Школа информационной безопасности

Набор закрыт. Чтобы не пропустить набор на следующую школу, оставьте заявку, и мы обязательно сообщим о начале регистрации.
Научим делать безопасные продукты и системы
Для кого
Мы приглашаем студентов старших курсов и специалистов с опытом. Для поступления нужно владеть хотя бы одним языком программирования: JS, Python, C++, Java или Golang.

Важно разбираться в веб-приложениях на начальном уровне, понимать принципы работы операционных систем и сетевой инфраструктуры, знать основные типы атак и виды уязвимостей.

Что ждёт участников
Участников ждут занятия от экспертов Яндекса, которые каждый день работают над сервисами с многомиллионной аудиторией.

Студенты, которые хорошо себя проявят, получат шанс стать стажёром или сотрудником Яндекса.

Как устроено обучение
Программа школы рассчитана на два месяца. Расписание построено так, что занятия можно совмещать с работой или учёбой.

Первый этап включает лекции, семинары и практикумы. Второй предполагает работу над реальными кейсами по нарушению безопасности, в решении которых участники применят полученные знания.

Как поступить
Нужно подать заявку, прикрепить мотивационное письмо и выполнить вступительное задание. Вас ждёт тест и вопросы, требующие развёрнутого объяснения. Мотивационное письмо оцениваем как часть вступительного испытания.

Команда школы

Наталья Фёдорова
Руководитель школы
Алина Мурашова
Куратор школы
Что говорят
выпускники школы

Программа лектория

13.02
19:00— 21:00
Server side/Client side

За два часа вы поучаствуете в создании архитектуры вымышленного сервиса Яндекса и на его примере разберёте наиболее распространенные проблемы безопасности веб-приложений. Также поговорим об аутентификации пользователей, защите от XSS и CSRF, безопасном взаимодействии между различными сервисами и обработке пользовательских данных.

А ещё вы узнаете, чем инженеры по информационной безопасности отличаются от пентестеров.

Николай Ермишкин
инженер по информационной безопасности
Максим Прокопович
инженер по информационной безопасности
14.02
19:00— 20:00
Fuzzing

Для написания high performance приложений зачастую используются языки программирования, небезопасные с точки зрения использования памяти, такие как С и C++.

Мы рассмотрим ошибки порчи памяти (memory corruption), которые возникают в таких приложениях, и способы их обнаружения. В том числе, мы подробно разберём такую технику динамического тестирования, как фаззинг.

Павел Черемушкин
инженер по информационной безопасности
16.02
19:00— 20:00
SDL — Secure Software Development Lifecycle

Современные подходы к разработке состоят из множества этапов: от формирования дизайн-концепции и архитектуры сервиса до выпуска релизов. И на каждом этапе можно совершить ошибку, из-за которой продукт окажется уязвим.

Ошибки в архитектуре, допущенные на ранних этапах разработки, опасны, а их исправление обходятся дорого. Мы обсудим, какие методы поиска уязвимостей применяются на каждом этапе и как смещать фокус внимания «влево», ближе к стадии проектирования.

Никита Медведев
руководитель группы безопасности сервисов поиска и рекламы
16.02
20:00— 21:00
SAST — Static Application Security Testing

SAST — методология тестирования, которая позволяет находить уязвимости без необходимости запуска приложения. На лекции мы обсудим различные техники статического анализа, а также особенности автоматизации этого процесса.

Алексей Мещеряков
приглашённый спикер
20.02
19:00— 21:00
Cloud Platform Security

Сегодня компании частично или полностью размещают свои приложения в публичных облаках. Мы расскажем, с какими проблемами безопасности можно столкнуться при переезде в облачную инфраструктуру и как их решать. А также заглянем за границу зоны ответственности — на сторону провайдера.

Александр Лодин
технический лидер по информационной безопасности
21.02
19:00— 21:00
Kubernetes Security

Kubernetes — одна из самых популярных платформ для развёртывания приложений и сервисов и управления ими. Посмотрим на безопасность платформы со всех сторон: runtime, data plane и control plane.

Обсудим различные механизмы и инструменты безопасности экосистемы Kubernetes и поговорим о специфике эксплуатации платформы в облаках.

Данил Бельтюков
инженер по информационной безопасности, финтех
28.02
19:00— 21:00
ZeroTrust

На лекции разберём модель ZeroTrust: сложности внедрения и сопровождения, подходы, которые мы применяем в своей практике, а также успешный и неудачный опыт.

Эльдар Заитов
руководитель службы безопасности общих компонент и платформы
02.03
19:00— 21:00
Безопасность аутентификации в Windows & AD

Разберём взаимодействие разных инфраструктурных объектов, особенности аутентификации в AD и меры по защите от злоумышленников.

Анатолий Василенко
инженер по информационной безопасности
06.03
19:00— 21:00
Атаки на сетевые протоколы

Инженеры не всегда уделяют достаточно внимания защите от атак на сетевые протоколы.

На лекции обсудим виды атак на сетевые протоколы, детально разберём наиболее распространённые у злоумышленников и пентестеров, а также рассмотрим методы защиты от них.

Роман Алфёров
старший инженер по информационной безопасности
07.03
19:00— 21:00
Комплаенс в информационной безопасности

Вместе проведём обзор стандартов информационной безопасности. Ответим на вопросы, как комплаенс решает проблемы коммуникаций в командах и как стандарты облегчают жизнь сервисам, а также рассмотрим примеры.

Александр Мизерин
консультант по информационной безопасности
09.03
19:00— 21:00
IAM

Обсудим современный ландшафт технологий в сфере аутентификации, авторизации и делегации полномочий пользователей.

Антон Дедов
архитектор функций безопасности IAM
13.03
19:00— 21:00
Целевые атаки в корпоративной среде

Яндекс и другие компании, которые создают массовые сервисы, — важная и интересная мишенью для целевых атак на данные. Поэтому мы тщательно следим за вредоносами, техниками и индикаторами компрометации.

Мы расскажем, как собирать данные об операциях целевого шпионажа, управлять собранным знанием внутри компании и применять его для противодействия злоумышленникам.

Разберём реальные кейсы и придумаем, как их обработать и написать детектирующие правила на языке Yara, чтобы проверить гипотезу на парке всех серверов и эндпоинтов в компании.

Юрий Наместников
руководитель центра операционной безопасности
Денис Легезо
инженер по информационной безопасности
16.03
19:00— 21:00
maс OS security

Рассмотрим внутреннее устройство macOS с точки зрения безопасности. Посмотрим, что такое Gatekeeper, System Integrity Protection, что обеспечивает безопасную загрузку ОС и многое другое. Посмотрим на вредоносное ПО под macOS, разберём способы обхода некоторых механизмов безопасности и немного поговорим про средства мониторинга событий.

Михаил Кузин
инженер по информационной безопасности
20.03
19:00— 21:00
Антифрод

На лекции разберём примеры задач антифрода и то, какие данные и алгоритмы помогают их решать. Обсудим специфику антифрода в рамках применения машинного обучения и поговорим про бизнес-метрики.

Алексей Тощаков
руководитель службы антифрода

F.A.Q.

Сколько стоит обучение в школе?
Обучение бесплатное. Чтобы попасть в школу, нужно заполнить анкету и пройти конкурсный отбор.
Я пока ничего не умею, но хочу научиться, возьмёте меня?
Конечно — если ваших знаний и опыта достаточно для выполнения тестового задания.
Можно ли совмещать обучение в школе и работу?
Да, расписание занятий составлено так, что их можно совмещать с работой или учёбой.
Что меня ждёт после обучения в школе?
Студентам, которые хорошо себя зарекомендуют в школе, мы предложим присоединиться к команде Яндекса. 

От 50% до 70% выпускников с каждого потока становятся нашими стажёрами и сотрудниками.
Остались вопросы?
Пишите на почту shkib@yandex‑team.ru или спрашивайте в телеграм-боте @Young_Yandex_bot
Подписывайтесь на рассылку Young&&Yandex, чтобы получать актуальные новости и полезные материалы для старта карьеры в топ-IT.
Fri Nov 24 2023 14:47:57 GMT+0300 (Moscow Standard Time)