Школа информационной безопасности

За два часа вы поучаствуете в создании архитектуры вымышленного сервиса Яндекса и на его примере разберёте наиболее распространенные проблемы безопасности веб-приложений. Также поговорим об аутентификации пользователей, защите от XSS и CSRF, безопасном взаимодействии между различными сервисами и обработке пользовательских данных.

А ещё вы узнаете, чем инженеры по информационной безопасности отличаются от пентестеров.

Для написания high performance приложений зачастую используются языки программирования, небезопасные с точки зрения использования памяти, такие как С и C++.

Мы рассмотрим ошибки порчи памяти (memory corruption), которые возникают в таких приложениях, и способы их обнаружения. В том числе, мы подробно разберём такую технику динамического тестирования, как фаззинг.

Современные подходы к разработке состоят из множества этапов: от формирования дизайн-концепции и архитектуры сервиса до выпуска релизов. И на каждом этапе можно совершить ошибку, из-за которой продукт окажется уязвим.

Ошибки в архитектуре, допущенные на ранних этапах разработки, опасны, а их исправление обходятся дорого. Мы обсудим, какие методы поиска уязвимостей применяются на каждом этапе и как смещать фокус внимания «влево», ближе к стадии проектирования.

SAST — методология тестирования, которая позволяет находить уязвимости без необходимости запуска приложения. На лекции мы обсудим различные техники статического анализа, а также особенности автоматизации этого процесса.

Сегодня компании частично или полностью размещают свои приложения в публичных облаках. Мы расскажем, с какими проблемами безопасности можно столкнуться при переезде в облачную инфраструктуру и как их решать. А также заглянем за границу зоны ответственности — на сторону провайдера.

Kubernetes — одна из самых популярных платформ для развёртывания приложений и сервисов и управления ими. Посмотрим на безопасность платформы со всех сторон: runtime, data plane и control plane.

Обсудим различные механизмы и инструменты безопасности экосистемы Kubernetes и поговорим о специфике эксплуатации платформы в облаках.

На лекции разберём модель ZeroTrust: сложности внедрения и сопровождения, подходы, которые мы применяем в своей практике, а также успешный и неудачный опыт.

Разберём взаимодействие разных инфраструктурных объектов, особенности аутентификации в AD и меры по защите от злоумышленников.

Инженеры не всегда уделяют достаточно внимания защите от атак на сетевые протоколы.

На лекции обсудим виды атак на сетевые протоколы, детально разберём наиболее распространённые у злоумышленников и пентестеров, а также рассмотрим методы защиты от них.

Вместе проведём обзор стандартов информационной безопасности. Ответим на вопросы, как комплаенс решает проблемы коммуникаций в командах и как стандарты облегчают жизнь сервисам, а также рассмотрим примеры.

Обсудим современный ландшафт технологий в сфере аутентификации, авторизации и делегации полномочий пользователей.

Яндекс и другие компании, которые создают массовые сервисы, — важная и интересная мишенью для целевых атак на данные. Поэтому мы тщательно следим за вредоносами, техниками и индикаторами компрометации.

Мы расскажем, как собирать данные об операциях целевого шпионажа, управлять собранным знанием внутри компании и применять его для противодействия злоумышленникам.

Разберём реальные кейсы и придумаем, как их обработать и написать детектирующие правила на языке Yara, чтобы проверить гипотезу на парке всех серверов и эндпоинтов в компании.

Рассмотрим внутреннее устройство macOS с точки зрения безопасности. Посмотрим, что такое Gatekeeper, System Integrity Protection, что обеспечивает безопасную загрузку ОС и многое другое. Посмотрим на вредоносное ПО под macOS, разберём способы обхода некоторых механизмов безопасности и немного поговорим про средства мониторинга событий.

На лекции разберём примеры задач антифрода и то, какие данные и алгоритмы помогают их решать. Обсудим специфику антифрода в рамках применения машинного обучения и поговорим про бизнес-метрики.