыки тестирует задача №5

    Напишите программу, обрабатывающую приложенный журнал...

    Навыки кодинга? Или это тоже как-то связано с безопасностью?


    1. mazahakajay
      21.02.2018 11:23

      парсинг логов, вестимо


  1. itforge
    20.02.2018 20:44

    По каким именно дням недели будут проходить лекции?


  1. f1af
    20.02.2018 21:20

    Хотя бы пример этой самой «конкретной практики» привели. Ссылки, конечно, хорошо, но сама статья больше походит на безликую рекламную брошюру.


  1. f1af
    20.02.2018 21:28
    -1

    Ёлки палки… чтобы пройти тест по ИБ нужно заполнить форму раскрыв свои личные данные, номер мобильника, и почта… Яндекс в своём репертуаре. Думаю для настоящего специалиста ИБ прохождением данного теста будет просто закрыть страницу только-только завидев форму регистрации.

    За свои слова отвечаю. Могу прислать скан паспорта.


  1. smilyfox
    21.02.2018 09:14

    Почти месяц жизни, даже халявное проживание не мотивирует. А почему нет удаленки?


    1. kyprizel
      21.02.2018 13:05

      Для нас это первый опыт школы Информационной Безопасности, однако, не первый опыт школ вообще. У Яндекса уже есть Школа разработки интерфейсов, Школа дизайна, КИТ итд. Обучение в них строится не на просмотре лекций, но на непосредственном общении с сотрудниками Компании, экспертами в своей области. Мы считаем такой подход наиболее эффективным.


      1. smilyfox
        21.02.2018 15:30

        Для этого и придумали видеоконференции. Вопрос же был не о просмотре лекций, а об интерактиве.


  1. proydakov
    21.02.2018 11:18

    Интересный курс. К сожалению времени на полноценное посещение сейчас нет. Планируется ли выкладывать записи лекций? Я бы с удовольствием прослушал несколько тем.


    1. kyprizel
      21.02.2018 12:21
      +2

      Да, мы планируем выложить записи лекций. Однако, практические задания не публично доступны не будут.