再也没有提醒我们为什么在开发服务时注意安全性很重要。 让我们谈谈如何建立防护系统,使其保持最新状态并随着威胁数量的增加而发展。 可以从Internet获得有关此主题的大量实践知识。 反过来,该理论在俄罗斯的几所大学中也得到了很好的介绍。 有许多有用的文献。 但是,优秀的安全专家不仅以工具和理论知识而著称,而且还具有在实际情况下运用理论的能力。
今年4月,我们首次举办了免费的信息安全学院。 学校的讲座是由Yandex安全服务员工(直接负责保护我们的产品的专家)准备和分发的。 我们收到了700多份申请,有35人成功完成了学业,其中9人收到了Yandex的录取通知书(7个为实习职位,2个为全职职位)。
今天,我们发布了包含学校所有讲座的视频课程。 您可以学习与学生相同的知识-交互性较低,无需做家庭作业。 要查看它,您应该至少在初始水平上了解一种编程语言(JS,Python,C ++,Java),了解构建和操作Web应用程序的原理,了解操作系统和网络基础结构的操作原理以及主要的攻击类型和漏洞类型。
我们希望本课程将帮助您培养信息安全专家的作用,并且还将帮助保护您的服务免受数据泄漏和恶意攻击。
001. Web应用程序安全性-Eldar Zaitov
让我们谈谈现代Web的设备-微服务架构,技术,架构漏洞以及如何防止它们。 我们在客户端分析漏洞。 让我们谈谈操作方法。
002. 移动应用程序的安全性 -Yaroslav Buchnev
让我们谈谈移动应用程序的典型漏洞,以及如何在iOS和Android上阻止它们。
003. 网络安全 -Boris Lytochkin
-DDoS攻击的能力超过了1Tbit / s:应该归咎于谁?
-IPv6中的安全性:是否可以使用IPv6防止arp欺骗?
-WiFi安全吗? 从第一个标准开始公开或追溯性地开发WiFi安全性,直到2018年。
004. OS安全性 -Igor得到了
让我们讨论经典的UNIX安全模型以及Posix ACL扩展,系统日志和日志记录系统。 我们将讨论凭证访问模型(SELinux,AppArmor),netfilter设备和iptables,以及procfs,sysctl和强化OS。 让我们谈谈堆栈帧的设备以及与堆栈上的缓冲区溢出相关的漏洞,以及针对此类攻击的保护机制:ASLR,NX-Bit,DEP。
让我们谈谈已编译应用程序的安全性。 特别是,我们考虑与内存损坏(越界,释放后使用,类型混乱)相关的漏洞,以及现代编译器中用于减少利用漏洞的补偿性技术措施。
006. 事件调查。 福尔尼卡( Forensica) -安东·康瓦柳克(Anton Konvalyuk)
让我们谈谈检测和调查事件的方法以及我们必须处理的主要问题。 我们还将研究一些有助于调查事件并在实践中进行尝试的工具。
007. 虚拟化和容器化 -Anton Konvalyuk
为了提高服务器的效率,我们在Yandex中使用了容器。 在本安全讲座中,我们将介绍提供虚拟化和容器化的核心技术。 我们将重点关注容器化,这是部署应用程序的最流行方法。 让我们讨论功能,名称空间,cgroup和其他技术,以Ubuntu为例,了解它在现代Linux系统中的工作方式。
008. 密码学 -Evgeny Sidorov
Yandex的信息安全工程师每天都在应用密码学知识。 让我们谈谈他们的做法,PKI的缺点以及不同版本的TLS。 考虑TLS攻击和协议加速方法。 我们将讨论证书透明技术,Roughtime协议,算法和协议的实现中的错误以及各种框架的隐藏缺点。