Докладчик Александр Бутенко - очень крутой специалист по WAF, регистрируемся!

#talks

DevSecOps Wine Chat

А еще я создал чат, где можно обсуждать посты из канала и все, что относится к DevSecOps с приятным комьюнити. Кроме того, я кидаю туда материал, который не попадает в основной поток. Добро пожаловать!

https://yangx.top/sec_devops_chat

#talks

Container Security: эволюция атак в 2020 году

6 ноября с 10:00 по МСК пройдет конференция DevOpsFest 2020, где будет два доклада по Security. Первый - мой. На нем я расскажу про безопасность контейнеров:
- Как злоумышленник может атаковать небезопасно настроенный кластер
- Какие появились CVE в 2020 году для k8s
- Как злоумышленник может закрепиться в инфраструктуре
- В чем связь между небезопасной версией ядра Linux и безопасностью облака
- Мои мысли о существующих механизмах и инструментах защиты
- Что из себя представляет enterprise решения по безопасности контейнеров, зачем его покупать и на что обращать внимание

Второй доклад "DevSecOps: Фаззинг исходного кода" от коллег из Digital Security. Не так давно они выпустили статью с таким же названием на Habr.

Прослушивание бесплатное. Материалы и записи платные.

P.S. А еще там есть крутая виртуальная площадка, где можно общаться. Я буду там, подходите знакомиться :)

#ops #k8s #docker #ops #talks

Pentest in Docker, Secure Gitlab pipeline and Archdays 2020

Пришло время следующего анонса. 20 ноября мы с Пашей Канн (@shad0wrunner) выступаем на Archdays 2020, где покажем сценарий атаки на приложение в Docker. Специально для конференции мы подготовили репо Pentest-In-Docker, где вы можете самостоятельно шаг за шагом (которые детально описаны в readme) повторить эксплуатацию уязвимости. Есть вариант на русском.

Сценарий предполагает следующие шаги:
- Эксплуатация RCE в Bash (Shellshock)
- Повышение привилегий до root в контейнере через pip
- Создание своей ubuntu с ssh через docker.sock
- Смена контейнера и создание рута на хосте
- Побег из контейнера
- Развертывание Weave Scope для захвата инфры

Для реализации достаточно иметь виртуалку с docker на базе linux.

Образ также может быть использован для пилотирования коммерческих и не очень решений по Container Security, чтобы посмотреть, как они обнаруживают вредоносные действия. Паша, в свою очередь, покажет на воркшопе, как развернуть Gitlab с встроенными проверками Hadolint, Trivy и Dockle. Репо с пайплайном также есть уже на Github.

Вот, кстати, промо-код на скидку -50% для регистрации: DevSecOpsWine

https://archdays.ru/speakers/#track-bezopasnost-v-raspredelennyh-sistemah

#ops #docker #talks #attack

AppSec & DevSecOps Jobs

Спрос на AppSec специалистов растет, а следом растет и спрос на тех, кто понимает и умеет в DevSecOps. По этой причине экспериментально запустил канал @appsec_job, где будут публиковаться вакансии по AppSec и DevSecOps. Главное условие - наличие зарплатной вилки. Есть также не RU сегмент. По всем размещениям писать ГлавРеду этого канала @nsemkina.

#talks #dev #ops

Security: KubeCon + CloudNativeCon North America 2020 - Virtual

Все сильнее ощущается конец года - интересных анонсов и ресерчей все меньше, поэтому предлагаю взглянуть на доклады последнего Kubecon по части безопасности.

- Using Open Policy Agent to Meet Evolving Policy Requirements - доклад о том, что такое OPA, как работает и какие правила вообще можно написать

- DevOps All the Things: Creating a Pipeline to Validate Your OPA Policies - доклад про выстраивание модульного и интеграционного тестирования политик OPA

- Customizing OPA for a "Perfect Fit" Authorization Sidecar - о том, как можно использовать API Golang OPA для собственных нужд и кастомизации

- Также Aqua Security еще раз рассказала свой доклад Handling Container Vulnerabilities with Open Policy Agent о том, как можно интегрировать Trivy и OPA вместе в виде операторов k8s.

К сожалению, выложили далеко не все доклады. В частности, нет доклада Secure Policy Distribution With OPA. Автор этого доклада также известен своим другим крутым докладом Open Policy Agent Deep Dive.

- Кроме OPA затрагивали также тему mTLS и потенциальных подводных камней - PKI the Wrong Way: Simple TLS Mistakes and Surprising Consequences

- Не забыли и про Falco. Интересно, что на Kubecon был доклад про масштабирование Falco на 100к контейнеров (Security Kill Chain Stages in a 100k+ Daily Container Environment with Falco) и обход правил Falco инженером из Sysdig 🤷‍♂️ (Bypass Falco)

Программа конференции
Другие доклады

#dev #ops #k8s #talks #opa

Безопасная разработка приложений, DevSecOps, Anti-malware

В один из чатов вбросили анонс онлайн-конференции по DevSecOps от Anti-Malware. Когда-то, помню, писал для них статью по сравнению решений Container Security.

Вообще, это логично, что тема дошла и до безопасности разработки в силу роста ее популярности. Я положительно отношусь к подобному продакшену - с качественной съемкой и разными приглашенными гостями. Местами у меня возникают вопросы к поднимаемым темам и причастности гостей к ним, но в этот раз, кажется, должно быть интересно. Другую их онлайн-конференцию по облачной безопасности, например, можно посмотреть здесь.

Затрагиваемые вопросы на конференции по DevSecOps (помимо основ):
- Каковы требования к персоналу и каких специалистов придется нанять?
- Каковы метрики эффективности внедрения DevSecOps?
- С чего начать процесс внедрения DevSecOps?
- Какими средствами проводить фаззинг-тестирование?
- Когда лучше использовать статический (SAST) или динамический анализы (DAST)?
- Какова российская специфика рынка DevSecOps?

Из интересных гостей PT и BI.Zone.

https://live.anti-malware.ru/devsecops

#talks

Всем привет!

Была немного тяжелая неделя, накопилось много идей, о чем написать, но это потом.

Сейчас мы тестируем Clubhouse и знакомимся с комьюнити DevSecOps

Присоединяйтесь. Будем говорить про метрики, азы, что надо знать при трудоустройстве и любые предложенные темы.

https://www.joinclubhouse.com/room/xn76O70a

#talks

Анонсы в мире безопасности разработки.

Последний год наполнен всевозможными онлайн и оффлайн мероприятиями на тему безопасности разработки / DevSecOps / SSDLC и безопасности контейнеров. По факту чаще всего ивент уходит в пресейл и поверхностную теорию. Однако сегодня мы взглянем на предстоящие мероприятия от проверенных организаторов.

- ZeroNight 2021, 30 июня, Севкабель Порт, Санкт-Петербург, Международная конференция по информационной безопасности. До 15 мая еще открыт CFP по докладам безопасности разработки. Программный комитет как всегда лучший.

- Positive Hack Days, 20-21 мая,
Центр Международной Торговли, Москва, Международная конференция по информационной безопасности. Еще можно зарегистрироваться на трек по безопасности разработки. С докладами уже можно познакомиться по ссылке.

- DevSecOps. Динамический анализ приложений. 25 мая, 15:00-17:00. Вебинар. Неоднократно упоминал на канале автора вебинара и своего наставника Юрия. Тема IAST,DAST,BAST мобилок и веба.

#events #talks

Как топ-менеджеру относиться к ИБ-рискам, кроме подхода "либо случится, либо нет"?

На выходных наткнулся в FB на статью 2020 года от VP InfoWatch, которая затрагивает тему, как относится современный бизнес к информационной безопасности и по какому пути в безопасности развиваться не надо.

Основная идея состоит в том, что безопасность является ничем иным как очередным сервисом, а все риски, которыми безопасники привыкли пугать, вероятностны, при этом расходы абсолютны. Соответственно, убедить бизнес не принимать риски становится непростой задачей, однако гораздо чаще специалисты ИБ уходят в "технические игрушки", не вникая в суть и цели бизнеса, а также критерии его успешности.

Завершает статью правильная цитата, которую стоит записать всем, кто склонен топить ИТ жесткими требованиями ИБ:

"Переломить эту тенденцию может только инфобезопасник 2.0, который хорошо понимает объект защиты и принципы его функционирования, а не только методы и приёмы безопасности."

Очень рекомендую, если вы работаете на этой неделе и еще не успели морально выйти из выходных.

Обсудить можно в нашем чате: @sec_devops_chat

#talks