Раскрытие секретов на GitHub: что делать после утечки учетных данных и ключей API
На GitGuardian есть отдельная статья, что делать, если вы поняли, что ваши секреты утекли в Интернет.
Если коротко:
1) Отозвать секреты, либо учетные данные
2) Если есть секреты, которые нельзя отозвать (например, записи БД), либо учетные данные, про которые никто не может гарантировать, что они были отозваны должным образом (например, ключи SSH, которые можно использовать в разных местах), то просто напросто избавиться от улик
3) Проверка журналов
4) Внедрение инструментов и лучших практик
Руководством по практике работы с API
#bestpractice #secret #ops
На GitGuardian есть отдельная статья, что делать, если вы поняли, что ваши секреты утекли в Интернет.
Если коротко:
1) Отозвать секреты, либо учетные данные
2) Если есть секреты, которые нельзя отозвать (например, записи БД), либо учетные данные, про которые никто не может гарантировать, что они были отозваны должным образом (например, ключи SSH, которые можно использовать в разных местах), то просто напросто избавиться от улик
3) Проверка журналов
4) Внедрение инструментов и лучших практик
Руководством по практике работы с API
#bestpractice #secret #ops
GitGuardian Blog - Take Control of Your Secrets Security
How to Avoid Security Risks After Leaking Credentials and API Keys on GitHub
If you have discovered that you have just exposed a sensitive file or secrets to a public git repository, there are some very important steps to follow.
Bug Bounty - how to
Интересное чтиво на выходные для менеджеров ИБ и ресерчеров, чей заработок напрямую зависит от щедрости компаний, на чьих ресурсах они находят уязвимости.
Six years of the GitHub Security Bug Bounty program
Про Bug Bounty от GitHub. Из интересного:
- Их программа недавно превысила 1 млн. долларов, более половина средств выплачена только за последний год,
- На H1-702 в Вегасе в августе прошлого года они выплатили исследователям более 155 000 долларов за одну ночь,
- Про обход OAuth с использованием HEAD-запросов
How we run our bug bounty program at Segment
Показательным является то, что Clint Gibler, директор по исследованиям в NCC Group и один из самых мощных людей, которые несли вклад в DevSecOps, назвал статью одной из лучших по части How to в Bug Bounty.
#bestpractice #dev #ops #attack
Интересное чтиво на выходные для менеджеров ИБ и ресерчеров, чей заработок напрямую зависит от щедрости компаний, на чьих ресурсах они находят уязвимости.
Six years of the GitHub Security Bug Bounty program
Про Bug Bounty от GitHub. Из интересного:
- Их программа недавно превысила 1 млн. долларов, более половина средств выплачена только за последний год,
- На H1-702 в Вегасе в августе прошлого года они выплатили исследователям более 155 000 долларов за одну ночь,
- Про обход OAuth с использованием HEAD-запросов
How we run our bug bounty program at Segment
Показательным является то, что Clint Gibler, директор по исследованиям в NCC Group и один из самых мощных людей, которые несли вклад в DevSecOps, назвал статью одной из лучших по части How to в Bug Bounty.
#bestpractice #dev #ops #attack
The GitHub Blog
Six years of the GitHub Security Bug Bounty program
Learn more about the Bug Bounty program, including a recap of 2019’s bugs, our expanded scope, new features, and more.
Top 10 security items to improve in your AWS account
Про каждый пункт можно найти в блоге AWS:
https://aws.amazon.com/ru/blogs/security/top-10-security-items-to-improve-in-your-aws-account/
#aws #bestpractice #ops
Про каждый пункт можно найти в блоге AWS:
https://aws.amazon.com/ru/blogs/security/top-10-security-items-to-improve-in-your-aws-account/
#aws #bestpractice #ops
DoD_Enterprise_DevSecOps_Reference_Design_v1_0_Public_Release.pdf
2.5 MB
DoD Enterprise DevSecOps
Питер Рэнкс, заместитель ИТ-директора Министерства обороны по ИТ-предприятиям, сообщил, что DOD планирует представить сопроводительный документ к своему документу "DoD Enterprise DevSecOps
Reference Design," в котором будет изложено все - от концепций до инструментов, необходимых для выполнения современных практик разработки программного обеспечения.
С первой версией документа можете познакомиться во вложении.
#compliance #bestpractice #dev #ops
Питер Рэнкс, заместитель ИТ-директора Министерства обороны по ИТ-предприятиям, сообщил, что DOD планирует представить сопроводительный документ к своему документу "DoD Enterprise DevSecOps
Reference Design," в котором будет изложено все - от концепций до инструментов, необходимых для выполнения современных практик разработки программного обеспечения.
С первой версией документа можете познакомиться во вложении.
#compliance #bestpractice #dev #ops
What I Learned Watching All 44 AppSec Cali 2019 Talks
Clint Gibler, директор по исследованиям NCC Group, посмотрел абсолютно все видео с AppSec Cali 2019 и написал большой пост по самым интересным для него темам. Все это подкреплено ссылками на видео и слайды источников. Очень много материала по выстраиванию процессов, а также упоминание различных фреймворков, что заслуживает внимания.
https://tldrsec.com/blog/appsec-cali-2019/
#bestpractice #talks #dev #ops
Clint Gibler, директор по исследованиям NCC Group, посмотрел абсолютно все видео с AppSec Cali 2019 и написал большой пост по самым интересным для него темам. Все это подкреплено ссылками на видео и слайды источников. Очень много материала по выстраиванию процессов, а также упоминание различных фреймворков, что заслуживает внимания.
https://tldrsec.com/blog/appsec-cali-2019/
#bestpractice #talks #dev #ops
DevSecOps Reference Architecture.pdf
4.2 MB
DevSecOps Reference Architecture.
Безумно крутой подгон от Sonatype. Схематичное описание Secure CI/CD с указанием гейтов от идеи до AppStore.
#bestpractice #dev #ops
Безумно крутой подгон от Sonatype. Схематичное описание Secure CI/CD с указанием гейтов от идеи до AppStore.
#bestpractice #dev #ops
OWASP ASVS - Application Security Verification Standard
OWASP ASVS - открытый стандарт безопасности веб-приложений. Документ обеспечивает основу для проектирования, разработки и тестирования безопасности приложения, определяя требования для аутентификации, управления сессиями и доступом, защиты данных, коммуникации и так далее. Применимо ли требование или нет, зависит от уровня критичности приложения (всего их 3)
В фотографии прикрепил перечень open-source инструментов из книги Hands-On Security in DevOps, которые также могут помочь закрыть каждое из требований.
Последняя версия стандарта
#compliance #bestpractice #web #dev
OWASP ASVS - открытый стандарт безопасности веб-приложений. Документ обеспечивает основу для проектирования, разработки и тестирования безопасности приложения, определяя требования для аутентификации, управления сессиями и доступом, защиты данных, коммуникации и так далее. Применимо ли требование или нет, зависит от уровня критичности приложения (всего их 3)
В фотографии прикрепил перечень open-source инструментов из книги Hands-On Security in DevOps, которые также могут помочь закрыть каждое из требований.
Последняя версия стандарта
#compliance #bestpractice #web #dev
Metrics, KPIs, and Application Security
Вчера общался с Максимом Мошаровым (@httpnotonly), основателем компании WhiteSpots. Они занимаются аутсорсом безопасности приложений для зарубежных компаний. Основная цель разговора была обсудить лучшие практики, применяемые для организации процессов безопасной разработки.
Максим поделился довольно интересной статьей от HP -
"Magic Numbers . 5 Key Performance Indicators for Web Application Security"
Среди описываемых метрик довольно простой, но, кажется, что эффективной является WRT (Weighted Risk Trend).
#bestpractice #ops #dev
Вчера общался с Максимом Мошаровым (@httpnotonly), основателем компании WhiteSpots. Они занимаются аутсорсом безопасности приложений для зарубежных компаний. Основная цель разговора была обсудить лучшие практики, применяемые для организации процессов безопасной разработки.
Максим поделился довольно интересной статьей от HP -
"Magic Numbers . 5 Key Performance Indicators for Web Application Security"
Среди описываемых метрик довольно простой, но, кажется, что эффективной является WRT (Weighted Risk Trend).
WRT = [X(critical)*defects + X(high)*defects + X(medium)*defects + X(low)*defects]* Criticality(business)
Где critical/high/medium/low - метрики CVSS, а Criticality - коэффициент критичностти приложения для бизнеса. Метрики CVSS можно получить из результатов сканирования или дефект-трекера. Складывая WRT всех приложений и определяя ее граничное значение можно обозначить порог, при котором имеет смысл отправить алерт.#bestpractice #ops #dev
OAuth: Security
Краткий обзор OAuth 2.0 и то, как его можно неправильно реализовать с точки зрения безопасности. Обзор следующих типовых ошибок: слабая redirect_uri конфигурация, неправильная обработка параметра состояния, назначение УЗ на основе e-mail и раскрытие секретов (client_secret)
https://medium.com/a-bugz-life/the-wondeful-world-of-oauth-bug-bounty-edition-af3073b354c1
Обзор атаки Mix-Up Attack на OAuth. Это атака, при которой злоумышленник может убедить клиента отправить учетные данные (код или токен) на сервер злоумышленника. Статья также поможет докрутить принудительные запросы для обеспечения защиты.
https://danielfett.de/2020/05/04/mix-up-revisited/
Все, что нужно знать об OAuth с точки зрения ИБ:
https://maxfieldchen.com/posts/2020-05-17-penetration-testers-guide-oauth-2.html
#bestpractice #dev #attack
Краткий обзор OAuth 2.0 и то, как его можно неправильно реализовать с точки зрения безопасности. Обзор следующих типовых ошибок: слабая redirect_uri конфигурация, неправильная обработка параметра состояния, назначение УЗ на основе e-mail и раскрытие секретов (client_secret)
https://medium.com/a-bugz-life/the-wondeful-world-of-oauth-bug-bounty-edition-af3073b354c1
Обзор атаки Mix-Up Attack на OAuth. Это атака, при которой злоумышленник может убедить клиента отправить учетные данные (код или токен) на сервер злоумышленника. Статья также поможет докрутить принудительные запросы для обеспечения защиты.
https://danielfett.de/2020/05/04/mix-up-revisited/
Все, что нужно знать об OAuth с точки зрения ИБ:
https://maxfieldchen.com/posts/2020-05-17-penetration-testers-guide-oauth-2.html
#bestpractice #dev #attack
DevSecOps & Swordfish Security
Хочется поделиться несколькими новостями. Первая из них личная и состоит в том, что я стал частью очень крутого коллектива - команды Swordfish Security. Теперь я совместно с ними буду заниматься консалтингом процессов разработки защищенного ПО и внедрения DevSecOps. Это, в свою очередь, означает, что материал на канале будет глубже и проработаннее.
Вот несколько материалов от ребят из Swordfish Security на русском языке:
- Страх и ненависть DevSecOps / Юрий Шабалин
- DevSecOps: tips and tricks
- "AppSec как код" offzone 2018
- "Когда охотник становится жертвой" offzone2019
- AppSec, ключ на старт! / Юрий Сергеев
- DevSecOps или как встроить проверки информационной безопасности в микросервисы.
- Безопасность Docker
- Обзор утилит безопасности Docker
#bestpractice #tools #docker #talks #dev #ops
Хочется поделиться несколькими новостями. Первая из них личная и состоит в том, что я стал частью очень крутого коллектива - команды Swordfish Security. Теперь я совместно с ними буду заниматься консалтингом процессов разработки защищенного ПО и внедрения DevSecOps. Это, в свою очередь, означает, что материал на канале будет глубже и проработаннее.
Вот несколько материалов от ребят из Swordfish Security на русском языке:
- Страх и ненависть DevSecOps / Юрий Шабалин
- DevSecOps: tips and tricks
- "AppSec как код" offzone 2018
- "Когда охотник становится жертвой" offzone2019
- AppSec, ключ на старт! / Юрий Сергеев
- DevSecOps или как встроить проверки информационной безопасности в микросервисы.
- Безопасность Docker
- Обзор утилит безопасности Docker
#bestpractice #tools #docker #talks #dev #ops
Swordfish Security.
Swordfish Security
Помогаем компаниям выстраивать качественный и эффективный процесс безопасной разработки, позволяющий выявлять уязвимости, оперативно устранять проблемы и выпускать надежно защищенные продукты.
Awesome DevSecOps
Большие подборки ресурсов по DevSecOps и AppSec. Здесь можно найти инструменты, доклады, все существующие конференции по каждой теме, подкасты, гайдлайны, фреймворки и так далее.
DevSecOps
Application Security
Web Security
Cybersecurity Blue Team
Fuzzing
Threat modeling
Static Analysis
Dynamic Analysis
А еще есть русская версия Awesome DevSecOps.
#tools #bestpractice #web #fuzzing #sast #dast #dev #ops
Большие подборки ресурсов по DevSecOps и AppSec. Здесь можно найти инструменты, доклады, все существующие конференции по каждой теме, подкасты, гайдлайны, фреймворки и так далее.
DevSecOps
Application Security
Web Security
Cybersecurity Blue Team
Fuzzing
Threat modeling
Static Analysis
Dynamic Analysis
А еще есть русская версия Awesome DevSecOps.
#tools #bestpractice #web #fuzzing #sast #dast #dev #ops
Secure Development Guidelines
Так как среди подписчиков не только люди из DevOps, но и из AppSec, решил сделать небольшую подборку гайдлайнов по secure coding, помимо уже упоминаемых ранее ASVS, MASVS.
- Coding Standars by CERT - набор стандартов по безопасному написанию кода для C, C++, Java и
Adnroid.
- Secure Coding Guidelines by Mozilla - гайдлайн по безопасной разработке веб-приложений
- Secure Coding Practices Quick Reference Guide by OWASP -очень полезный чек-лист с ссылками на пункты в известных стандартах, которые могут помочь закрыть то или иное требование (SP800, SAMM, MSSDL, NIST и так далее)
- Proactive Controls by OWASP - список из 10 основных элементов управления OWASP, которые должны быть реализованы в каждом проекте
#compliance #bestpractice #dev
Так как среди подписчиков не только люди из DevOps, но и из AppSec, решил сделать небольшую подборку гайдлайнов по secure coding, помимо уже упоминаемых ранее ASVS, MASVS.
- Coding Standars by CERT - набор стандартов по безопасному написанию кода для C, C++, Java и
Adnroid.
- Secure Coding Guidelines by Mozilla - гайдлайн по безопасной разработке веб-приложений
- Secure Coding Practices Quick Reference Guide by OWASP -очень полезный чек-лист с ссылками на пункты в известных стандартах, которые могут помочь закрыть то или иное требование (SP800, SAMM, MSSDL, NIST и так далее)
- Proactive Controls by OWASP - список из 10 основных элементов управления OWASP, которые должны быть реализованы в каждом проекте
#compliance #bestpractice #dev