"Information Security
Management through
Reflexive Security" by CSA

Документ определяет понятие рефлексивной безопасности (Reflexive Security) как новый подход к управлению ИБ, основанный на принципах Agile и DevOps. Reflexive Security подчеркивает безопасность между организационными ролями, которая реагирует на внешние и внутренние угрозы гибким и динамичным способом. Reflexive Security призван стать новой стратегией управления информационной безопасностью, которая является динамичной, интерактивной, эффективной и целостной по сравнению с традиционными (СУИБ)

#law #report #dev #ops

CIFuzz

Еще немного о фаззинге.
CIFuzz - новый инструмент, который позволяет встроить OSS-Fuzz в CI для проектов размещенных на GitHub. По умолчанию время фаззинга равно 10 минутам.

Пример:
https://github.com/curl/curl/runs/477810777?check_suite_focus=true

#tools #fuzzing #dast #dev

SAMM v2

Не так давно вышла новая версия модели оценки зрелости безопасности ПО от OWASP - SAMM (Software Assurance Maturity Model). До этого я писал, что этой моделью пользуется большое количество зрелых компаний, в том числе Тинькофф, но что означает выход новой версии?

Что входит в SAMM v2:
1) Важные изменение в самой модели SAMM: появились новые этапы Implementation, Operations с упором на современные практики безопасного DevOps. Construction стал этапом Design.
2) Небольшой quick-start guide для того, чтобы поверхностно познакомиться с фреймворком
3) OWASP SAMM Toolbox. Это эксель-файл, который позволяет выполнить самооценку компании. Выполнив самооценку, можно будет перейти к установке целей для улучшения (согласно фрейморвку) и приступить к отслеживанию дорожной карты. Версия тулбокса есть еще в онлайн.
4) Новая система SAMM Benchmark для сравнения вашей зрелости со схожими организациями.

Модель OWASP SAMM онлайн
Модель OWASP SAMM PDF
Все что нужно знать про SAMM v2 - видео

#bestpractice #checklist #dev #ops

Personal Security Checklist

Тут @oleg_log поделился чек-листом по обеспечению безопасности себя и своих данных - почта, персональный компьютер, смартфон, умный дом, работа в сети и т.д.

Оффтоп какой он должен быть...

https://github.com/Lissy93/personal-security-checklist

#checklist

Kubernetes Security Mindmap

#k8s #tools #ops

"Kubernetes Security" by Liz Rise, Michael Hausenblas

В книге разбираются концепции безопасности k8s, включая глубокую защиту, минимальные привилегии и ограничение поверхности атаки. Обзор того, как защитить кластер, как Kubernetes использует аутентификацию и авторизацию. Книга научит, как защищать образы контейнеров от известных уязвимостей и злоупотреблений со стороны третьих лиц, применять политики на уровне времени выполнения контейнеров, а также на уровне сети, даст краткое изложение того, как обрабатывать конфиденциальную информацию.

В дополнение от себя вот классный ресурс для тех кто хочет побольше узнать о безопасности k8s:
https://kubernetes-security.info/

#literature #k8s #ops

Как автоматизировать безопасность контейнеров в стиле Policy as Code с помощью CRD

Внедрение Kubernetes custom resource definitions (CRDs) позволит решить вопросы с определением политик безопасности как кода на первоначальном этапе сборки и выкатки приложений, автоматизировать их применение при выкатке приложений в продакшен-среду.

CRD можно использовать для внедрения глобальных политик безопасности, которые определяют поведение приложений и настраивают безопасность нескольких используемых кластеров Kubernetes

https://habr.com/ru/company/mailru/blog/490796/

#k8s #article #ops

Security along the Container-based SDLC

Большая подборка из 71 open-source инструментов, встраиваемых в Container-based SDLC: SAST, DAST, WAF, IAM, всевозможные сканнеры кофигураций, PKI (даже sandboxing есть). Заслуживает того, чтобы сохранить себе.

https://holisticsecurity.io/2020/02/10/security-along-the-container-based-sdlc

#tools #ops #dev

BSIMM

Building Security In Maturity Model (BSIMM) - модель оценки безопасности жизненного цикла ПО, результат сбора лучших практик за несколько лет от более чем 100 различных организаций. Основная цель - количественная оценка действий, осуществляемых реальными инициативами в области безопасности программного обеспечения, чтобы помочь более широкому сообществу разработчиков программного обеспечения безопасности планировать, осуществлять и оценивать собственные инициативы.

Модель включает 119 видов деятельности, сгруппированных в четыре области: Управление (Governance) , Сведения (Intelligence), Точки взаимодействия SSDL (SSDL Touchpoints) и Развертывание (Deployment). Каждая область разделена на 3 уровня в зависимости от степени зрелости организации.

В силу того, что на текущий момент BSIMM не переведен на русский, но представляет большую ценность для грамотного выстраивания процессов, я решил взяться за перевод фреймворка. Об этом в следующем посте.

#bsimm #bestpractice #checklist #dev #ops

Стратегия и метрики (BSIMM - Governane, Strategy & Metrics)

Первый блок в Governance посвящен практике «Стратегия и метрики» и включает планирование, распределение ролей и обязанностей, определение целей безопасности программного обеспечения, определение бюджетов, а также определение метрик и гейтов.

Выложил перевод первого блока на Github. У меня не стояла цель сделать максимально дословный перевод. Первостепенно я хотел предоставить возможность быстро ориентировоться во фреймворке, чтобы, в случае чего, оперативно найти нужный тезис в оригинале. По этой причине в репозитории вы можете найти майнд-карту Xmind для удобства использования, и по этой же причине вы не найдете некоторых предложений, которые есть в первоисточнике.

https://github.com/dvyakimov/BSIMM_ru

#bsimm #dev #ops

Command and KubeCTL: Real-World Kubernetes Security for Pentesters - Mark Manning (Shmoocon 2020)

Тактика, методы и инструменты для анализа и взлома кластеров Kubernetes, перехват трафика service mesh, обход фильтров системных вызовов во время выполнения, цепные атаки, которые идут от компрометации среды сборки до взлома продуктивных приложений. Здесь же практические советы и рекомендации от NCC Group.

https://youtu.be/cRbHILH4f0A

#k8s #video #ops #attack

HashiTalks 2020

Shifting Terraform Configuration Security Left - про безопасную конфигурацию, проблемы статического анализа Terraform, инструменты с открытым исходным кодом, которые могут помочь в тестировании

Vault Response Wrapping Makes The "Secret Zero" Challenge A Piece Of Cake - что такое "Secret Zero" в разрезе Vault, о методе Vault AppRole и как настроить и использовать функцию переноса wrapped-токенов

Moving Security and Sanity Left by Testing Terraform with InSpec - как проверить корректность деплоя с помощью InSpec, как не испортить нервишки и добавить тесты в уже существующую инфраструктуру

Securing AWS Accounts With HashiCorp Vault - как создавать разрешения с помощью AWS и использовать HashiCorp Vault вместе с динамическими секретами для генерации доступа и секретных ключей

Using an Image Release Process for Security Wins - создание защищенных образов машин Amazon с помощью HashiCorp Packer.

Полная программа следующим постом (лучше поздно, чем никогда)

#talks #aws #vault #ops

Выложены доклады с HashiTalks 2020
https://www.youtube.com/playlist?list=PL81sUbsFNc5bf0uoD1DwDh8O5K6DZurhT

Программа тут
https://events.hashicorp.com/hashitalks2020

⁠S3 и защита от копирования (обнаружение утечки данных)

Когда в приватном бакете находятся важные данные и вам нужно максимально быстро узнать, если кто-то вдруг получил к ним доступ - такая задача решается с помощью CloudTrail + Events (CloudWatch Events или EventsBridge):

https://darkbit.io/blog/2020/02/18/simple-dlp-for-amazon-s3

Включаем CloudTrail, создаём SNS топик, запускаем в него эвенты на CopyObject с помощью EventsBridge, и прикручиваем лямбду, чтобы слала алерты сразу в Slack.

Предотвратить копирование так не получится, однако смысл в том, что мы можем контролировать и если кто-то поломает какую-то часть нашей системы, попытавшись скопировать в легальное место (например, какой-то "нормальный", но поломанный аккаунт организации) - мы об этом сможем узнать и принять какие-то действия.

p.s. DLP = Data Loss Prevention

#security #s3 #EventsBridge #DLP

Epic list of AWS security tools

Не так давно я выкладывал пост с большой подборкой бесплатных инструментов, встраиваемых в Сontainer-based SDLC. Так вот я нашел еще более мощную подборку. На этот раз это список инструментов по AWS Security: hardening, assessment, inventory, audit, forensics, incident responce.

https://github.com/toniblyx/my-arsenal-of-aws-security-tools

#tools #aws #ops #attack

GitOps Security with k8s-security-configwatch

k8s-security-configwatch - это Github Action, который позволяет контролировать изменения в конфигурационный файлах Kubernetes и выделять то, что может нанести вред безопасности кластера.

Список атрибутов, отслеживаемых утилитой:
- privileged
- HostPID
- HostIPC
- HostNetwork
- capabilities
- ReadOnlyRootFileSystem
- RunAsUser (root/non-root)
- RunAsGroup (root/non-root)
- volume types

Для каждого атрибута K8s-security-configwatch выдает, было ли изменение и появился ли пробел в безопасности.

Статья от Sysdig про то, что такое GitOps, GitHub Actions и примеры работы k8s-security-configwatch:
https://sysdig.com/blog/gitops-k8s-security-configwatch/

#tools #k8s #ops

⁠AWS Security Monitoring, Logging, and Alerting

Если нужно серьёзно разобраться с безопасностью всей вашей разнообразной AWS инфраструктуры, то есть немало Security & Compliance сервисов:

GuardDuty
Inspector
Amazon Macie
Security Hub
Detective

А также тех, что работают с логами, конфигурациями, событиями:

CloudWatch
CloudTrail
Config

Возникает справедливый вопрос — как разобраться в этом зоопарке сервисов, какие связки, для чего и какие использовать?

Очень рекомендую начать разбираться в теме AWS security с этой статьи:

https://disruptops.com/what-you-need-to-know-about-aws-security-monitoring-logging-and-alerting/

Расписаны различные пути получения security данных, разбитых по типу на slow path и fast path мониторинг и почему это важно. Также все сервисы и источники данных разбиты по полезности с рекомендациями по применению для прод-непрод окружений.

В общем, детальная и глубокая статья, без воды от известного профи в безопасности.

p.s. Замечу, что статья лета прошлого года и в ней ещё нет свежедобавленного сервиса по безопасности Amazon Detective (что не меняет сути).

#security

Securing Vault with HSM on Kubernetes

https://banzaicloud.com/blog/vault-hsm/

#kubernetes #k8s #vault

Cloud WAF Comparison Using Real-World Attacks

https://medium.com/fraktal/cloud-waf-comparison-using-real-world-attacks-acb21d37805e

#waf #aws #azure #ops

Как на Elastic Beanstalk задать самые строгие правила по шифрованию TLS:

https://aws.amazon.com/blogs/security/how-to-control-tls-ciphers-in-your-aws-elastic-beanstalk-application-by-using-aws-cloudformation/

SSL security policy для ELB:

https://docs.aws.amazon.com/elasticloadbalancing/latest/classic/elb-security-policy-table.html

- Namespace:  aws:elb:policies:TLSHighPolicy
  OptionName: SSLReferencePolicy
  Value:      ELBSecurityPolicy-TLS-1-2-2017-01

SSL security policy для ALB:

https://docs.aws.amazon.com/elasticloadbalancing/latest/application/create-https-listener.html

- Namespace:  aws:elbv2:listener:443
  OptionName: SSLPolicy
  Value:      ELBSecurityPolicy-FS-1-2-Res-2019-08

#Beanstalk #CloudFormation #security

CyberRange

CyberRange - большая open-source лаборатория, позволяющая начинающим и опытным специалистам погрузиться в безопсность разработки. Для инсталяции необходимо заполнить форму, указав номер аккаунта AWS, после чего для вас станут доступны инстансы, включающие ряд уязвимых приложений, среду для атаки и аудита защищенности. Инициализация проекта осуществляется через Terraform.

Видео:
https://youtu.be/Ed1ujM3xWNg

#practice #ops #attack