Disponemos de 2 horas. Arreglemos el error rápidamente y regresemos de inmediato ...
La ciberseguridad en nuestro tiempo es necesaria en todas partes, desde el control de acceso condicional y los secretos comerciales hasta las relaciones públicas y las comunicaciones en tiempos de crisis. La TI ya ha penetrado de manera muy profunda y crítica en el negocio, y las nuevas tecnologías son cada vez más fáciles de crear, implementar y usar. Los nuevos elementos gravitan hacia un umbral de entrada bajo (bueno, ¿quién recuerda las cárceles de FreeBSD? ¿Y el lxc tradicional? Y ahora tenemos docker y docker). Si antes el problema de la seguridad de la información eran los usuarios con un bajo nivel de conocimientos informáticos, ahora el MongoDB condicional con puertos desnudos a Internet o entornos de producción con contraseñas débiles y reutilización de código vulnerable se está convirtiendo en un dolor de cabeza y puede llevar a una parada comercial.
Para crear privacidad y evitar la filtración de datos personales, los sistemas Secure by Design deben diseñarse y desarrollarse, cuando la seguridad de la información no se vea comprometida en el proceso de creación de código. Pero, ¿cómo puede hacer esto de manera muy segura, si el diseño lo realiza otra división utilizando las tecnologías más modernas y no siempre probadas?
Para que la seguridad de la información deje de ser un tema doloroso, debe convertirse en una cultura y no en una prisa por apagar incendios. La seguridad de la información es la piedra angular, a partir de la cual comienza (y termina con él) el equilibrio entre la velocidad del negocio, el desarrollo seguro y los riesgos. Equilibrio, porque todos los procesos dentro de la empresa dependen unos de otros. El desarrollo, la operación, las pruebas, la seguridad y los procesos comerciales son todas partes de un sistema. Por un lado, las tuercas de seguridad más estrictas y la implementación sin comprender todos los estándares de seguridad de la información pueden resultar en un producto que no funciona, un retraso en el lanzamiento, una interrupción del servicio, desarrolladores irritados e incluso incidentes ambientales. Por otro lado, cuando un desarrollador no sabe cómo un pirata informático puede usar su código, puede estar involucrado en una fuga de datos, piratería del servidor o fallas del servicio debido a ataques DDoS.
Además, para los especialistas técnicos, la comprensión de los conceptos básicos de la ciberseguridad la proporciona el conocimiento experto (obtenido en la práctica) que se valora en el mercado, por ejemplo:
- El programador puede aprender los matices de la seguridad para escribir código con ellos en mente, en lugar de implementarlos más tarde;
- El evaluador aprenderá a buscar errores específicos: vulnerabilidades de seguridad;
- El administrador del sistema aprenderá a reconocer un servidor comprometido o protegerlo si ha sido pirateado;
- Un especialista en monitorización aprenderá a reconocer una incidencia (aunque lo hace, solo en TI).
Puede inculcar la ciberseguridad por su cuenta, sin departamentos ni jefes; como en la vida, requiere sentido común y comprensión cuando una contraseña y un perro antivirus son suficientes, y cuando necesita 7 candados diferentes, un escáner de retina y un perímetro con alambre de púas. Por otro lado, no es suficiente escuchar un plan de estudios de seguridad y leer dos estándares. Para una comprensión profunda de cómo se puede usar esto, debe verificar las vulnerabilidades con las manos y ver las lagunas en el código usted mismo: comprender y abrir las debilidades en su protección y acceso viene con la práctica.
¡Tenemos un campo de entrenamiento para ti!
Para evitar que los controles de seguridad se vuelvan muy costosos, en DevOps Live 2020, el comité del programa preparó un bloque especial de presentaciones y clases magistrales sobre seguridad de la información. En ellos, los expertos contarán y discutirán cómo desarrollar una cultura de seguridad de TI y lo considerarán desde tres lados: desde el lado del negocio, la infraestructura y el servicio (desarrolladores, probadores, personal de seguridad). Allí también puede comprobarlo con las manos.
Básicamente, no hay diferencia entre los procesos de ISOC y el monitoreo de la infraestructura, las operaciones de seguridad de la información y TI, las pruebas de TI y las pruebas de seguridad de la información, y lo mostraremos. Habrá mucha práctica y herramientas de trabajo, los expertos oradores responderán preguntas, incluyendo por qué "han venido los guardias de seguridad, quieren algo extraño". En las clases magistrales y las sesiones de control de calidad, los participantes aprenderán cómo incorporar la seguridad a un nuevo nivel y sin dolor en los procesos que ya se están ejecutando, qué errores comunes se cometen durante la operación y cómo los piratas informáticos "romperán" el sistema. Y luego qué hacer al respecto.
El tema de DevSecOps es lo suficientemente joven para DevOpsConf, por lo que hemos planificado actividades de seguridad de la información lo más accesibles posible para los estudiantes no capacitados que no están profundamente inmersos en la ciberseguridad. Las ponencias prácticas de los mejores expertos del sector que llevan varios años hablando en congresos de seguridad serán para todos: tanto para los que solo están pensando en la seguridad como para los que ya han comenzado a dar sus primeros pasos en esta dirección.
Informe introductoriode Lev Paley destacará una pregunta importante: ¿la ciberseguridad es un freno o un motor de cambios en la implementación de proyectos? Lev le dirá cómo integrar la seguridad en nuevos proyectos de manera relativamente sencilla, además de compartir su experiencia para comprender las necesidades de seguridad de TI de su empresa. El informe será útil para las personas que interactúan de una forma u otra con las unidades de negocio y ayudará a encontrar un equilibrio razonable entre la velocidad y la seguridad de los nuevos servicios y tecnologías.
El programa también incluirá un poderoso taller - una clase magistral "Cyber Polygon" por Luka Safonov, donde los participantes intentarán piratear el campo de entrenamiento, y Luka mostrará claramente cómo reconocer ciertos tipos de ataques desde el punto de vista de la infraestructura, qué sistemas se pueden usar, cómo rastrear la cadena de ataques y qué se puede hacer.
Durante la demostración de los ataques, Luka comentará y explicará cómo detectar la infiltración, cómo interferir con el tráfico de red y la escalada de privilegios, y cómo evitar el control de la infraestructura y los datos fuera del perímetro.
En 2 horas, se le mostrará cómo buscar vulnerabilidades de una determinada clase y qué es visible en este momento en los registros de los sistemas de monitoreo de red, qué eventos se registran en ellos y qué debe observar. En cada paso, Luka explicará cuáles fueron los problemas de configuración, cómo solucionarlos, cómo reaccionar rápidamente para bloquear el acceso y qué más verificar para comprender los métodos de los atacantes.
Y para aquellos que quieran profundizar en los métodos y herramientas para llevar a cabo ataques, Roman Romanov, CEO de PentestIT hará un informe "Lo probaremos , no lo dudes"... En su charla, Roman destacará las herramientas que utilizan los atacantes, los métodos para proteger y eludir las defensas populares, así como los errores más comunes que cometen los administradores y desarrolladores de sistemas cuando operan los sistemas.
Como ves, habrá poca teoría (aunque habrá una “vista en helicóptero” sobre los principios generales del enfoque de las tareas de seguridad), y las clases magistrales, talleres, meetups, mesas redondas o informes blitz son una gran parte de la conferencia. Las actividades del IB se distribuirán uniformemente a lo largo de la conferencia. Ver, elegir, participar: programa , entradas , ambiente .