لا فائدة من التذكير مرة أخرى لماذا من المهم الانتباه إلى الأمان عند تطوير الخدمات. دعونا نتحدث عن كيفية بناء أنظمة الحماية ، وتحديثها وتحديثها مع زيادة عدد التهديدات. يمكن الحصول على الكثير من المعرفة العملية حول هذا الموضوع من الإنترنت. النظرية ، بدورها ، مغطاة بشكل جيد إلى حد ما في العديد من الجامعات الروسية. هناك العديد من المؤلفات المفيدة. لكن أخصائي الأمن الجيد لا يتميز فقط بمعرفة الأدوات والنظرية ، ولكن بالقدرة على تطبيق النظرية في المواقف الحقيقية.
في أبريل من هذا العام ، وللمرة الأولى ، عقدنا مدرسة مجانية لأمن المعلومات. تم إعداد المحاضرات في المدرسة وتقديمها من قبل موظفي خدمة الأمن في Yandex - هؤلاء المتخصصون المسؤولون بشكل مباشر عن حماية منتجاتنا. لقد تلقينا أكثر من 700 طلبًا ، أكمل 35 شخصًا بنجاح الدراسة ، وتلقى 9 منهم عروضًا في Yandex (7 - لمنصب المتدرب ، 2 - لوظيفة بدوام كامل).
ننشر اليوم دورة فيديو مع جميع محاضرات المدرسة. يمكنك تعلم نفس المعارف التي يتعلمها الطلاب - باستثناء أن التفاعل أقل ولا توجد حاجة للقيام بالواجب المنزلي. لعرضها ، يجب أن تعرف لغة برمجة واحدة على الأقل (JS و Python و C ++ و Java) ، في المستوى الأولي ، وفهم مبادئ بناء وتشغيل تطبيقات الويب ، وفهم مبادئ تشغيل أنظمة التشغيل والبنية التحتية للشبكة ، وكذلك الأنواع الرئيسية من الهجمات وأنواع الثغرات الأمنية.
نأمل أن تضخك هذه الدورة في دور أخصائي أمن المعلومات ، كما ستساعد في حماية خدماتك من تسرب البيانات والهجمات الخبيثة.
001. أمن تطبيقات الويب - إلدار زيتوف
دعونا نتحدث عن جهاز الويب الحديث - بنية الخدمات الصغيرة ، والثغرات التكنولوجية والمعمارية وكيفية منعها. نقوم بتحليل نقاط الضعف في جانب العميل. لنتحدث عن طرق العملية.
لنتحدث عن نقاط الضعف النموذجية لتطبيقات الهاتف المحمول وكيفية منعها على نظامي iOS و Android.
003. أمن الشبكات - بوريس ليتوتشكين
- تجاوزت قوة هجمات DDoS 1Tbit / s: على من يقع اللوم وماذا تفعل؟
- الأمن في IPv6: هل يمكن منع انتحال arp باستخدام IPv6؟
- هل شبكة WiFi آمنة؟ تعال بشكل علني أو بأثر رجعي طور أمان WiFi من المعيار الأول حتى 2018.
لنتحدث عن نموذج الأمان UNIX الكلاسيكي وإضافات Posix ACL وأنظمة تسجيل الدخول وتسجيل النظام. سوف نناقش نماذج الوصول إلى بيانات الاعتماد (SELinux ، AppArmor) ، وجهاز netfilter و iptables ، بالإضافة إلى procfs و sysctl و hardening OS. دعونا نتحدث عن جهاز إطار المكدس ونقاط الضعف المرتبطة بتدفق المخزن المؤقت على المكدس ، وآليات الحماية ضد مثل هذه الهجمات: ASLR ، NX-Bit ، DEP.
لنتحدث عن أمن التطبيقات المترجمة. على وجه الخصوص ، نعتبر نقاط الضعف المرتبطة بفساد الذاكرة (خارج نطاق الاستخدام ، بعد الخلط ، نوع الخلط) ، بالإضافة إلى التدابير التقنية التعويضية التي يتم استخدامها في المجمعات الحديثة للحد من احتمالية استغلالها.
دعونا نتحدث عن طرق الكشف والتحقيق في الحوادث والمشكلات الرئيسية التي يتعين علينا التعامل معها. ننظر أيضًا إلى بعض الأدوات التي تساعد في التحقيق في الحوادث وتجربتها عمليًا.
لزيادة كفاءة الخوادم ، نستخدم حاويات في Yandex. في هذه المحاضرة الأمنية ، سنلقي نظرة على التقنيات الأساسية التي توفر المحاكاة الافتراضية والحاويات. سنركز على الحاويات ، باعتبارها الطريقة الأكثر شيوعًا لنشر التطبيقات. لنتحدث عن القدرات ومساحات الأسماء والمجموعات وغيرها من التقنيات ، ونرى كيف يعمل في أنظمة Linux الحديثة باستخدام مثال Ubuntu.
008. التشفير - يفغيني سيدوروف
يقوم مهندسو أمن المعلومات في Yandex بتطبيق معرفة التشفير كل يوم. دعونا نتحدث عن كيفية قيامهم بذلك ، حول PKI وأوجه قصوره و TLS من الإصدارات المختلفة. ضع في اعتبارك هجمات TLS وطرق تسريع البروتوكول. سنناقش تقنية شفافية الشهادة ، بروتوكول Roughtime ، الخلل في تنفيذ الخوارزميات والبروتوكولات ، بالإضافة إلى أوجه القصور الخفية لأطر العمل المختلفة.