У нас есть 2 часа.
Мы быстро исправим ошибку и сразу же вернемся.
Кибербезопасность сегодня нужна повсюду: от контроля доступа и коммерческой тайны до пиара и коммуникаций в кризисные времена.
ИТ уже очень глубоко и критически проникли в бизнес, и новые технологии становится легче создавать, внедрять и использовать.
Новые продукты, как правило, имеют низкий входной барьер (ну, кто помнит тюрьмы FreeBSD? И традиционный lxc? А теперь у нас есть докер).
Если раньше проблемой информационной безопасности были пользователи с низким уровнем компьютерной грамотности, то теперь условная MongoDB с голыми портами в Интернет или продакшн-среды со слабыми паролями и повторным использованием уязвимого кода становятся головной болью и могут привести к остановке бизнеса.
Чтобы обеспечить конфиденциальность и предотвратить утечку персональных данных, системы Secure by Design должны проектироваться и разрабатываться так, чтобы информационная безопасность не подвергалась риску в процессе создания кода.
Но как сделать это очень Безопасно, если проектированием занимается другой отдел по самым модным и не всегда проверенным технологиям? 
Чтобы информационная безопасность перестала быть болезненной темой, ее нужно сделать культурой, а не спешкой тушить пожары.
Информационная безопасность является краеугольным камнем; начинается (и этим заканчивается) баланс между скоростью бизнеса, безопасным развитием и рисками.
Баланс, ведь все процессы внутри компании зависят друг от друга.
Разработка, эксплуатация, тестирование, безопасность, бизнес-процессы — части одной системы.
С одной стороны, затянутые винты безопасности и реализация без понимания всех стандартов информационной безопасности могут привести к поломке продуктов, задержке выпусков, перебоям в обслуживании, раздражению разработчиков и даже к экологическим инцидентам.
С другой стороны, когда разработчик не знает, как хакер может использовать его код, он может быть замешан в утечках данных, взломе сервера или сбоях обслуживания из-за DDoS-атак.
Кроме того, для технических специалистов понимание основ кибербезопасности дает экспертные (полученные на практике) знания, которые ценятся на рынке, например:
- Программист может изучить нюансы безопасности, чтобы писать код с их учетом, а не реализовывать их позже;
- Тестировщик учится искать конкретные ошибки – уязвимости безопасности;
- Системный администратор научится распознавать скомпрометированный сервер и защищать его в случае взлома;
- Специалист по мониторингу научится распознавать инцидент (хотя он это уже делает, только в ИТ).
С другой стороны, недостаточно прослушать учебную программу по безопасности и прочитать два стандарта.
Чтобы глубоко понять, как это можно использовать, нужно проверить уязвимости руками и увидеть лазейки в коде самостоятельно — понимание и обнаружение слабых мест в вашей защите и доступе приходит с практикой.
У нас есть для вас тренировочная площадка!
Чтобы проверки безопасности не стали слишком дорогими, DevOps Live 2020 Программный комитет подготовил специальный блок докладов и мастер-классов по информационной безопасности.На них эксперты расскажут и обсудят, как развивать культуру ИТ-безопасности, и рассмотрят ее с трех сторон: со стороны бизнеса, инфраструктуры и сервиса (разработчики, тестировщики, специалисты по безопасности).
Там вы можете проверить это вручную.
Принципиальных различий между процессами ISOC и мониторингом инфраструктуры, операциями ИТ и информационной безопасности, ИТ-тестированием и тестированием информационной безопасности нет, и мы это покажем.
Будет много практики и рабочих инструментов, а выступающие эксперты ответят на вопросы, в том числе, почему «пришли силовики, они хотят чего-то странного».
На мастер-классах и QA-сессиях участники узнают, как на новом уровне и безболезненно интегрировать безопасность в уже запущенные процессы, какие типичные ошибки допускаются при работе и как хакеры «сломают» систему.
И что тогда с этим делать.
Тема DevSecOps достаточно новая для DevOpsConf, поэтому мы планировали мероприятия по ИБ максимально доступные для неподготовленных студентов, не глубоко погруженных в кибербезопасность.
Практические доклады от лучших экспертов отрасли, уже много лет выступающих на конференциях по безопасности, будут для всех: и для тех, кто только задумывается о безопасности, и для тех, кто уже начал делать в этом первые шаги.
направление.
Вступительный отчет от Льва Палей осветит важный вопрос – является ли кибербезопасность тормозом или драйвером перемен в реализации проектов.
Лев расскажет, как относительно безболезненно интегрировать безопасность в новые проекты, а также поделится опытом понимания потребностей ИТ-безопасности вашей компании.
Отчет будет полезен людям, так или иначе взаимодействующим с бизнес-подразделениями, и позволит им найти разумный баланс между скоростью и безопасностью новых сервисов и технологий.
В программе также будет мощный мастер-класс – мастер-класс «Кибер-испытательный полигон».
Луки Сафонова , где участники попытаются взломать тренировочную площадку, а Лука наглядно покажет, как распознавать те или иные типы атак с точки зрения инфраструктуры, какие системы можно использовать, как отслеживать цепочку атак и что можно сделать.
Во время демонстрации атаки Лука будет комментировать и объяснять, как обнаружить вторжение, как вмешаться в сетевой трафик и повысить привилегии, а также как предотвратить получение контроля над инфраструктурой и утечку данных за пределы периметра.
В течение 2 часов будет показано, как искать уязвимости определенного класса, и что в этот момент видно в логах систем мониторинга сети, какие события в них фиксируются и на что нужно смотреть.
.
На каждом этапе Лука будет объяснять, какие проблемы возникли с настройкой, как их исправить, как быстро реагировать на блокировку доступа и что еще нужно проверить, чтобы понять методы злоумышленников.
А для тех, кто хочет глубже погрузиться в методы и инструменты проведения атак, Роман Романов, генеральный директор Пентест ИТ поговорю с отчет «Opentest, не сомневайтесь» .
В своем докладе Роман осветит инструменты, используемые злоумышленниками, методы защиты и обхода популярных мер безопасности, а также наиболее распространенные ошибки, которые допускают системные администраторы и разработчики при эксплуатации систем.
Как видите, теории будет мало (хотя будет и «вертолетный взгляд» на общие принципы подхода к задачам безопасности), а мастер-классы, мастер-классы, митапы, круглые столы или блиц-доклады составят большую часть.
конференции.
Мероприятия по информационной безопасности будут равномерно распределены по территории конференции.
Смотрите, выбирайте, участвуйте: программа , Билеты , атмосфера .
Теги: #информационная безопасность #Конференции #DevOps #безопасность #безопасность веб-приложений
-
Как Установить Снпч В Epson
19 Oct, 24 -
Обзор Истории Compaq (Ныне Hpcompaq)
19 Oct, 24 -
Безопасность Kubernetes Стала Проще
19 Oct, 24 -
Coursera Запустила Специализации
19 Oct, 24 -
Простые Поисковые Расширения Для Firefox
19 Oct, 24
