[Информационная безопасность, DevOps] Трек DevSecOps — тест безопасности на DevOpsConf Live 2020

Автор Сообщение
news_bot ®

Стаж: 6 лет 9 месяцев
Сообщений: 27286

Создавать темы news_bot ® написал(а)
15-Сен-2020 12:30

У нас 2 часа. Быстро пофиксим баг и сразу назад...
Кибербезопасность в наше время нужна везде, от условного пропускного режима и коммерческой тайны до PR и коммуникаций в кризисные моменты. ИТ уже очень глубоко и критично проникли в бизнес, а новые технологии все легче создать, внедрить и использовать. Новинки тяготеют к низкому порогу вхождения (ну-ка, кто помнит FreeBSD jails? А традиционный lxc? А теперь у нас раз-раз и докер). Если раньше проблемой ИБ были пользователи с низким уровнем компьютерной грамотности, сейчас условная MongoDB голыми портами в Интернет или же прод-среды со слабыми паролями и переиспользованием уязвимого кода становятся головной болью и могут привести к остановке бизнеса.
Чтобы создать приватность и не дать утечь персональным данным, должны проектироваться и разрабатываться Secure by Design системы, когда ИБ не идет на компромисс в процессе создания кода. Но как можно сделать это самое Secure, если Design делается другим подразделением на самых модных и не всегда проверенных технологиях?

Чтобы ИБ перестала быть болезненной темой, нужно ее сделать культурой, а не авралом по тушению пожаров. ИБ — это краеугольный камень, с него начинается (и им же заканчивается) баланс между скоростью бизнеса, безопасной разработкой и рисками. Баланс, потому что все процессы внутри компании зависят друг от друга. Разработка, эксплуатация, тестирование, безопасность, бизнес-процессы — части одной системы. С одной стороны, закрученные гайки безопасности и внедрение без осмысления всех стандартов ИБ, могут дать неработающий прод, задержку релиза, остановку сервиса, раздраженных разработчиков, даже экологические инциденты. С другой, когда разработчик не знает, как его кодом может воспользоваться хакер, он может быть причастен к утечке данных, взлому серверов или падению сервисов из-за DDoS-атак.
К тому же техническим специалистам понимание основ кибербезопасности дает экспертные (полученные на практике) знания, которые ценятся на рынке, например:
  • Программист может узнать нюансы безопасности, чтобы писать код с их учетом, а не внедряя их позже;
  • Тестировщик узнает, как искать специфические баги – уязвимости безопасности;
  • Системный администратор узнает, как распознать скомпрометированный сервер или защитить его при взломе;
  • Специалист по мониторингу научится распознавать инцидент (хотя он и так это делает, только в ИТ).

Прививать кибербезопасность можно самостоятельно, без департаментов и начальников — она, как в жизни, требует здравого смысла и понимания, когда достаточно пароля и собаки-антивируса, а когда нужны 7 разных замков, сканер сетчатки глаз и периметр с колючей проволокой. С другой стороны, недостаточно прослушать учебную программу по безопасности и прочитать два стандарта. Для глубокого понимания, как это можно использовать, нужно проверить руками уязвимости и самому увидеть лазейки в коде — понимание и открытие слабых мест в своей защите и доступах приходит с практикой.
У нас есть полигон для вас!
Чтобы проверка на безопасность не стала очень дорогой, на DevOps Live 2020 программный комитет подготовил специальный блок докладов и мастер-классов по ИБ. На них эксперты расскажут и обсудят, как развивать культуру ИТ-безопасности и рассмотрят ее с трёх сторон: со стороны бизнеса, инфраструктуры и сервиса (разработчики, тестировщики, безопасники). Там же можно будет проверить это руками.
Фундаментально нет отличий между процессами ISOC и инфраструктурным мониторингом, эксплуатацией ИТ и ИБ, ИТ-тестированием и ИБ-тестированием, и мы покажем это. Будет много практики и работающих инструментов, выступающие эксперты ответят на вопросы, в том числе и почему «пришли безопасники, хотят странного». На мастер-классах и QA-сессиях участники узнают, как на новом уровне и безболезненно встраивать безопасность в уже работающие процессы, какие частые ошибки допускаются при эксплуатации, как хакеры будут «ломать» систему. И что тогда с этим делать :)
Тема DevSecOps достаточно молода для DevOpsConf, поэтому мы запланировали активности по ИБ максимально доступными и для неподготовленных слушателей, не погруженных глубоко в кибербезопасность. Практические доклады от лучших экспертов в отрасли, которые не первый год выступают на конференциях по безопасности будут для всех: и для тех, кто только задумывается о безопасности, и для тех, кто уже начал делать первые шаги в этом направлении.

Вводный доклад от Льва Палея подсветит важный вопрос — является кибербезопасность тормозом или драйвером изменений при реализации проектов. Лев расскажет, как относительно безболезненно встроить безопасность в новые проекты, а также поделится опытом в понимании потребностей в ИТ-безопасности именно вашей компании. Доклад будет полезен людям, которые так или иначе взаимодействуют с бизнес-подразделениями, и позволит найти разумный баланс между скоростью и безопасностью новых сервисов и технологий.
Также в программе будет мощный воркшоп — мастер-класс «Кибер-полигон» Луки Сафонова, на котором участники будут пытаться взломать учебный полигон, а Лука наглядно покажет, как распознать те или иные виды атак с точки зрения инфраструктуры, какие системы можно использовать, как отследить цепочку атаки и что можно предпринять.
В процессе демонстрации атак Лука будет комментировать и объяснять, как заметить проникновение, как мешать продвижению по сети и повышению привилегий, а также как предотвращать получение контроля над инфраструктурой и вывода данных за периметр.
В течение 2 часов будет показано, как искать уязвимости определенного класса, и что в этот момент видно в логах систем мониторинга сети, какие события в них регистрируются, и на что нужно смотреть. На каждом шаге Лука объяснит, какие были проблемы с конфигурацией, как исправлять, как оперативно реагировать для блокировки доступа и что еще проверить, чтобы понять методы атакующих.
А для тех, кто захочет глубже погрузиться в методы и инструменты проведения атак, Роман Романов, CEO PentestIT выступит с докладом «Отпентестим, не сомневайтесь». В своем докладе Роман осветит инструментарий, который используют атакующие, методы закрепления и обхода популярных средств защиты, а также самые распространенные ошибки, которые допускают системные администраторы и разработчики при эксплуатации систем.
Как видите, теории будет мало (хотя «взгляд с вертолета» об общих принципах подхода к задачам по безопасности будет), а мастер-классов, воркшопов, митапов, круглых столов или блиц-докладов — большая часть конференции. ИБ-активности будут равномерно распределены по всей конференции. Смотрите, выбирайте, участвуйте: программа, билеты, атмосфера.
===========
Источник:
habr.com
===========

Похожие новости: Теги для поиска: #_informatsionnaja_bezopasnost (Информационная безопасность), #_devops, #_devops, #_bezopasnost (безопасность), #_bezopasnost_vebprilozhenij (безопасность веб-приложений), #_konferentsii (конференции), #_blog_kompanii_konferentsii_olega_bunina_(ontiko) (
Блог компании Конференции Олега Бунина (Онтико)
)
, #_informatsionnaja_bezopasnost (
Информационная безопасность
)
, #_devops
Профиль  ЛС 
Показать сообщения:     

Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы

Текущее время: 22-Ноя 17:49
Часовой пояс: UTC + 5