我们有2个小时。让我们快速修复该错误,然后马上回来...
从有条件的访问控制和商业机密到危机时期的公关和通信,我们时代的网络安全无处不在。 IT已经非常深入和关键地渗透到业务中,新技术的创建,实施和使用变得越来越容易。新项目倾向于降低进入门槛(嗯,谁还记得FreeBSD监狱?还有传统的Lxc?现在我们有了docker和docker)。如果早先的信息安全问题是计算机知识水平较低的用户,那么现在有条件的MongoDB具有裸露的Internet端口,或者具有弱密码和易受攻击的代码重用的生产环境正变得令人头疼,并且可能导致业务中断。
为了创建隐私并防止个人数据泄露,在设计代码的过程中不影响信息安全性的情况下,应设计和开发Secure by Design系统。但是,如果设计是由另一个部门使用最时尚且并非总是经过验证的技术来完成的,那么您将如何做到非常安全呢?
为了使信息安全不再是一个痛苦的话题,必须使它成为一种文化,而不是急于扑灭大火。信息安全是基石,业务速度,安全发展和风险之间的平衡由此开始(并以此为终点)。平衡,因为公司内的所有流程都相互依赖。开发,操作,测试,安全性,业务流程都是一个系统的所有部分。一方面,在不了解所有信息安全标准的情况下拧紧安全螺母并实施这些操作可能会导致产品无法正常工作,发布延迟,服务停止,开发人员感到恼火,甚至导致环境事件。另一方面,当开发人员不知道黑客如何使用他的代码时,他可能会由于DDoS攻击而参与数据泄漏,服务器黑客或服务中断。
此外,对于技术专家,市场上有价值的专家(在实践中获得)知识可提供对网络安全基础知识的理解,例如:
- 程序员可以学习安全性的细微差别,以便在编写代码时牢记这些细节,而不必在以后实现它们。
- 测试人员将学习如何查找特定的错误-安全漏洞;
- 系统管理员将学习如何识别受感染的服务器或在受到攻击时对其进行保护;
- 监视专家将学习如何识别事件(尽管他是这样做的,但仅在IT中如此)。
您可以自行灌输网络安全,而无需部门和老板-就像生活中一样,需要密码和防病毒狗就够了,以及当您需要7种不同的锁,视网膜扫描仪和带铁丝网的周边时,需要常识和理解。另一方面,仅听一听安全课程并阅读两个标准是不够的。要深入了解如何使用此功能,您需要动手检查漏洞并亲自查看代码中的漏洞-练习时要了解并打开保护和访问方面的弱点。
我们为您提供训练场!
为了防止安全检查变得非常昂贵,计划委员会在DevOps Live 2020上准备了关于信息安全的专题演讲和大师班。专家们将在会议上讲述和讨论如何建立IT安全文化,并从三个方面进行思考:从业务,基础架构和服务(开发人员,测试人员,安全人员)的角度。您也可以在那里用手检查它。
从根本上讲,ISOC流程和基础架构监视,IT和信息安全运营,IT测试和信息安全测试之间没有区别,我们将展示它。将有许多实践和工作工具,口语专家将回答问题,包括为什么“安全卫士来了,他们想要奇怪的东西”。在大师班和QA会议上,参与者将学习如何将安全性提高到一个新的水平,并轻松地将其嵌入到已经运行的流程中,在操作过程中会犯哪些常见错误,以及黑客将如何“破坏”系统。然后该怎么做。
对于DevOpsConf来说,DevSecOps主题还很年轻,因此我们计划了信息安全活动,以使未受过深入网络安全训练的未经培训的学生可以访问。在安全性会议上已经发言了好几年的业内最佳专家的实用演讲将为每个人提供:不仅是考虑安全性的人,也已经开始朝这个方向迈出第一步的人。
介绍性报告列夫·帕利(Lev Paley)的演讲将突出一个重要问题-网络安全是项目实施变化的刹车或驱动器。 Lev将告诉您如何相对轻松地将安全性集成到新项目中,以及分享他在了解公司的IT安全性需求方面的经验。该报告对于与业务部门以一种或另一种方式进行交互的人员很有用,并且将有助于在新服务和技术的速度和安全性之间找到合理的平衡。
该计划还将包括一个强大的研讨会-Luka Safonov的大师班“ Cyber多边形”,参与者将在其中尝试破解培训场地,卢卡(Luka)将清楚地展示如何从基础结构的角度识别某些类型的攻击,可以使用哪些系统,如何跟踪攻击链以及可以做什么。
在演示攻击期间,Luka将评论并解释如何检测渗透,如何干扰网络流量和特权升级,以及如何防止对基础结构和数据进行控制。
在2小时内,将显示如何查找特定类别的漏洞,以及此时在网络监控系统日志中可见的内容,其中记录了哪些事件以及您需要查看的内容。在每一个步骤中,Luka都会解释什么配置问题,如何解决,如何快速响应以阻止访问以及需要检查哪些内容以了解攻击者的方法。
对于那些想深入研究攻击方法和工具的人,PentestIT首席执行官Roman Romanov将发表报告“我们将对其进行测试,不要犹豫”... 在他的演讲中,Roman将重点介绍攻击者使用的工具,保护和绕过流行防御的方法以及系统管理员和开发人员在操作系统上犯的最常见错误。
如您所见,理论很少(尽管对于执行安全任务的一般原则会有“直升机观点”),而大师班,讲习班,聚会,圆桌会议或闪电战报告是会议的主要内容。IB活动将在整个会议期间平均分配。看,选择,参加:节目,门票,气氛。