[Информационная безопасность, DevOps] Трек DevSecOps — тест безопасности на DevOpsConf Live 2020
Автор
Сообщение
news_bot ®
Стаж: 6 лет 3 месяца
Сообщений: 27286
У нас 2 часа. Быстро пофиксим баг и сразу назад...
Кибербезопасность в наше время нужна везде, от условного пропускного режима и коммерческой тайны до PR и коммуникаций в кризисные моменты. ИТ уже очень глубоко и критично проникли в бизнес, а новые технологии все легче создать, внедрить и использовать. Новинки тяготеют к низкому порогу вхождения (ну-ка, кто помнит FreeBSD jails? А традиционный lxc? А теперь у нас раз-раз и докер). Если раньше проблемой ИБ были пользователи с низким уровнем компьютерной грамотности, сейчас условная MongoDB голыми портами в Интернет или же прод-среды со слабыми паролями и переиспользованием уязвимого кода становятся головной болью и могут привести к остановке бизнеса.
Чтобы создать приватность и не дать утечь персональным данным, должны проектироваться и разрабатываться Secure by Design системы, когда ИБ не идет на компромисс в процессе создания кода. Но как можно сделать это самое Secure, если Design делается другим подразделением на самых модных и не всегда проверенных технологиях?
Чтобы ИБ перестала быть болезненной темой, нужно ее сделать культурой, а не авралом по тушению пожаров. ИБ — это краеугольный камень, с него начинается (и им же заканчивается) баланс между скоростью бизнеса, безопасной разработкой и рисками. Баланс, потому что все процессы внутри компании зависят друг от друга. Разработка, эксплуатация, тестирование, безопасность, бизнес-процессы — части одной системы. С одной стороны, закрученные гайки безопасности и внедрение без осмысления всех стандартов ИБ, могут дать неработающий прод, задержку релиза, остановку сервиса, раздраженных разработчиков, даже экологические инциденты. С другой, когда разработчик не знает, как его кодом может воспользоваться хакер, он может быть причастен к утечке данных, взлому серверов или падению сервисов из-за DDoS-атак.
К тому же техническим специалистам понимание основ кибербезопасности дает экспертные (полученные на практике) знания, которые ценятся на рынке, например:
- Программист может узнать нюансы безопасности, чтобы писать код с их учетом, а не внедряя их позже;
- Тестировщик узнает, как искать специфические баги – уязвимости безопасности;
- Системный администратор узнает, как распознать скомпрометированный сервер или защитить его при взломе;
- Специалист по мониторингу научится распознавать инцидент (хотя он и так это делает, только в ИТ).
Прививать кибербезопасность можно самостоятельно, без департаментов и начальников — она, как в жизни, требует здравого смысла и понимания, когда достаточно пароля и собаки-антивируса, а когда нужны 7 разных замков, сканер сетчатки глаз и периметр с колючей проволокой. С другой стороны, недостаточно прослушать учебную программу по безопасности и прочитать два стандарта. Для глубокого понимания, как это можно использовать, нужно проверить руками уязвимости и самому увидеть лазейки в коде — понимание и открытие слабых мест в своей защите и доступах приходит с практикой.
У нас есть полигон для вас!
Чтобы проверка на безопасность не стала очень дорогой, на DevOps Live 2020 программный комитет подготовил специальный блок докладов и мастер-классов по ИБ. На них эксперты расскажут и обсудят, как развивать культуру ИТ-безопасности и рассмотрят ее с трёх сторон: со стороны бизнеса, инфраструктуры и сервиса (разработчики, тестировщики, безопасники). Там же можно будет проверить это руками.
Фундаментально нет отличий между процессами ISOC и инфраструктурным мониторингом, эксплуатацией ИТ и ИБ, ИТ-тестированием и ИБ-тестированием, и мы покажем это. Будет много практики и работающих инструментов, выступающие эксперты ответят на вопросы, в том числе и почему «пришли безопасники, хотят странного». На мастер-классах и QA-сессиях участники узнают, как на новом уровне и безболезненно встраивать безопасность в уже работающие процессы, какие частые ошибки допускаются при эксплуатации, как хакеры будут «ломать» систему. И что тогда с этим делать :)
Тема DevSecOps достаточно молода для DevOpsConf, поэтому мы запланировали активности по ИБ максимально доступными и для неподготовленных слушателей, не погруженных глубоко в кибербезопасность. Практические доклады от лучших экспертов в отрасли, которые не первый год выступают на конференциях по безопасности будут для всех: и для тех, кто только задумывается о безопасности, и для тех, кто уже начал делать первые шаги в этом направлении.
Вводный доклад от Льва Палея подсветит важный вопрос — является кибербезопасность тормозом или драйвером изменений при реализации проектов. Лев расскажет, как относительно безболезненно встроить безопасность в новые проекты, а также поделится опытом в понимании потребностей в ИТ-безопасности именно вашей компании. Доклад будет полезен людям, которые так или иначе взаимодействуют с бизнес-подразделениями, и позволит найти разумный баланс между скоростью и безопасностью новых сервисов и технологий.
Также в программе будет мощный воркшоп — мастер-класс «Кибер-полигон» Луки Сафонова, на котором участники будут пытаться взломать учебный полигон, а Лука наглядно покажет, как распознать те или иные виды атак с точки зрения инфраструктуры, какие системы можно использовать, как отследить цепочку атаки и что можно предпринять.
В процессе демонстрации атак Лука будет комментировать и объяснять, как заметить проникновение, как мешать продвижению по сети и повышению привилегий, а также как предотвращать получение контроля над инфраструктурой и вывода данных за периметр.
В течение 2 часов будет показано, как искать уязвимости определенного класса, и что в этот момент видно в логах систем мониторинга сети, какие события в них регистрируются, и на что нужно смотреть. На каждом шаге Лука объяснит, какие были проблемы с конфигурацией, как исправлять, как оперативно реагировать для блокировки доступа и что еще проверить, чтобы понять методы атакующих.
А для тех, кто захочет глубже погрузиться в методы и инструменты проведения атак, Роман Романов, CEO PentestIT выступит с докладом «Отпентестим, не сомневайтесь». В своем докладе Роман осветит инструментарий, который используют атакующие, методы закрепления и обхода популярных средств защиты, а также самые распространенные ошибки, которые допускают системные администраторы и разработчики при эксплуатации систем.
Как видите, теории будет мало (хотя «взгляд с вертолета» об общих принципах подхода к задачам по безопасности будет), а мастер-классов, воркшопов, митапов, круглых столов или блиц-докладов — большая часть конференции. ИБ-активности будут равномерно распределены по всей конференции. Смотрите, выбирайте, участвуйте: программа, билеты, атмосфера.
===========
Источник:
habr.com
===========
Похожие новости:
- [Системное администрирование, Серверное администрирование, DevOps, Kubernetes] Хранение данных в кластере Kubernetes
- [DevOps, Kubernetes, Серверное администрирование, Системное администрирование] Google добавил поддержку Kubernetes в Confidential Computing (перевод)
- [Информационная безопасность] Security Week 38: MITM-атака на карты Visa
- [Информационная безопасность, Хостинг, IT-компании, Хранение данных] Внутренние системы Equinix оказались заражены вирусом-шифровальщиком
- [Конференции, Информационная безопасность, Резервное копирование, Антивирусная защита] Безопасность, автоматизация и сокращение издержек: Виртуальная конференция Acronis о новых технологиях киберзащиты
- [Информационная безопасность] Перевод стандарта ASVS 4.0. Часть 1 (перевод)
- [Adobe Flash, Internet Explorer, Браузеры, Информационная безопасность, Контекстная реклама] Пользователи Internet Explorer оказались снова подвержены атакам через рекламные баннеры
- [Информационная безопасность, Тестирование веб-сервисов] Every bug matters: Как запустить программу Bug Bounty в компании
- [Конференции, Хакатоны] Digital-мероприятия в Москве cо 14 по 20 сентября
- [Конференции, Хакатоны] Digital-мероприятия в Санкт-Петербурге c 14 по 20 сентября
Теги для поиска: #_informatsionnaja_bezopasnost (Информационная безопасность), #_devops, #_devops, #_bezopasnost (безопасность), #_bezopasnost_vebprilozhenij (безопасность веб-приложений), #_konferentsii (конференции), #_blog_kompanii_konferentsii_olega_bunina_(ontiko) (
Блог компании Конференции Олега Бунина (Онтико)
), #_informatsionnaja_bezopasnost (
Информационная безопасность
), #_devops
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Текущее время: 13-Май 07:27
Часовой пояс: UTC + 5
| Автор | Сообщение |
|---|---|
|
news_bot ®
Стаж: 6 лет 3 месяца |
|
|
У нас 2 часа. Быстро пофиксим баг и сразу назад... Кибербезопасность в наше время нужна везде, от условного пропускного режима и коммерческой тайны до PR и коммуникаций в кризисные моменты. ИТ уже очень глубоко и критично проникли в бизнес, а новые технологии все легче создать, внедрить и использовать. Новинки тяготеют к низкому порогу вхождения (ну-ка, кто помнит FreeBSD jails? А традиционный lxc? А теперь у нас раз-раз и докер). Если раньше проблемой ИБ были пользователи с низким уровнем компьютерной грамотности, сейчас условная MongoDB голыми портами в Интернет или же прод-среды со слабыми паролями и переиспользованием уязвимого кода становятся головной болью и могут привести к остановке бизнеса. Чтобы создать приватность и не дать утечь персональным данным, должны проектироваться и разрабатываться Secure by Design системы, когда ИБ не идет на компромисс в процессе создания кода. Но как можно сделать это самое Secure, если Design делается другим подразделением на самых модных и не всегда проверенных технологиях?  Чтобы ИБ перестала быть болезненной темой, нужно ее сделать культурой, а не авралом по тушению пожаров. ИБ — это краеугольный камень, с него начинается (и им же заканчивается) баланс между скоростью бизнеса, безопасной разработкой и рисками. Баланс, потому что все процессы внутри компании зависят друг от друга. Разработка, эксплуатация, тестирование, безопасность, бизнес-процессы — части одной системы. С одной стороны, закрученные гайки безопасности и внедрение без осмысления всех стандартов ИБ, могут дать неработающий прод, задержку релиза, остановку сервиса, раздраженных разработчиков, даже экологические инциденты. С другой, когда разработчик не знает, как его кодом может воспользоваться хакер, он может быть причастен к утечке данных, взлому серверов или падению сервисов из-за DDoS-атак. К тому же техническим специалистам понимание основ кибербезопасности дает экспертные (полученные на практике) знания, которые ценятся на рынке, например:
Прививать кибербезопасность можно самостоятельно, без департаментов и начальников — она, как в жизни, требует здравого смысла и понимания, когда достаточно пароля и собаки-антивируса, а когда нужны 7 разных замков, сканер сетчатки глаз и периметр с колючей проволокой. С другой стороны, недостаточно прослушать учебную программу по безопасности и прочитать два стандарта. Для глубокого понимания, как это можно использовать, нужно проверить руками уязвимости и самому увидеть лазейки в коде — понимание и открытие слабых мест в своей защите и доступах приходит с практикой. У нас есть полигон для вас! Чтобы проверка на безопасность не стала очень дорогой, на DevOps Live 2020 программный комитет подготовил специальный блок докладов и мастер-классов по ИБ. На них эксперты расскажут и обсудят, как развивать культуру ИТ-безопасности и рассмотрят ее с трёх сторон: со стороны бизнеса, инфраструктуры и сервиса (разработчики, тестировщики, безопасники). Там же можно будет проверить это руками. Фундаментально нет отличий между процессами ISOC и инфраструктурным мониторингом, эксплуатацией ИТ и ИБ, ИТ-тестированием и ИБ-тестированием, и мы покажем это. Будет много практики и работающих инструментов, выступающие эксперты ответят на вопросы, в том числе и почему «пришли безопасники, хотят странного». На мастер-классах и QA-сессиях участники узнают, как на новом уровне и безболезненно встраивать безопасность в уже работающие процессы, какие частые ошибки допускаются при эксплуатации, как хакеры будут «ломать» систему. И что тогда с этим делать :) Тема DevSecOps достаточно молода для DevOpsConf, поэтому мы запланировали активности по ИБ максимально доступными и для неподготовленных слушателей, не погруженных глубоко в кибербезопасность. Практические доклады от лучших экспертов в отрасли, которые не первый год выступают на конференциях по безопасности будут для всех: и для тех, кто только задумывается о безопасности, и для тех, кто уже начал делать первые шаги в этом направлении.  Вводный доклад от Льва Палея подсветит важный вопрос — является кибербезопасность тормозом или драйвером изменений при реализации проектов. Лев расскажет, как относительно безболезненно встроить безопасность в новые проекты, а также поделится опытом в понимании потребностей в ИТ-безопасности именно вашей компании. Доклад будет полезен людям, которые так или иначе взаимодействуют с бизнес-подразделениями, и позволит найти разумный баланс между скоростью и безопасностью новых сервисов и технологий. Также в программе будет мощный воркшоп — мастер-класс «Кибер-полигон» Луки Сафонова, на котором участники будут пытаться взломать учебный полигон, а Лука наглядно покажет, как распознать те или иные виды атак с точки зрения инфраструктуры, какие системы можно использовать, как отследить цепочку атаки и что можно предпринять. В процессе демонстрации атак Лука будет комментировать и объяснять, как заметить проникновение, как мешать продвижению по сети и повышению привилегий, а также как предотвращать получение контроля над инфраструктурой и вывода данных за периметр. В течение 2 часов будет показано, как искать уязвимости определенного класса, и что в этот момент видно в логах систем мониторинга сети, какие события в них регистрируются, и на что нужно смотреть. На каждом шаге Лука объяснит, какие были проблемы с конфигурацией, как исправлять, как оперативно реагировать для блокировки доступа и что еще проверить, чтобы понять методы атакующих. А для тех, кто захочет глубже погрузиться в методы и инструменты проведения атак, Роман Романов, CEO PentestIT выступит с докладом «Отпентестим, не сомневайтесь». В своем докладе Роман осветит инструментарий, который используют атакующие, методы закрепления и обхода популярных средств защиты, а также самые распространенные ошибки, которые допускают системные администраторы и разработчики при эксплуатации систем. Как видите, теории будет мало (хотя «взгляд с вертолета» об общих принципах подхода к задачам по безопасности будет), а мастер-классов, воркшопов, митапов, круглых столов или блиц-докладов — большая часть конференции. ИБ-активности будут равномерно распределены по всей конференции. Смотрите, выбирайте, участвуйте: программа, билеты, атмосфера. =========== Источник: habr.com =========== Похожие новости:
Блог компании Конференции Олега Бунина (Онтико) ), #_informatsionnaja_bezopasnost ( Информационная безопасность ), #_devops |
|
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Текущее время: 13-Май 07:27
Часовой пояс: UTC + 5