BSIMM

Building Security In Maturity Model (BSIMM) - модель оценки безопасности жизненного цикла ПО, результат сбора лучших практик за несколько лет от более чем 100 различных организаций. Основная цель - количественная оценка действий, осуществляемых реальными инициативами в области безопасности программного обеспечения, чтобы помочь более широкому сообществу разработчиков программного обеспечения безопасности планировать, осуществлять и оценивать собственные инициативы.

Модель включает 119 видов деятельности, сгруппированных в четыре области: Управление (Governance) , Сведения (Intelligence), Точки взаимодействия SSDL (SSDL Touchpoints) и Развертывание (Deployment). Каждая область разделена на 3 уровня в зависимости от степени зрелости организации.

В силу того, что на текущий момент BSIMM не переведен на русский, но представляет большую ценность для грамотного выстраивания процессов, я решил взяться за перевод фреймворка. Об этом в следующем посте.

#bsimm #bestpractice #checklist #dev #ops

Стратегия и метрики (BSIMM - Governane, Strategy & Metrics)

Первый блок в Governance посвящен практике «Стратегия и метрики» и включает планирование, распределение ролей и обязанностей, определение целей безопасности программного обеспечения, определение бюджетов, а также определение метрик и гейтов.

Выложил перевод первого блока на Github. У меня не стояла цель сделать максимально дословный перевод. Первостепенно я хотел предоставить возможность быстро ориентировоться во фреймворке, чтобы, в случае чего, оперативно найти нужный тезис в оригинале. По этой причине в репозитории вы можете найти майнд-карту Xmind для удобства использования, и по этой же причине вы не найдете некоторых предложений, которые есть в первоисточнике.

https://github.com/dvyakimov/BSIMM_ru

#bsimm #dev #ops

Command and KubeCTL: Real-World Kubernetes Security for Pentesters - Mark Manning (Shmoocon 2020)

Тактика, методы и инструменты для анализа и взлома кластеров Kubernetes, перехват трафика service mesh, обход фильтров системных вызовов во время выполнения, цепные атаки, которые идут от компрометации среды сборки до взлома продуктивных приложений. Здесь же практические советы и рекомендации от NCC Group.

https://youtu.be/cRbHILH4f0A

#k8s #video #ops #attack

HashiTalks 2020

Shifting Terraform Configuration Security Left - про безопасную конфигурацию, проблемы статического анализа Terraform, инструменты с открытым исходным кодом, которые могут помочь в тестировании

Vault Response Wrapping Makes The "Secret Zero" Challenge A Piece Of Cake - что такое "Secret Zero" в разрезе Vault, о методе Vault AppRole и как настроить и использовать функцию переноса wrapped-токенов

Moving Security and Sanity Left by Testing Terraform with InSpec - как проверить корректность деплоя с помощью InSpec, как не испортить нервишки и добавить тесты в уже существующую инфраструктуру

Securing AWS Accounts With HashiCorp Vault - как создавать разрешения с помощью AWS и использовать HashiCorp Vault вместе с динамическими секретами для генерации доступа и секретных ключей

Using an Image Release Process for Security Wins - создание защищенных образов машин Amazon с помощью HashiCorp Packer.

Полная программа следующим постом (лучше поздно, чем никогда)

#talks #aws #vault #ops

Выложены доклады с HashiTalks 2020
https://www.youtube.com/playlist?list=PL81sUbsFNc5bf0uoD1DwDh8O5K6DZurhT

Программа тут
https://events.hashicorp.com/hashitalks2020

⁠S3 и защита от копирования (обнаружение утечки данных)

Когда в приватном бакете находятся важные данные и вам нужно максимально быстро узнать, если кто-то вдруг получил к ним доступ - такая задача решается с помощью CloudTrail + Events (CloudWatch Events или EventsBridge):

https://darkbit.io/blog/2020/02/18/simple-dlp-for-amazon-s3

Включаем CloudTrail, создаём SNS топик, запускаем в него эвенты на CopyObject с помощью EventsBridge, и прикручиваем лямбду, чтобы слала алерты сразу в Slack.

Предотвратить копирование так не получится, однако смысл в том, что мы можем контролировать и если кто-то поломает какую-то часть нашей системы, попытавшись скопировать в легальное место (например, какой-то "нормальный", но поломанный аккаунт организации) - мы об этом сможем узнать и принять какие-то действия.

p.s. DLP = Data Loss Prevention

#security #s3 #EventsBridge #DLP

Epic list of AWS security tools

Не так давно я выкладывал пост с большой подборкой бесплатных инструментов, встраиваемых в Сontainer-based SDLC. Так вот я нашел еще более мощную подборку. На этот раз это список инструментов по AWS Security: hardening, assessment, inventory, audit, forensics, incident responce.

https://github.com/toniblyx/my-arsenal-of-aws-security-tools

#tools #aws #ops #attack

GitOps Security with k8s-security-configwatch

k8s-security-configwatch - это Github Action, который позволяет контролировать изменения в конфигурационный файлах Kubernetes и выделять то, что может нанести вред безопасности кластера.

Список атрибутов, отслеживаемых утилитой:
- privileged
- HostPID
- HostIPC
- HostNetwork
- capabilities
- ReadOnlyRootFileSystem
- RunAsUser (root/non-root)
- RunAsGroup (root/non-root)
- volume types

Для каждого атрибута K8s-security-configwatch выдает, было ли изменение и появился ли пробел в безопасности.

Статья от Sysdig про то, что такое GitOps, GitHub Actions и примеры работы k8s-security-configwatch:
https://sysdig.com/blog/gitops-k8s-security-configwatch/

#tools #k8s #ops

⁠AWS Security Monitoring, Logging, and Alerting

Если нужно серьёзно разобраться с безопасностью всей вашей разнообразной AWS инфраструктуры, то есть немало Security & Compliance сервисов:

GuardDuty
Inspector
Amazon Macie
Security Hub
Detective

А также тех, что работают с логами, конфигурациями, событиями:

CloudWatch
CloudTrail
Config

Возникает справедливый вопрос — как разобраться в этом зоопарке сервисов, какие связки, для чего и какие использовать?

Очень рекомендую начать разбираться в теме AWS security с этой статьи:

https://disruptops.com/what-you-need-to-know-about-aws-security-monitoring-logging-and-alerting/

Расписаны различные пути получения security данных, разбитых по типу на slow path и fast path мониторинг и почему это важно. Также все сервисы и источники данных разбиты по полезности с рекомендациями по применению для прод-непрод окружений.

В общем, детальная и глубокая статья, без воды от известного профи в безопасности.

p.s. Замечу, что статья лета прошлого года и в ней ещё нет свежедобавленного сервиса по безопасности Amazon Detective (что не меняет сути).

#security

Securing Vault with HSM on Kubernetes

https://banzaicloud.com/blog/vault-hsm/

#kubernetes #k8s #vault

Cloud WAF Comparison Using Real-World Attacks

https://medium.com/fraktal/cloud-waf-comparison-using-real-world-attacks-acb21d37805e

#waf #aws #azure #ops

Как на Elastic Beanstalk задать самые строгие правила по шифрованию TLS:

https://aws.amazon.com/blogs/security/how-to-control-tls-ciphers-in-your-aws-elastic-beanstalk-application-by-using-aws-cloudformation/

SSL security policy для ELB:

https://docs.aws.amazon.com/elasticloadbalancing/latest/classic/elb-security-policy-table.html

- Namespace:  aws:elb:policies:TLSHighPolicy
  OptionName: SSLReferencePolicy
  Value:      ELBSecurityPolicy-TLS-1-2-2017-01

SSL security policy для ALB:

https://docs.aws.amazon.com/elasticloadbalancing/latest/application/create-https-listener.html

- Namespace:  aws:elbv2:listener:443
  OptionName: SSLPolicy
  Value:      ELBSecurityPolicy-FS-1-2-Res-2019-08

#Beanstalk #CloudFormation #security

CyberRange

CyberRange - большая open-source лаборатория, позволяющая начинающим и опытным специалистам погрузиться в безопсность разработки. Для инсталяции необходимо заполнить форму, указав номер аккаунта AWS, после чего для вас станут доступны инстансы, включающие ряд уязвимых приложений, среду для атаки и аудита защищенности. Инициализация проекта осуществляется через Terraform.

Видео:
https://youtu.be/Ed1ujM3xWNg

#practice #ops #attack

Выложены доклады с BSidesSF 2020 (San Francisco)

BSides это множество глобальных некоммерческих конференций по безопасности
http://www.securitybsides.com/w/browse/#view=ViewAllObjects

Так как конференции делаются "камунити для камунити", то и тематика, и уровень сильно варьируются, но это позволяет многим найти то, что интересно.

Я для себя отметил

Fantastic AWS Attacks and Where to Find Them
https://www.youtube.com/watch?v=IOyV8ww-lKM

How to Kill an AWS Access Key
https://www.youtube.com/watch?v=aZ7fsHaKASw

k-rail: A Tool to Manage K8s Securely at Speed
https://www.youtube.com/watch?v=WqZhbx0_zOc

Real Time Vulnerability Alerting
https://www.youtube.com/watch?v=cQMnUH1oBDA

Все доклады доступны тут
https://www.youtube.com/playlist?list=PLbZzXF2qC3RvlcHIxrqrsN1XhwHX8SQ-g

Программа
https://bsidessf.org/schedule.html

Обеспечение соответствия и ведение политик (BSIMM - Governance, Compliance & Policy)

Подготовил вторую часть перевода из блока Управления (Governance) фреймворка BSIMM. На этот раз лучшие практики обеспечения соотвтетствия, будь это PCI DSS, HIPPA, либо внутренние требования заказчика - о том, что из себя представляет политика безопасности, об уровне обслуживания (SLA) подрядчиков и важности постоянного изменения политики на основе фидбека из SDLC.

Друзья, пишите мне в личку, насколько вам интересно и полезно читать такой перевод, стоит ли идти по переводу последовательно, либо отбирать самое интересное (например то, что касается анализа архитектуры, code review, тестирования).

https://github.com/dvyakimov/BSIMM_ru

#bsimm #compliance #dev #ops

Политики безопасности AppSec и отслеживание метрик.

В продолжении к переводу о ведении политики безопасности приложений. Стивен Гейтс из Checkmarx пишет о том, что должна включать политика безопасности.

https://securityboulevard.com/2020/03/discussing-appsec-policies-within-devsecops/

В частности он упоминает важность формализации того, как необходимо управлять и отслеживать показатели эффективности (KPI). Частью KPI является знание того, какие области нуждаются в улучшении, а какие нет. Это позволяет организациям определить, соблюдается ли политика AppSec.

Вспомнил доклад Юрия Шабалина и Антона Башарина с OFFZONE 2018 про безопасность как код. Там, в частности, они довольно наглядно рассказывают про метрики безопасности, о том какие инструменты могут помочь команде разработке и как их эффективно использовать.

https://youtu.be/wfHJyqhTW1o

#bestpractice #ops

An Integrated Approach to Embedding Security into DevOps

А еще Стивен Гейтс поделился неплохим маркетинговым материалом от Checkmarx по безопасной разработке с точки зрения best practice и того, что они умеют - AST.

#bestpractice #dev

Application Security Engineer - вопросы на собеседовании

Не так давно в одном из тематических чатов поднимали вопрос того, что спрашивают при приеме на AppSec. Я изначально устраивался на инженера по сетевой безопасности, поэтому поделиться чисто своим опытом не смогу, но я нашел для вас две полезные для подготовки ссылки (полезные и для самооценки).

- Большая подборка вопросов по AppSec с ссылками для объяснения.
- Вопросы по Web AppSec от Synopsys

Я считаю, что, спрашивая алгоритм сжатия файлов, можно спугнуть действительно рукастого инженера, и гораздо эффективнее задавать верхнеуровневые вопросы (про SDLC например), давать домашние задания и более внимательно наблюдать за работой специалиста в течение всего испытательного срока. Как бы очевидно это не звучало - определить качество работы специалиста можно только в процессе его работы.

#start #dev #ops

MobSF

Mobile Security Framework (MobSF) - это мобильное приложение (Android / iOS / Windows) для проведения тестирования, анализа вредоносных программ и оценки безопасности, способное выполнять статический и динамический анализ. MobSF поддерживает двоичные файлы мобильных приложений (APK, IPA и APPX), исходный код и предоставляет REST API для интеграции с вашим CI / CD.

Недавно вышла неплохая статью про опыт анализа iOS с помощью MobSF:
https://www.netguru.com/codestories/ios-security-analysis-with-mobsf

#mobile #sast #dast #dev

Сегодня вышел Kubernetes 1.18.0

И сейчас мы кратенько пройдемся по изменениям, что касаются security и наиболее интересны на мой взгляд.

- Появление команды kubectl debug (стадия Alpha) - данная команда позволяет создать ephemeral containers, который запуститься в нужном Pod и позволит интерактивно разобраться с проблемой. Это позволит разработчикам не тянуть на продакшен Pod'ы всякие отладочные инструменты "на всякий случай", спокойно использовать distroless контейнер образы. В свою очередь это уменьшит шансы атакующему встретить на контейнерах кучу отладочных (потенциально полезных) ему инструментов для дальнейшей атаки. Но нужно учитывать что для этого данная команда делает 3 вещи: Создает ephemeral container, перезапускает Pod с измененной PodSpec, стартует его и аттачится к privileged container в host namespace. Так что нужно держать в голове, что если атакующий сможет выполнять команду debug, то он значительно расширит attack surface для побега из контейнера.

- `ServiceAccountIssuerDiscovery` (стадия Alpha) - позволяет сервисам вне кластера использовать KSA (Kubernetes service accounts) токены (JSON Web Tokens или JWT) в качестве общего метода аутентификации, не перегружая API сервер (и, конечно, не высовывая его наружу!). Для этого API сервер предоставляет механизм обнаружения OpenID Connect (OIDC), который содержит, помимо прочих данных, открытые ключи токена. Таким образом аутентификаторы OIDC могут использовать эти ключи для проверки токенов KSA на своей стороне.

- `CertificateSigningRequest API` (стадия Beta) - каждый Kubernetes кластер имеет root certificate authority (CA), который используется для защиты соединений между основными компонентами Kubernetes (обрабатывается с помощью Certificates API). Далее это начали использовать и другие компоненты системы и ПО. Теперь для использования этого API необходимы соответствующие разрешения и кто попало в системе не сможет это использовать (тем более представляться другим сервисом для данного запроса).

Talisman

Talisman - это инструмент для проверки изменений кода, которые должны быть вытеснены из локального репозитория Git на рабочей станции разработчика. Talisman проверяет исходящие изменения на наличие открытых секретов, таких как потенциальные ключи SSH, токены авторизации, закрытые ключи и т.д.

#tools #secret #dev