company_banner

Школа информационной безопасности. Опыт и практика Яндекса

    image

    Безопасность связана не только с теорией, но и с практикой. Поэтому мы открыли Школу информационной безопасности, которая будет посвящена в первую очередь практическим вопросам на основе опыта Яндекса. Сегодня мы расскажем читателям Хабра, чему именно мы будем учить в Школе.

    Представьте себе системного администратора небольшой ИТ компании, например регионального провайдера. Это человек, который привык много делать руками, решать любые проблемы и даже отвечает за ИБ своей компании. Или есть разработчик, который несет ответственность за безопасность своего кода. Или человек в НИИ, которому приходится следить за локалкой и закрывать в ней дыры. Или просто студент-старшекурсник, а то и выпускник, интересующийся ИБ. У всех у них за плечами теория по безопасности из универа или книг, все они умеют самостоятельно учиться, но им живо не хватает систематизации знаний и практики именно в области ИБ. Такой практики, которая дает впоследствии уверенность в своих силах.

    Как раз практические кейсы мы собираемся показывать и разбирать в новой школе Яндекса. Мы покажем на практике, как мы делаем безопасность в Яндексе, какие задачки подкидывает жизнь и как мы их решаем.

    Программа и другие детали под катом. Еще под катом можно взять ссылку на тестовые задачи вступительного отбора, которые можно порешать и просто для развлечения.

    Что это будет?

    Уже в апреле Школа информационной безопасности Яндекса откроет свои двери в Москве. Чтобы поступить, нужно выполнить любые 5 из 10 тестовых заданий вот здесь. Мы проверим решения и выберем лучшие. Конечно же, чем больше заданий вы выполните и чем полнее опишите решения, тем больше шанс попасть на курс. Прием заявок закроется 28 февраля.

    Для поступления в Школу нужно знать хотя бы один язык программирования (JS, Python, C++, Java), разбираться на начальном уровне в принципах построения и работы веб-приложений, принципах работы операционных систем и сетевой инфраструктуры, знать основные типы атак и виды уязвимостей.

    Внутри курса только прикладная безопасность, которую мы сами применяем каждый день. Программа рассчитана на тех, кто уже работает в ИТ или ИБ, студентов старших курсов и тех, кто закончил университет по ИТ-специальности, но при этом чувствует, что хочет дальше развиваться в сторону ИБ.

    Три раза в неделю очные лекции с домашним заданием. Например, лекция по форензике (расследованию совершившейся атаки) и в качестве домашнего задания дамп логов и образы дисков, по которым надо разобраться, что именно случилось. И так по всем темам программы: от веб-уязвимостей до безопасности сетей. Обучение бесплатное, как и в других школах Яндекса. Для иногородних участников из регионов России и стран СНГ предоставляется оплата проезда и проживания.

    Программа рассчитана на один месяц и будет проходить в вечернее время по будням со 2 по 27 апреля 2018 года. В конце Школы вас ждёт итоговая работа. Лучшим ученикам предлагается возможность пройти стажировку в нашем отделе ИБ и, возможно, пополнить нашу команду безопасности. Занятия в московском офисе Яндекса.

    Программа

    Сетевая безопасность

    Об атаках на протоколы канального, сетевого и прикладного уровней, о DDoS-атаках. Поговорим про пакетные фильтры, VPN и IPSec, а также о системах обнаружения вторжений (IDS).

    Безопасность веб-приложений

    Расскажем про устройство современного веба — микросервисную архитектуру, технологические, архитектурные уязвимости и как их предотвращать. Разберем уязвимости на стороне клиента. Поговорим про способы эксплуатации.

    Криптография

    Расскажем про PKI и её недостатки, про TLS разных версий, атаки на них и методы ускорения протокола. Обсудим Blockchain и его применение в PKI — в технологии Certificate Transparency. Также поговорим про зависимость от точного времени и обсудим подходы к решению этой проблемы.

    Безопасность мобильных приложений

    Поговорим о типовых уязвимостях мобильных приложений и о том, как их предотвращать на iOS и Android.

    Безопасность ОС

    Расскажем про классическую модель безопасность UNIX и расширения Posix ACL, системы журналирования syslog и journald. Обсудим мандатные модели доступа (SELinux, AppArmor), устройство netfilter и iptables, а также procfs, sysctl и hardening OS. Поговорим про устройство стекового фрейма и уязвимости, связанные с переполнением буфера на стеке, механизмы защиты от подобных атак: ASLR, NX-Bit, DEP.

    Виртуализация и контейнеризация

    Для повышения КПД серверов мы в Яндексе используем контейнеры. В этой лекции по безопасности рассмотрим основные технологии, которые обеспечивают виртуализацию и контейнеризацию. Основной упор сделаем на контейнеризацию, как на наиболее популярный способ деплоя приложений. Поговорим про capabilities, namespaces, cgroups и прочие технологии, посмотрим, как это работает в современных Linux-системах на примере Ubuntu.

    Безопасность бинарных приложений

    Поговорим о безопасности компилируемых приложений. В частности, рассмотрим уязвимости, связанные с порчей памяти (out of bound, use after free, type confusion), а также компенсационные технические меры, которые применяются в современных компиляторах для снижения вероятности их эксплуатации.

    Расследование инцидентов

    Поговорим про подходы к обнаружению и расследованию инцидентов и основные проблемы, с которыми приходится сталкиваться. Также рассмотрим некоторые инструменты, которые помогают расследовать инциденты, и попробуем их на практике.

    В общем, если очень коротко — возможно, вы слышали всю эту теорию в университете (или читали что-то по темам), а мы собираемся показать, как это работает на практике.

    Для домашних заданий понадобится примерно ещё 6-7 часов в неделю. Мы будем давать небольшие задачи по будням и потяжелее-подольше на выходные. Вас ждут кейсы, разбирая которые, вы почувствуете себя в условиях, приближенных к реальным. И, самое главное, вы получите возможность задать все вопросы, возникшие в процессе решения, ребятам из нашей команды.

    Куда нажимать?
    Вот здесь есть немного видео про безопасность (это пара лекций в курсе про инфраструктуру).
    Вот вступительные задания. Обратите внимание: они на знание разных технологий, поэтому достаточно решить 5 из 10.
    — Сайт Школы информационной безопасности с более детальной программой.
    Яндекс 345,41
    Как мы делаем Яндекс
    Поделиться публикацией
    Комментарии 11
    • 0
      Непонятно какие навыки тестирует задача №5
      Напишите программу, обрабатывающую приложенный журнал...

      Навыки кодинга? Или это тоже как-то связано с безопасностью?
    • 0
      По каким именно дням недели будут проходить лекции?
      • 0
        Хотя бы пример этой самой «конкретной практики» привели. Ссылки, конечно, хорошо, но сама статья больше походит на безликую рекламную брошюру.
        • 0
          Ёлки палки… чтобы пройти тест по ИБ нужно заполнить форму раскрыв свои личные данные, номер мобильника, и почта… Яндекс в своём репертуаре. Думаю для настоящего специалиста ИБ прохождением данного теста будет просто закрыть страницу только-только завидев форму регистрации.

          За свои слова отвечаю. Могу прислать скан паспорта.
          • +1

            Почти месяц жизни, даже халявное проживание не мотивирует. А почему нет удаленки?

            • 0
              Для нас это первый опыт школы Информационной Безопасности, однако, не первый опыт школ вообще. У Яндекса уже есть Школа разработки интерфейсов, Школа дизайна, КИТ итд. Обучение в них строится не на просмотре лекций, но на непосредственном общении с сотрудниками Компании, экспертами в своей области. Мы считаем такой подход наиболее эффективным.
              • 0

                Для этого и придумали видеоконференции. Вопрос же был не о просмотре лекций, а об интерактиве.

                • 0
                  А много у вас обычно «учеников» не-студентов? Работающих? Как они, отпуска берут, чтобы поучаствовать или другие какие-то механизмы есть?
              • +1

                Интересный курс. К сожалению времени на полноценное посещение сейчас нет. Планируется ли выкладывать записи лекций? Я бы с удовольствием прослушал несколько тем.

                • +2
                  Да, мы планируем выложить записи лекций. Однако, практические задания не публично доступны не будут.

                Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                Самое читаемое