Temos 2 horas. Vamos consertar o bug rapidamente e voltar imediatamente ...
A cibersegurança em nosso tempo é necessária em todos os lugares, desde o controle de acesso condicional e segredos comerciais a relações públicas e comunicações em tempos de crise. A TI já penetrou profundamente e de forma crítica nos negócios, e novas tecnologias estão se tornando mais fáceis de criar, implementar e usar. Novos itens gravitam em torno de um baixo limiar de entrada (bem, quem se lembra das prisões do FreeBSD? E o lxc tradicional? E agora temos docker e docker). Se antes o problema de segurança da informação era usuários com baixo nível de conhecimento de informática, agora o MongoDB condicional com portas vazias para a Internet ou ambientes de produção com senhas fracas e reutilização de código vulnerável estão se tornando uma dor de cabeça e podem levar à interrupção dos negócios.
Para criar privacidade e evitar o vazamento de dados pessoais, sistemas Secure by Design devem ser projetados e desenvolvidos, quando a segurança da informação não compromete o processo de criação do código. Mas como fazer isso com muita segurança, se o Design é feito por outra divisão usando as tecnologias mais modernas e nem sempre comprovadas?

Para que a segurança da informação deixe de ser um tema penoso, é preciso transformá-la em uma cultura, e não na pressa de extinguir incêndios. A segurança da informação é a pedra angular, a partir da qual começa (e termina com ele) o equilíbrio entre a velocidade do negócio, o desenvolvimento seguro e os riscos. Equilíbrio, pois todos os processos da empresa dependem uns dos outros. Desenvolvimento, operação, teste, segurança e processos de negócios são todos partes de um sistema. Por um lado, as porcas de segurança apertadas e a implementação sem compreender todos os padrões de segurança da informação podem resultar em um produto que não funciona, um atraso no lançamento, uma parada no serviço, desenvolvedores irritados e até incidentes ambientais. Por outro lado, quando um desenvolvedor não sabe como um hacker pode usar seu código, ele pode estar envolvido em um vazamento de dados, hackeamento de servidor ou falhas de serviço devido a ataques DDoS.
Além disso, para especialistas técnicos, uma compreensão dos fundamentos da cibersegurança é fornecida por conhecimentos especializados (obtidos na prática) que são valorizados no mercado, por exemplo:
- O programador pode aprender as nuances de segurança para escrever código com elas em mente, em vez de implementá-las posteriormente;
- O testador aprenderá como procurar bugs específicos - vulnerabilidades de segurança;
- O administrador do sistema aprenderá como reconhecer um servidor comprometido ou protegê-lo em caso de invasão;
- O especialista em monitoramento aprenderá como reconhecer um incidente (embora o faça, apenas em TI).
Você pode instilar segurança cibernética por conta própria, sem departamentos e chefes - como na vida, requer bom senso e compreensão quando uma senha e um cão antivírus são suficientes, e quando você precisa de 7 fechaduras diferentes, um scanner de retina e um perímetro com arame farpado. Por outro lado, não basta ouvir um currículo de segurança e ler dois padrões. Para uma compreensão profunda de como isso pode ser usado, você precisa verificar as vulnerabilidades com as mãos e ver as lacunas no código por si mesmo - entender e abrir as fraquezas em sua proteção e acesso vem com a prática.
Temos um campo de treinamento para você!
Para evitar que as verificações de segurança se tornem muito caras, no DevOps Live 2020, o comitê do programa preparou um bloco especial de apresentações e master classes sobre segurança da informação. Neles, os especialistas vão falar e discutir como desenvolver uma cultura de segurança de TI e considerá-la de três lados: do lado do negócio, infraestrutura e serviço (desenvolvedores, testadores, pessoal de segurança). Lá você também pode verificar com as mãos.
Fundamentalmente, não há diferença entre processos ISOC e monitoramento de infraestrutura, TI e operações de segurança da informação, testes de TI e testes de segurança da informação, e vamos mostrar isso. Haverá muita prática e ferramentas de trabalho, os especialistas oradores responderão a perguntas, incluindo por que "os seguranças vieram, eles querem algo estranho." Em master classes e sessões de QA, os participantes aprenderão como incorporar a segurança em um novo nível e sem dor em processos já em execução, quais erros comuns são cometidos durante a operação e como os hackers irão “quebrar” o sistema. E então o que fazer sobre isso.
O tópico DevSecOps é jovem o suficiente para DevOpsConf, então planejamos atividades de segurança da informação o mais acessíveis possível para alunos não treinados que não estão profundamente imersos em segurança cibernética. As apresentações práticas dos melhores especialistas do setor, que falam em conferências de segurança há vários anos, serão para todos: tanto para aqueles que estão apenas pensando em segurança quanto para aqueles que já começaram a dar os primeiros passos nessa direção.

Relatório introdutóriode Lev Paley destacará uma questão importante - a segurança cibernética é um freio ou motor de mudanças na implementação de projetos. Lev lhe contará como integrar a segurança em novos projetos de maneira relativamente fácil, bem como compartilhar sua experiência no entendimento das necessidades de segurança de TI de sua empresa. O relatório será útil para pessoas que interagem de uma forma ou de outra com unidades de negócios e ajudará a encontrar um equilíbrio razoável entre a velocidade e a segurança de novos serviços e tecnologias.
O programa também incluirá um poderoso workshop - uma master class "Cyber Polygon" de Luka Safonov, onde os participantes tentarão hackear o campo de treinamento, e Luka mostrará claramente como reconhecer certos tipos de ataques do ponto de vista da infraestrutura, quais sistemas podem ser usados, como rastrear a cadeia de ataques e o que pode ser feito.
Durante a demonstração dos ataques, Luka comentará e explicará como detectar infiltrações, como interferir no tráfego de rede e aumento de privilégios e como evitar o controle da infraestrutura e dos dados fora do perímetro.
Em 2 horas, será mostrado como procurar vulnerabilidades de uma determinada classe, o que está visível neste momento nos logs dos sistemas de monitoramento de rede, quais eventos estão registrados neles e o que você precisa observar. Em cada etapa, Luka explicará quais são os problemas de configuração, como corrigi-los, como reagir rapidamente para bloquear o acesso e o que mais verificar para entender os métodos dos invasores.
E para aqueles que desejam se aprofundar nos métodos e ferramentas para realizar ataques, Roman Romanov, CEO da PentestIT, apresentará um relatório "Vamos testar, não hesite"... Em sua palestra, Roman destacará as ferramentas que os invasores usam, os métodos de proteger e contornar as defesas populares, bem como os erros mais comuns que os administradores de sistema e desenvolvedores cometem ao operar sistemas.
Como você pode ver, haverá pouca teoria (embora haja uma "visão de helicóptero" sobre os princípios gerais de abordagem das tarefas de segurança) e master classes, workshops, encontros, mesas redondas ou relatórios de blitz são uma grande parte da conferência. As atividades do IB serão distribuídas igualmente ao longo da conferência. Veja, escolha, participe: programa , ingressos , clima .