Безопасность связана не только с теорией, но и с практикой. Поэтому мы открыли Школу информационной безопасности, которая будет посвящена в первую очередь практическим вопросам на основе опыта Яндекса. Сегодня мы расскажем читателям Хабра, чему именно мы будем учить в Школе.
Представьте себе системного администратора небольшой ИТ компании, например регионального провайдера. Это человек, который привык много делать руками, решать любые проблемы и даже отвечает за ИБ своей компании. Или есть разработчик, который несет ответственность за безопасность своего кода. Или человек в НИИ, которому приходится следить за локалкой и закрывать в ней дыры. Или просто студент-старшекурсник, а то и выпускник, интересующийся ИБ. У всех у них за плечами теория по безопасности из универа или книг, все они умеют самостоятельно учиться, но им живо не хватает систематизации знаний и практики именно в области ИБ. Такой практики, которая дает впоследствии уверенность в своих силах.
Как раз практические кейсы мы собираемся показывать и разбирать в новой школе Яндекса. Мы покажем на практике, как мы делаем безопасность в Яндексе, какие задачки подкидывает жизнь и как мы их решаем.
Программа и другие детали под катом. Еще под катом можно взять ссылку на тестовые задачи вступительного отбора, которые можно порешать и просто для развлечения.
Что это будет?
Уже в апреле Школа информационной безопасности Яндекса откроет свои двери в Москве. Чтобы поступить, нужно выполнить любые 5 из 10 тестовых заданий вот здесь. Мы проверим решения и выберем лучшие. Конечно же, чем больше заданий вы выполните и чем полнее опишите решения, тем больше шанс попасть на курс. Прием заявок закроется 28 февраля.
Для поступления в Школу нужно знать хотя бы один язык программирования (JS, Python, C++, Java), разбираться на начальном уровне в принципах построения и работы веб-приложений, принципах работы операционных систем и сетевой инфраструктуры, знать основные типы атак и виды уязвимостей.
Внутри курса только прикладная безопасность, которую мы сами применяем каждый день. Программа рассчитана на тех, кто уже работает в ИТ или ИБ, студентов старших курсов и тех, кто закончил университет по ИТ-специальности, но при этом чувствует, что хочет дальше развиваться в сторону ИБ.
Три раза в неделю очные лекции с домашним заданием. Например, лекция по форензике (расследованию совершившейся атаки) и в качестве домашнего задания дамп логов и образы дисков, по которым надо разобраться, что именно случилось. И так по всем темам программы: от веб-уязвимостей до безопасности сетей. Обучение бесплатное, как и в других школах Яндекса. Для иногородних участников из регионов России и стран СНГ предоставляется оплата проезда и проживания.
Программа рассчитана на один месяц и будет проходить в вечернее время по будням со 2 по 27 апреля 2018 года. В конце Школы вас ждёт итоговая работа. Лучшим ученикам предлагается возможность пройти стажировку в нашем отделе ИБ и, возможно, пополнить нашу команду безопасности. Занятия в московском офисе Яндекса.
Программа
Сетевая безопасность
Об атаках на протоколы канального, сетевого и прикладного уровней, о DDoS-атаках. Поговорим про пакетные фильтры, VPN и IPSec, а также о системах обнаружения вторжений (IDS).
Безопасность веб-приложений
Расскажем про устройство современного веба — микросервисную архитектуру, технологические, архитектурные уязвимости и как их предотвращать. Разберем уязвимости на стороне клиента. Поговорим про способы эксплуатации.
Криптография
Расскажем про PKI и её недостатки, про TLS разных версий, атаки на них и методы ускорения протокола. Обсудим Blockchain и его применение в PKI — в технологии Certificate Transparency. Также поговорим про зависимость от точного времени и обсудим подходы к решению этой проблемы.
Безопасность мобильных приложений
Поговорим о типовых уязвимостях мобильных приложений и о том, как их предотвращать на iOS и Android.
Безопасность ОС
Расскажем про классическую модель безопасность UNIX и расширения Posix ACL, системы журналирования syslog и journald. Обсудим мандатные модели доступа (SELinux, AppArmor), устройство netfilter и iptables, а также procfs, sysctl и hardening OS. Поговорим про устройство стекового фрейма и уязвимости, связанные с переполнением буфера на стеке, механизмы защиты от подобных атак: ASLR, NX-Bit, DEP.
Виртуализация и контейнеризация
Для повышения КПД серверов мы в Яндексе используем контейнеры. В этой лекции по безопасности рассмотрим основные технологии, которые обеспечивают виртуализацию и контейнеризацию. Основной упор сделаем на контейнеризацию, как на наиболее популярный способ деплоя приложений. Поговорим про capabilities, namespaces, cgroups и прочие технологии, посмотрим, как это работает в современных Linux-системах на примере Ubuntu.
Безопасность бинарных приложений
Поговорим о безопасности компилируемых приложений. В частности, рассмотрим уязвимости, связанные с порчей памяти (out of bound, use after free, type confusion), а также компенсационные технические меры, которые применяются в современных компиляторах для снижения вероятности их эксплуатации.
Расследование инцидентов
Поговорим про подходы к обнаружению и расследованию инцидентов и основные проблемы, с которыми приходится сталкиваться. Также рассмотрим некоторые инструменты, которые помогают расследовать инциденты, и попробуем их на практике.
В общем, если очень коротко — возможно, вы слышали всю эту теорию в университете (или читали что-то по темам), а мы собираемся показать, как это работает на практике.
Для домашних заданий понадобится примерно ещё 6-7 часов в неделю. Мы будем давать небольшие задачи по будням и потяжелее-подольше на выходные. Вас ждут кейсы, разбирая которые, вы почувствуете себя в условиях, приближенных к реальным. И, самое главное, вы получите возможность задать все вопросы, возникшие в процессе решения, ребятам из нашей команды.
Куда нажимать?
— Вот здесь есть немного видео про безопасность (это пара лекций в курсе про инфраструктуру).
— Вот вступительные задания. Обратите внимание: они на знание разных технологий, поэтому достаточно решить 5 из 10.
— Сайт Школы информационной безопасности с более детальной программой.
Комментарии (10)
f1af
20.02.2018 21:20Хотя бы пример этой самой «конкретной практики» привели. Ссылки, конечно, хорошо, но сама статья больше походит на безликую рекламную брошюру.
f1af
20.02.2018 21:28-1Ёлки палки… чтобы пройти тест по ИБ нужно заполнить форму раскрыв свои личные данные, номер мобильника, и почта… Яндекс в своём репертуаре. Думаю для настоящего специалиста ИБ прохождением данного теста будет просто закрыть страницу только-только завидев форму регистрации.
За свои слова отвечаю. Могу прислать скан паспорта.
smilyfox
21.02.2018 09:14Почти месяц жизни, даже халявное проживание не мотивирует. А почему нет удаленки?
kyprizel
21.02.2018 13:05Для нас это первый опыт школы Информационной Безопасности, однако, не первый опыт школ вообще. У Яндекса уже есть Школа разработки интерфейсов, Школа дизайна, КИТ итд. Обучение в них строится не на просмотре лекций, но на непосредственном общении с сотрудниками Компании, экспертами в своей области. Мы считаем такой подход наиболее эффективным.
smilyfox
21.02.2018 15:30Для этого и придумали видеоконференции. Вопрос же был не о просмотре лекций, а об интерактиве.
proydakov
21.02.2018 11:18Интересный курс. К сожалению времени на полноценное посещение сейчас нет. Планируется ли выкладывать записи лекций? Я бы с удовольствием прослушал несколько тем.
kyprizel
21.02.2018 12:21+2Да, мы планируем выложить записи лекций. Однако, практические задания не публично доступны не будут.
Vadem
Непонятно какие навыки тестирует задача №5
Навыки кодинга? Или это тоже как-то связано с безопасностью?
mazahakajay
парсинг логов, вестимо