2時間あります。バグをすばやく修正して、すぐに戻ってきましょう...
私たちの時代のサイバーセキュリティは、条件付きアクセス制御や商業上の秘密から、危機時のPRや通信まで、あらゆる場所で必要とされています。 ITはすでにビジネスに非常に深く批判的に浸透しており、新しいテクノロジーの作成、実装、使用が容易になっています。新しいアイテムは、エントリの低いしきい値に引き寄せられます(FreeBSDジェイルを覚えているのは誰ですか?そして従来のlxcですか?そして今ではdockerとdockerがあります)。以前は、情報セキュリティの問題はコンピュータリテラシーのレベルが低いユーザーでしたが、現在はインターネットへのベアポートを備えた条件付きMongoDBまたは脆弱なパスワードと脆弱なコードの再利用が問題になり、ビジネスの中断につながる可能性があります。
プライバシーを保護し、個人データの漏洩を防ぐために、コード作成の過程で情報セキュリティが損なわれない場合は、Secure byDesignシステムを設計および開発する必要があります。しかし、最もファッショナブルで常に実績のあるテクノロジーを使用して設計が別の部門によって行われている場合、これを非常に安全に行うにはどうすればよいでしょうか。
情報セキュリティが苦痛なトピックでなくなるためには、それを文化にする必要があり、急いで消火するのではありません。情報セキュリティは、ビジネスのスピード、安全な開発、およびリスクの間のバランスが始まる(そしてそれで終わる)ための基礎です。社内のすべてのプロセスが相互に依存しているため、バランスを取ります。開発、運用、テスト、セキュリティ、ビジネスプロセスは、すべて1つのシステムの一部です。一方では、すべての情報セキュリティ標準を理解せずにセキュリティナットを強化して実装すると、製品が機能しなくなったり、リリースが遅れたり、サービスが停止したり、開発者がイライラしたり、環境事故が発生したりする可能性があります。一方、開発者がハッカーが自分のコードをどのように使用できるかわからない場合、DDoS攻撃によるデータ漏洩、サーバーハッキング、またはサービス障害に関与している可能性があります。
さらに、技術スペシャリストの場合、サイバーセキュリティの基礎についての理解は、市場で評価されている専門家(実際に得られた)知識によって提供されます。
- プログラマーは、セキュリティの微妙な違いを学習して、後で実装するのではなく、それらを念頭に置いてコードを書くことができます。
- テスターは、特定のバグ(セキュリティの脆弱性)を探す方法を学びます。
- システム管理者は、侵害されたサーバーを認識する方法、またはハッキングされた場合にサーバーを保護する方法を学習します。
- 監視スペシャリストは、インシデントを認識する方法を学習します(ただし、ITでのみ認識します)。
部門や上司がいなくても、自分でサイバーセキュリティを浸透させることができます。これには、人生と同じように、パスワードとアンチウイルスドッグで十分な場合、および7つの異なるロック、網膜スキャナー、とげのあるワイヤー付きの境界線が必要な場合は、常識と理解が必要です。一方、セキュリティカリキュラムを聞いて2つの基準を読むだけでは十分ではありません。使用方法を深く理解するには、手で脆弱性を確認し、コードの抜け穴を自分で確認する必要があります。保護とアクセスの弱点を理解して開くには、練習が必要です。
私たちはあなたのための訓練場を持っています!
セキュリティチェックが非常に高額になるのを防ぐために、DevOps Live 2020で、プログラム委員会は情報セキュリティに関するプレゼンテーションとマスタークラスの特別なブロックを用意しました。彼らでは、専門家がITセキュリティの文化を発展させる方法を説明および議論し、ビジネス、インフラストラクチャ、およびサービス(開発者、テスター、セキュリティ担当者)の3つの側面からそれを検討します。手で確認することもできます。
基本的に、ISOCプロセスとインフラストラクチャの監視、ITと情報セキュリティの運用、ITテストと情報セキュリティテストの間に違いはありません。それを示します。たくさんの練習と作業ツールがあり、話す専門家は「警備員が来た、彼らは何か奇妙なことを望んでいる」などの質問に答えます。マスタークラスとQAセッションでは、参加者は、セキュリティを新しいレベルで、すでに実行中のプロセスに簡単に組み込む方法、操作中によくある間違い、ハッカーがシステムを「破壊」する方法を学びます。そして、それについて何をすべきか。
DevSecOpsトピックはDevOpsConfにとって十分に若いため、サイバーセキュリティに深く没頭していない訓練を受けていない学生ができるだけアクセスしやすい情報セキュリティ活動を計画しています。数年間セキュリティ会議で講演を行ってきた業界最高の専門家からの実用的なレポートは、セキュリティについて考えているだけの人と、すでにこの方向への第一歩を踏み出し始めている人の両方を対象としています。
紹介レポートLev Paleyによると、重要な問題が浮き彫りになります。サイバーセキュリティは、プロジェクトの実施における変化のブレーキまたは推進力です。 Levは、セキュリティを新しいプロジェクトに比較的簡単に統合する方法について話し、会社のITセキュリティのニーズを理解した経験を共有します。このレポートは、ビジネスユニットと何らかの形でやり取りする人々に役立ち、新しいサービスやテクノロジーの速度とセキュリティの適切なバランスを見つけるのに役立ちます。
プログラムには、強力なワークショップも含まれます-LukaSafonovによるマスタークラス「CyberPolygon」、参加者がトレーニンググラウンドをハッキングしようとします。Lukaは、インフラストラクチャの観点から特定の種類の攻撃を認識する方法、使用できるシステム、一連の攻撃を追跡する方法、および何ができるかを明確に示します。
攻撃のデモンストレーション中に、Lukaは、侵入を検出する方法、ネットワークトラフィックと特権のエスカレーションを妨害する方法、および境界からのインフラストラクチャとデータの制御を防ぐ方法についてコメントし、説明します。
2時間以内に、特定のクラスの脆弱性を探す方法、ネットワーク監視システムのログに現時点で何が表示されているか、どのイベントがシステムに記録されているか、何を確認する必要があるかが示されます。各ステップで、Lukaは構成の問題が何であったか、それを修正する方法、アクセスをブロックするために迅速に対応する方法、および攻撃者の方法を理解するために他に何をチェックするかを説明します。
そして、攻撃を実行するための方法とツールをさらに深く掘り下げたい人のために、PentestITのCEOであるRoman Romanovは、「私たちはそれをテストします、躊躇しないでください」と報告します。..。彼の講演では、Romanは、攻撃者が使用するツール、一般的な防御を保護およびバイパスする方法、およびシステム管理者と開発者がシステムをオペレーティングするときに犯す最も一般的な間違いに焦点を当てます。
ご覧のとおり、理論はほとんどなく(セキュリティタスクへのアプローチの一般原則に関する「ヘリコプターの見解」はありますが)、マスタークラス、ワークショップ、ミートアップ、円卓会議、または電撃レポートが会議の大部分を占めています。IBの活動は、会議全体に均等に分散されます。見て、選んで、参加してください:プログラム、チケット、雰囲気。