Nous avons 2 heures. Corrigeons le bug rapidement et revenons tout de suite ...
La cybersécurité à notre époque est nécessaire partout, du contrôle d'accès conditionnel et des secrets commerciaux aux relations publiques et aux communications en temps de crise. L'informatique a déjà pénétré très profondément et de manière critique dans l'entreprise, et les nouvelles technologies sont de plus en plus faciles à créer, à mettre en œuvre et à utiliser. Les nouveaux éléments gravitent vers un seuil d'entrée bas (enfin, qui se souvient des prisons FreeBSD? Et du lxc traditionnel? Et maintenant nous avons docker et docker). Auparavant, le problème de la sécurité de l'information était les utilisateurs avec un faible niveau de connaissances en informatique, maintenant la MongoDB conditionnelle avec des ports nus vers Internet ou des environnements de production avec des mots de passe faibles et la réutilisation de code vulnérable deviennent un casse-tête et peuvent conduire à l'arrêt de l'activité.
Pour créer la confidentialité et empêcher la fuite de données personnelles, les systèmes Secure by Design doivent être conçus et développés lorsque la sécurité des informations ne compromet pas le processus de création de code. Mais comment pouvez-vous faire cela de manière très sécurisée, si la conception est réalisée par une autre division utilisant les technologies les plus à la mode et pas toujours éprouvées?
Pour que la sécurité de l’information cesse d’être un sujet douloureux, il faut en faire une culture et non une précipitation pour éteindre les incendies. La sécurité de l'information est la pierre angulaire, à partir de laquelle commence (et se termine avec elle) l'équilibre entre vitesse commerciale, développement sécurisé et risques. Équilibre, car tous les processus au sein de l'entreprise dépendent les uns des autres. Le développement, l'exploitation, les tests, la sécurité et les processus métier font tous partie d'un même système. D'une part, le resserrement des écrous de sécurité et la mise en œuvre sans comprendre toutes les normes de sécurité des informations peuvent entraîner un produit qui ne fonctionne pas, un retard dans la publication, un arrêt de service, des développeurs irrités et même des incidents environnementaux. D'autre part, lorsqu'un développeur ne sait pas comment un pirate peut utiliser son code, il peut être impliqué dans une fuite de données, un piratage de serveur ou des pannes de service en raison d'attaques DDoS.
De plus, pour les spécialistes techniques, la compréhension des bases de la cybersécurité est fournie par des connaissances expertes (obtenues en pratique) qui sont valorisées sur le marché, par exemple:
- Le programmeur peut apprendre les nuances de la sécurité afin d'écrire du code avec elles à l'esprit, plutôt que de les implémenter plus tard;
- Le testeur apprendra comment rechercher des bogues spécifiques - vulnérabilités de sécurité;
- L'administrateur système apprendra à reconnaître un serveur compromis ou à le protéger en cas de piratage;
- Un spécialiste de la surveillance apprendra à reconnaître un incident (bien qu'il le fasse, uniquement en informatique).
Vous pouvez inculquer la cybersécurité par vous-même, sans départements ni chefs - comme dans la vie, cela nécessite du bon sens et de la compréhension lorsqu'un mot de passe et un chien antivirus suffisent, et lorsque vous avez besoin de 7 verrous différents, d'un scanner rétinien et d'un périmètre avec du fil de fer barbelé. D'un autre côté, il ne suffit pas d'écouter un programme de sécurité et de lire deux normes. Pour une compréhension approfondie de la façon dont cela peut être utilisé, vous devez vérifier les vulnérabilités de vos mains et voir vous-même les failles du code - comprendre et ouvrir les faiblesses de votre protection et de votre accès s'accompagne de pratique.
Nous avons un terrain d'entraînement pour vous!
Pour éviter que les contrôles de sécurité ne deviennent très coûteux, lors de DevOps Live 2020, le comité de programme a préparé un bloc spécial de présentations et de master classes sur la sécurité de l'information. À eux, des experts raconteront et discuteront comment développer une culture de la sécurité informatique et la considéreront sous trois angles: du côté de l'entreprise, de l'infrastructure et du service (développeurs, testeurs, personnel de sécurité). Là, vous pouvez également le vérifier avec vos mains.
Il n'y a pas de différence fondamentale entre les processus ISOC et la surveillance de l'infrastructure, les opérations de sécurité informatique et de l'information, les tests informatiques et les tests de sécurité de l'information, et nous le montrerons. Il y aura beaucoup de pratique et d'outils de travail, les experts répondront aux questions, y compris pourquoi «les gardes de sécurité sont venus, ils veulent quelque chose d'étrange». Lors des master classes et des sessions d'assurance qualité, les participants apprendront comment intégrer la sécurité à un nouveau niveau et sans douleur dans les processus déjà en cours d'exécution, quelles erreurs courantes sont commises pendant le fonctionnement et comment les pirates vont «casser» le système. Et puis que faire à ce sujet.
Le sujet DevSecOps est assez jeune pour DevOpsConf, nous avons donc prévu des activités de sécurité de l'information aussi accessibles que possible pour les étudiants non formés qui ne sont pas profondément plongés dans la cybersécurité. Les présentations pratiques des meilleurs experts de l'industrie qui interviennent dans des conférences sur la sécurité depuis plusieurs années seront pour tout le monde: aussi bien pour ceux qui ne pensent qu'à la sécurité que pour ceux qui ont déjà commencé à faire leurs premiers pas dans cette direction.
Rapport d'introductionde Lev Paley mettra en évidence une question importante - la cybersécurité est-elle un frein ou un moteur de changements dans la mise en œuvre des projets. Lev vous expliquera comment intégrer la sécurité dans de nouveaux projets de manière relativement simple et partagera son expérience dans la compréhension des besoins de sécurité informatique de votre entreprise. Le rapport sera utile aux personnes qui interagissent d'une manière ou d'une autre avec les unités commerciales et aidera à trouver un équilibre raisonnable entre la vitesse et la sécurité des nouveaux services et technologies.
Le programme comprendra également un atelier puissant - une classe de maître "Cyber Polygon" de Luka Safonov, où les participants tenteront de pirater le terrain d'entraînement, et Luka montrera clairement comment reconnaître certains types d'attaques du point de vue de l'infrastructure, quels systèmes peuvent être utilisés, comment suivre la chaîne d'attaques et ce qui peut être fait.
Lors de la démonstration des attaques, Luca commentera et expliquera comment détecter les infiltrations, comment interférer avec le trafic réseau et l'augmentation des privilèges, et comment empêcher le contrôle de l'infrastructure et des données hors du périmètre.
Dans les 2 heures, il sera montré comment rechercher les vulnérabilités d'une certaine classe, et ce qui est visible à ce moment dans les journaux des systèmes de surveillance réseau, quels événements y sont enregistrés et ce que vous devez regarder. À chaque étape, Luka expliquera quels étaient les problèmes de configuration, comment les résoudre, comment réagir rapidement pour bloquer l'accès et quoi vérifier pour comprendre les méthodes des attaquants.
Et pour ceux qui veulent approfondir les méthodes et les outils pour mener des attaques, Roman Romanov, PDG de PentestIT fera un rapport "Nous allons le tester, n'hésitez pas"... Dans son discours, Roman mettra en évidence les outils utilisés par les attaquants, les méthodes de sécurisation et de contournement des défenses populaires, ainsi que les erreurs les plus courantes commises par les administrateurs système et les développeurs lors de l'exploitation des systèmes.
Comme vous pouvez le voir, il y aura peu de théorie (bien qu'il y aura une «vue hélicoptère» sur les principes généraux d'approche des tâches de sécurité), et les master classes, ateliers, rencontres, tables rondes ou rapports de blitz sont une grande partie de la conférence. Les activités de l'IB seront réparties uniformément tout au long de la conférence. Voir, choisir, participer: programme , billets , ambiance .