У нас 2 часа. Быстро пофиксим баг и сразу назад...
Кибербезопасность в наше время нужна везде, от условного пропускного режима и коммерческой тайны до PR и коммуникаций в кризисные моменты. ИТ уже очень глубоко и критично проникли в бизнес, а новые технологии все легче создать, внедрить и использовать. Новинки тяготеют к низкому порогу вхождения (ну-ка, кто помнит FreeBSD jails? А традиционный lxc? А теперь у нас раз-раз и докер). Если раньше проблемой ИБ были пользователи с низким уровнем компьютерной грамотности, сейчас условная MongoDB голыми портами в Интернет или же прод-среды со слабыми паролями и переиспользованием уязвимого кода становятся головной болью и могут привести к остановке бизнеса.
Чтобы создать приватность и не дать утечь персональным данным, должны проектироваться и разрабатываться Secure by Design системы, когда ИБ не идет на компромисс в процессе создания кода. Но как можно сделать это самое Secure, если Design делается другим подразделением на самых модных и не всегда проверенных технологиях?
Чтобы ИБ перестала быть болезненной темой, нужно ее сделать культурой, а не авралом по тушению пожаров. ИБ — это краеугольный камень, с него начинается (и им же заканчивается) баланс между скоростью бизнеса, безопасной разработкой и рисками. Баланс, потому что все процессы внутри компании зависят друг от друга. Разработка, эксплуатация, тестирование, безопасность, бизнес-процессы — части одной системы. С одной стороны, закрученные гайки безопасности и внедрение без осмысления всех стандартов ИБ, могут дать неработающий прод, задержку релиза, остановку сервиса, раздраженных разработчиков, даже экологические инциденты. С другой, когда разработчик не знает, как его кодом может воспользоваться хакер, он может быть причастен к утечке данных, взлому серверов или падению сервисов из-за DDoS-атак.
К тому же техническим специалистам понимание основ кибербезопасности дает экспертные (полученные на практике) знания, которые ценятся на рынке, например:
- Программист может узнать нюансы безопасности, чтобы писать код с их учетом, а не внедряя их позже;
- Тестировщик узнает, как искать специфические баги – уязвимости безопасности;
- Системный администратор узнает, как распознать скомпрометированный сервер или защитить его при взломе;
- Специалист по мониторингу научится распознавать инцидент (хотя он и так это делает, только в ИТ).
Прививать кибербезопасность можно самостоятельно, без департаментов и начальников — она, как в жизни, требует здравого смысла и понимания, когда достаточно пароля и собаки-антивируса, а когда нужны 7 разных замков, сканер сетчатки глаз и периметр с колючей проволокой. С другой стороны, недостаточно прослушать учебную программу по безопасности и прочитать два стандарта. Для глубокого понимания, как это можно использовать, нужно проверить руками уязвимости и самому увидеть лазейки в коде — понимание и открытие слабых мест в своей защите и доступах приходит с практикой.
У нас есть полигон для вас!
Чтобы проверка на безопасность не стала очень дорогой, на DevOps Live 2020 программный комитет подготовил специальный блок докладов и мастер-классов по ИБ. На них эксперты расскажут и обсудят, как развивать культуру ИТ-безопасности и рассмотрят ее с трёх сторон: со стороны бизнеса, инфраструктуры и сервиса (разработчики, тестировщики, безопасники). Там же можно будет проверить это руками.
Фундаментально нет отличий между процессами ISOC и инфраструктурным мониторингом, эксплуатацией ИТ и ИБ, ИТ-тестированием и ИБ-тестированием, и мы покажем это. Будет много практики и работающих инструментов, выступающие эксперты ответят на вопросы, в том числе и почему «пришли безопасники, хотят странного». На мастер-классах и QA-сессиях участники узнают, как на новом уровне и безболезненно встраивать безопасность в уже работающие процессы, какие частые ошибки допускаются при эксплуатации, как хакеры будут «ломать» систему. И что тогда с этим делать.
Тема DevSecOps достаточно молода для DevOpsConf, поэтому мы запланировали активности по ИБ максимально доступными и для неподготовленных слушателей, не погруженных глубоко в кибербезопасность. Практические доклады от лучших экспертов в отрасли, которые не первый год выступают на конференциях по безопасности будут для всех: и для тех, кто только задумывается о безопасности, и для тех, кто уже начал делать первые шаги в этом направлении.
Вводный доклад от Льва Палея подсветит важный вопрос — является кибербезопасность тормозом или драйвером изменений при реализации проектов. Лев расскажет, как относительно безболезненно встроить безопасность в новые проекты, а также поделится опытом в понимании потребностей в ИТ-безопасности именно вашей компании. Доклад будет полезен людям, которые так или иначе взаимодействуют с бизнес-подразделениями, и позволит найти разумный баланс между скоростью и безопасностью новых сервисов и технологий.
Также в программе будет мощный воркшоп — мастер-класс «Кибер-полигон» Луки Сафонова, на котором участники будут пытаться взломать учебный полигон, а Лука наглядно покажет, как распознать те или иные виды атак с точки зрения инфраструктуры, какие системы можно использовать, как отследить цепочку атаки и что можно предпринять.
В процессе демонстрации атак Лука будет комментировать и объяснять, как заметить проникновение, как мешать продвижению по сети и повышению привилегий, а также как предотвращать получение контроля над инфраструктурой и вывода данных за периметр.
В течение 2 часов будет показано, как искать уязвимости определенного класса, и что в этот момент видно в логах систем мониторинга сети, какие события в них регистрируются, и на что нужно смотреть. На каждом шаге Лука объяснит, какие были проблемы с конфигурацией, как исправлять, как оперативно реагировать для блокировки доступа и что еще проверить, чтобы понять методы атакующих.
А для тех, кто захочет глубже погрузиться в методы и инструменты проведения атак, Роман Романов, CEO PentestIT выступит с докладом «Отпентестим, не сомневайтесь». В своем докладе Роман осветит инструментарий, который используют атакующие, методы закрепления и обхода популярных средств защиты, а также самые распространенные ошибки, которые допускают системные администраторы и разработчики при эксплуатации систем.
Как видите, теории будет мало (хотя «взгляд с вертолета» об общих принципах подхода к задачам по безопасности будет), а мастер-классов, воркшопов, митапов, круглых столов или блиц-докладов — большая часть конференции. ИБ-активности будут равномерно распределены по всей конференции. Смотрите, выбирайте, участвуйте: программа, билеты, атмосфера.
