Pull to refresh
444.2
Rating
Яндекс
Как мы делаем Яндекс

Практический видеокурс Школы информационной безопасности

Яндекс corporate blogInformation SecurityIndustrial Programming
Tutorial
Нет смысла лишний раз напоминать, почему при разработке сервисов важно уделять внимание безопасности. Поговорим о том, как строить системы защиты, поддерживать их в актуальном состоянии и развивать с увеличением числа угроз. Довольно много практических знаний по этой теме можно получить из интернета. Теория, в свою очередь, неплохо освещается в нескольких российских вузах. Есть и множество полезной литературы. Но хорошего специалиста по безопасности отличает не просто знание инструментов и теории, а способность применять теорию в реальных ситуациях.

В апреле этого года мы впервые провели бесплатную Школу информационной безопасности. Лекции в школе подготовили и прочитали сотрудники службы ИБ Яндекса — те специалисты, которые непосредственно отвечают за защиту наших продуктов. Мы получили более 700 заявок, 35 человек успешно закончили школу, 9 из них получили офферы в Яндекс (7 — на позицию стажёра, 2 — на штатную позицию).

Сегодня мы публикуем видеокурс со всеми лекциями Школы. Вы можете почерпнуть те же знания, что и студенты — разве что интерактива поменьше и не нужно делать домашнее задание. Для просмотра стоит знать хотя бы один язык программирования (JS, Python, C++, Java), на начальном уровне разбираться в принципах построения и работы веб-приложений, понимать принципы работы операционных систем и сетевой инфраструктуры, а также основные типы атак и виды уязвимостей.


Надеемся, этот курс прокачает вас в роли специалиста по ИБ, а также поможет защитить ваши сервисы от утечек данных и атак злоумышленников.

001. Безопасность веб-приложений — Эльдар Заитов

Расскажем про устройство современного веба — микросервисную архитектуру, технологические, архитектурные уязвимости и как их предотвращать. Разберем уязвимости на стороне клиента. Поговорим про способы эксплуатации.

002. Безопасность мобильных приложений — Ярослав Бучнев

Поговорим о типовых уязвимостях мобильных приложений и о том, как их предотвращать на iOS и Android.

003. Сетевая безопасность — Борис Лыточкин

— Мощность DDoS атак превысила 1Tbit/s: кто виноват и что делать?
— Безопасность в IPv6: можно ли предотвратить arp spoofing, используя IPv6?
— Так ли безопасен WiFi? Заходите, открыто или ретроспектива развития безопасности в WiFi с первого стандарта до 2018.

004. Безопасность ОС — Игорь Гоц

Расскажем про классическую модель безопасность UNIX и расширения Posix ACL, системы журналирования syslog и journald. Обсудим мандатные модели доступа (SELinux, AppArmor), устройство netfilter и iptables, а также procfs, sysctl и hardening OS. Поговорим про устройство стекового фрейма и уязвимости, связанные с переполнением буфера на стеке, механизмы защиты от подобных атак: ASLR, NX-Bit, DEP.

005. Безопасность бинарных приложений — Андрей Ковалев

Поговорим о безопасности компилируемых приложений. В частности, рассмотрим уязвимости, связанные с порчей памяти (out of bound, use after free, type confusion), а также компенсационные технические меры, которые применяются в современных компиляторах для снижения вероятности их эксплуатации.

006. Расследование инцидентов. Форензика — Антон Конвалюк

Поговорим про подходы к обнаружению и расследованию инцидентов и основные проблемы, с которыми приходится сталкиваться. Также рассмотрим некоторые инструменты, которые помогают расследовать инциденты, и попробуем их на практике.

007. Виртуализация и контейнеризация — Антон Конвалюк

Для повышения КПД серверов мы в Яндексе используем контейнеры. В этой лекции по безопасности рассмотрим основные технологии, которые обеспечивают виртуализацию и контейнеризацию. Основной упор сделаем на контейнеризацию, как на наиболее популярный способ деплоя приложений. Поговорим про capabilities, namespaces, cgroups и прочие технологии, посмотрим, как это работает в современных Linux-системах на примере Ubuntu.

008. Криптография — Евгений Сидоров

Инженеры ИБ в Яндексе каждый день применяют знания о криптографии. Расскажем про то, как они это делают, про PKI, её недостатки и TLS разных версий. Рассмотрим атаки на TLS и методы ускорения протокола. Обсудим технологию Certificate Transparency, протокол Roughtime, баги в реализации алгоритмов и протоколов, а также скрытые недостатки различных фреймворков.
Tags:курсывидеокурсыбезопасность веб-приложенийбезопасность мобильных приложенийбезопасность iosбезопасность приложенийзащита от ddosipv6безопасность осрасследование инцидентоввиртуализацияконтейнеризациякриптография
Hubs: Яндекс corporate blog Information Security Industrial Programming
Total votes 23: ↑23 and ↓0+23
Views25K

Information

Founded
Location
Россия
Website
www.yandex.ru
Employees
over 10,000 employees
Registered

Habr blog