DevSecOps Wine Chat
А еще я создал чат, где можно обсуждать посты из канала и все, что относится к DevSecOps с приятным комьюнити. Кроме того, я кидаю туда материал, который не попадает в основной поток. Добро пожаловать!
https://yangx.top/sec_devops_chat
#talks
А еще я создал чат, где можно обсуждать посты из канала и все, что относится к DevSecOps с приятным комьюнити. Кроме того, я кидаю туда материал, который не попадает в основной поток. Добро пожаловать!
https://yangx.top/sec_devops_chat
#talks
Container Security: эволюция атак в 2020 году
6 ноября с 10:00 по МСК пройдет конференция DevOpsFest 2020, где будет два доклада по Security. Первый - мой. На нем я расскажу про безопасность контейнеров:
- Как злоумышленник может атаковать небезопасно настроенный кластер
- Какие появились CVE в 2020 году для k8s
- Как злоумышленник может закрепиться в инфраструктуре
- В чем связь между небезопасной версией ядра Linux и безопасностью облака
- Мои мысли о существующих механизмах и инструментах защиты
- Что из себя представляет enterprise решения по безопасности контейнеров, зачем его покупать и на что обращать внимание
Второй доклад "DevSecOps: Фаззинг исходного кода" от коллег из Digital Security. Не так давно они выпустили статью с таким же названием на Habr.
Прослушивание бесплатное. Материалы и записи платные.
P.S. А еще там есть крутая виртуальная площадка, где можно общаться. Я буду там, подходите знакомиться :)
#ops #k8s #docker #ops #talks
6 ноября с 10:00 по МСК пройдет конференция DevOpsFest 2020, где будет два доклада по Security. Первый - мой. На нем я расскажу про безопасность контейнеров:
- Как злоумышленник может атаковать небезопасно настроенный кластер
- Какие появились CVE в 2020 году для k8s
- Как злоумышленник может закрепиться в инфраструктуре
- В чем связь между небезопасной версией ядра Linux и безопасностью облака
- Мои мысли о существующих механизмах и инструментах защиты
- Что из себя представляет enterprise решения по безопасности контейнеров, зачем его покупать и на что обращать внимание
Второй доклад "DevSecOps: Фаззинг исходного кода" от коллег из Digital Security. Не так давно они выпустили статью с таким же названием на Habr.
Прослушивание бесплатное. Материалы и записи платные.
P.S. А еще там есть крутая виртуальная площадка, где можно общаться. Я буду там, подходите знакомиться :)
#ops #k8s #docker #ops #talks
Pentest in Docker, Secure Gitlab pipeline and Archdays 2020
Пришло время следующего анонса. 20 ноября мы с Пашей Канн (@shad0wrunner) выступаем на Archdays 2020, где покажем сценарий атаки на приложение в Docker. Специально для конференции мы подготовили репо Pentest-In-Docker, где вы можете самостоятельно шаг за шагом (которые детально описаны в readme) повторить эксплуатацию уязвимости. Есть вариант на русском.
Сценарий предполагает следующие шаги:
- Эксплуатация RCE в Bash (Shellshock)
- Повышение привилегий до root в контейнере через pip
- Создание своей ubuntu с ssh через docker.sock
- Смена контейнера и создание рута на хосте
- Побег из контейнера
- Развертывание Weave Scope для захвата инфры
Для реализации достаточно иметь виртуалку с docker на базе linux.
Образ также может быть использован для пилотирования коммерческих и не очень решений по Container Security, чтобы посмотреть, как они обнаруживают вредоносные действия. Паша, в свою очередь, покажет на воркшопе, как развернуть Gitlab с встроенными проверками Hadolint, Trivy и Dockle. Репо с пайплайном также есть уже на Github.
Вот, кстати, промо-код на скидку -50% для регистрации: DevSecOpsWine
https://archdays.ru/speakers/#track-bezopasnost-v-raspredelennyh-sistemah
#ops #docker #talks #attack
Пришло время следующего анонса. 20 ноября мы с Пашей Канн (@shad0wrunner) выступаем на Archdays 2020, где покажем сценарий атаки на приложение в Docker. Специально для конференции мы подготовили репо Pentest-In-Docker, где вы можете самостоятельно шаг за шагом (которые детально описаны в readme) повторить эксплуатацию уязвимости. Есть вариант на русском.
Сценарий предполагает следующие шаги:
- Эксплуатация RCE в Bash (Shellshock)
- Повышение привилегий до root в контейнере через pip
- Создание своей ubuntu с ssh через docker.sock
- Смена контейнера и создание рута на хосте
- Побег из контейнера
- Развертывание Weave Scope для захвата инфры
Для реализации достаточно иметь виртуалку с docker на базе linux.
Образ также может быть использован для пилотирования коммерческих и не очень решений по Container Security, чтобы посмотреть, как они обнаруживают вредоносные действия. Паша, в свою очередь, покажет на воркшопе, как развернуть Gitlab с встроенными проверками Hadolint, Trivy и Dockle. Репо с пайплайном также есть уже на Github.
Вот, кстати, промо-код на скидку -50% для регистрации: DevSecOpsWine
https://archdays.ru/speakers/#track-bezopasnost-v-raspredelennyh-sistemah
#ops #docker #talks #attack
GitHub
GitHub - Swordfish-Security/Pentest-In-Docker: Docker image to exploit RCE, try for pentest methods and test container security…
Docker image to exploit RCE, try for pentest methods and test container security solutions (trivy, falco and etc.) - GitHub - Swordfish-Security/Pentest-In-Docker: Docker image to exploit RCE, try...
AppSec & DevSecOps Jobs
Спрос на AppSec специалистов растет, а следом растет и спрос на тех, кто понимает и умеет в DevSecOps. По этой причине экспериментально запустил канал @appsec_job, где будут публиковаться вакансии по AppSec и DevSecOps. Главное условие - наличие зарплатной вилки. Есть также не RU сегмент. По всем размещениям писать ГлавРеду этого канала @nsemkina.
#talks #dev #ops
Спрос на AppSec специалистов растет, а следом растет и спрос на тех, кто понимает и умеет в DevSecOps. По этой причине экспериментально запустил канал @appsec_job, где будут публиковаться вакансии по AppSec и DevSecOps. Главное условие - наличие зарплатной вилки. Есть также не RU сегмент. По всем размещениям писать ГлавРеду этого канала @nsemkina.
#talks #dev #ops
Security: KubeCon + CloudNativeCon North America 2020 - Virtual
Все сильнее ощущается конец года - интересных анонсов и ресерчей все меньше, поэтому предлагаю взглянуть на доклады последнего Kubecon по части безопасности.
- Using Open Policy Agent to Meet Evolving Policy Requirements - доклад о том, что такое OPA, как работает и какие правила вообще можно написать
- DevOps All the Things: Creating a Pipeline to Validate Your OPA Policies - доклад про выстраивание модульного и интеграционного тестирования политик OPA
- Customizing OPA for a "Perfect Fit" Authorization Sidecar - о том, как можно использовать API Golang OPA для собственных нужд и кастомизации
- Также Aqua Security еще раз рассказала свой доклад Handling Container Vulnerabilities with Open Policy Agent о том, как можно интегрировать Trivy и OPA вместе в виде операторов k8s.
К сожалению, выложили далеко не все доклады. В частности, нет доклада Secure Policy Distribution With OPA. Автор этого доклада также известен своим другим крутым докладом Open Policy Agent Deep Dive.
- Кроме OPA затрагивали также тему mTLS и потенциальных подводных камней - PKI the Wrong Way: Simple TLS Mistakes and Surprising Consequences
- Не забыли и про Falco. Интересно, что на Kubecon был доклад про масштабирование Falco на 100к контейнеров (Security Kill Chain Stages in a 100k+ Daily Container Environment with Falco) и обход правил Falco инженером из Sysdig 🤷♂️ (Bypass Falco)
Программа конференции
Другие доклады
#dev #ops #k8s #talks #opa
Все сильнее ощущается конец года - интересных анонсов и ресерчей все меньше, поэтому предлагаю взглянуть на доклады последнего Kubecon по части безопасности.
- Using Open Policy Agent to Meet Evolving Policy Requirements - доклад о том, что такое OPA, как работает и какие правила вообще можно написать
- DevOps All the Things: Creating a Pipeline to Validate Your OPA Policies - доклад про выстраивание модульного и интеграционного тестирования политик OPA
- Customizing OPA for a "Perfect Fit" Authorization Sidecar - о том, как можно использовать API Golang OPA для собственных нужд и кастомизации
- Также Aqua Security еще раз рассказала свой доклад Handling Container Vulnerabilities with Open Policy Agent о том, как можно интегрировать Trivy и OPA вместе в виде операторов k8s.
К сожалению, выложили далеко не все доклады. В частности, нет доклада Secure Policy Distribution With OPA. Автор этого доклада также известен своим другим крутым докладом Open Policy Agent Deep Dive.
- Кроме OPA затрагивали также тему mTLS и потенциальных подводных камней - PKI the Wrong Way: Simple TLS Mistakes and Surprising Consequences
- Не забыли и про Falco. Интересно, что на Kubecon был доклад про масштабирование Falco на 100к контейнеров (Security Kill Chain Stages in a 100k+ Daily Container Environment with Falco) и обход правил Falco инженером из Sysdig 🤷♂️ (Bypass Falco)
Программа конференции
Другие доклады
#dev #ops #k8s #talks #opa
YouTube
Using Open Policy Agent to Meet Evolving Policy Requirements - Jeremy Rickard, VMware
Don’t miss out! Join us at our upcoming event: KubeCon + CloudNativeCon Europe 2021 Virtual from May 4–7, 2021. Learn more at https://kubecon.io. The conference features presentations from developers and end users of Kubernetes, Prometheus, Envoy, and all…
Безопасная разработка приложений, DevSecOps, Anti-malware
В один из чатов вбросили анонс онлайн-конференции по DevSecOps от Anti-Malware. Когда-то, помню, писал для них статью по сравнению решений Container Security.
Вообще, это логично, что тема дошла и до безопасности разработки в силу роста ее популярности. Я положительно отношусь к подобному продакшену - с качественной съемкой и разными приглашенными гостями. Местами у меня возникают вопросы к поднимаемым темам и причастности гостей к ним, но в этот раз, кажется, должно быть интересно. Другую их онлайн-конференцию по облачной безопасности, например, можно посмотреть здесь.
Затрагиваемые вопросы на конференции по DevSecOps (помимо основ):
- Каковы требования к персоналу и каких специалистов придется нанять?
- Каковы метрики эффективности внедрения DevSecOps?
- С чего начать процесс внедрения DevSecOps?
- Какими средствами проводить фаззинг-тестирование?
- Когда лучше использовать статический (SAST) или динамический анализы (DAST)?
- Какова российская специфика рынка DevSecOps?
Из интересных гостей PT и BI.Zone.
https://live.anti-malware.ru/devsecops
#talks
В один из чатов вбросили анонс онлайн-конференции по DevSecOps от Anti-Malware. Когда-то, помню, писал для них статью по сравнению решений Container Security.
Вообще, это логично, что тема дошла и до безопасности разработки в силу роста ее популярности. Я положительно отношусь к подобному продакшену - с качественной съемкой и разными приглашенными гостями. Местами у меня возникают вопросы к поднимаемым темам и причастности гостей к ним, но в этот раз, кажется, должно быть интересно. Другую их онлайн-конференцию по облачной безопасности, например, можно посмотреть здесь.
Затрагиваемые вопросы на конференции по DevSecOps (помимо основ):
- Каковы требования к персоналу и каких специалистов придется нанять?
- Каковы метрики эффективности внедрения DevSecOps?
- С чего начать процесс внедрения DevSecOps?
- Какими средствами проводить фаззинг-тестирование?
- Когда лучше использовать статический (SAST) или динамический анализы (DAST)?
- Какова российская специфика рынка DevSecOps?
Из интересных гостей PT и BI.Zone.
https://live.anti-malware.ru/devsecops
#talks
Всем привет!
Была немного тяжелая неделя, накопилось много идей, о чем написать, но это потом.
Сейчас мы тестируем Clubhouse и знакомимся с комьюнити DevSecOps
Присоединяйтесь. Будем говорить про метрики, азы, что надо знать при трудоустройстве и любые предложенные темы.
https://www.joinclubhouse.com/room/xn76O70a
#talks
Была немного тяжелая неделя, накопилось много идей, о чем написать, но это потом.
Сейчас мы тестируем Clubhouse и знакомимся с комьюнити DevSecOps
Присоединяйтесь. Будем говорить про метрики, азы, что надо знать при трудоустройстве и любые предложенные темы.
https://www.joinclubhouse.com/room/xn76O70a
#talks
Clubhouse
Join Clubhouse to find more great rooms.
Анонсы в мире безопасности разработки.
Последний год наполнен всевозможными онлайн и оффлайн мероприятиями на тему безопасности разработки / DevSecOps / SSDLC и безопасности контейнеров. По факту чаще всего ивент уходит в пресейл и поверхностную теорию. Однако сегодня мы взглянем на предстоящие мероприятия от проверенных организаторов.
- ZeroNight 2021, 30 июня, Севкабель Порт, Санкт-Петербург, Международная конференция по информационной безопасности. До 15 мая еще открыт CFP по докладам безопасности разработки. Программный комитет как всегда лучший.
- Positive Hack Days, 20-21 мая,
Центр Международной Торговли, Москва, Международная конференция по информационной безопасности. Еще можно зарегистрироваться на трек по безопасности разработки. С докладами уже можно познакомиться по ссылке.
- DevSecOps. Динамический анализ приложений. 25 мая, 15:00-17:00. Вебинар. Неоднократно упоминал на канале автора вебинара и своего наставника Юрия. Тема IAST,DAST,BAST мобилок и веба.
#events #talks
Последний год наполнен всевозможными онлайн и оффлайн мероприятиями на тему безопасности разработки / DevSecOps / SSDLC и безопасности контейнеров. По факту чаще всего ивент уходит в пресейл и поверхностную теорию. Однако сегодня мы взглянем на предстоящие мероприятия от проверенных организаторов.
- ZeroNight 2021, 30 июня, Севкабель Порт, Санкт-Петербург, Международная конференция по информационной безопасности. До 15 мая еще открыт CFP по докладам безопасности разработки. Программный комитет как всегда лучший.
- Positive Hack Days, 20-21 мая,
Центр Международной Торговли, Москва, Международная конференция по информационной безопасности. Еще можно зарегистрироваться на трек по безопасности разработки. С докладами уже можно познакомиться по ссылке.
- DevSecOps. Динамический анализ приложений. 25 мая, 15:00-17:00. Вебинар. Неоднократно упоминал на канале автора вебинара и своего наставника Юрия. Тема IAST,DAST,BAST мобилок и веба.
#events #talks
Как топ-менеджеру относиться к ИБ-рискам, кроме подхода "либо случится, либо нет"?
На выходных наткнулся в FB на статью 2020 года от VP InfoWatch, которая затрагивает тему, как относится современный бизнес к информационной безопасности и по какому пути в безопасности развиваться не надо.
Основная идея состоит в том, что безопасность является ничем иным как очередным сервисом, а все риски, которыми безопасники привыкли пугать, вероятностны, при этом расходы абсолютны. Соответственно, убедить бизнес не принимать риски становится непростой задачей, однако гораздо чаще специалисты ИБ уходят в "технические игрушки", не вникая в суть и цели бизнеса, а также критерии его успешности.
Завершает статью правильная цитата, которую стоит записать всем, кто склонен топить ИТ жесткими требованиями ИБ:
"Переломить эту тенденцию может только инфобезопасник 2.0, который хорошо понимает объект защиты и принципы его функционирования, а не только методы и приёмы безопасности."
Очень рекомендую, если вы работаете на этой неделе и еще не успели морально выйти из выходных.
Обсудить можно в нашем чате: @sec_devops_chat
#talks
На выходных наткнулся в FB на статью 2020 года от VP InfoWatch, которая затрагивает тему, как относится современный бизнес к информационной безопасности и по какому пути в безопасности развиваться не надо.
Основная идея состоит в том, что безопасность является ничем иным как очередным сервисом, а все риски, которыми безопасники привыкли пугать, вероятностны, при этом расходы абсолютны. Соответственно, убедить бизнес не принимать риски становится непростой задачей, однако гораздо чаще специалисты ИБ уходят в "технические игрушки", не вникая в суть и цели бизнеса, а также критерии его успешности.
Завершает статью правильная цитата, которую стоит записать всем, кто склонен топить ИТ жесткими требованиями ИБ:
"Переломить эту тенденцию может только инфобезопасник 2.0, который хорошо понимает объект защиты и принципы его функционирования, а не только методы и приёмы безопасности."
Очень рекомендую, если вы работаете на этой неделе и еще не успели морально выйти из выходных.
Обсудить можно в нашем чате: @sec_devops_chat
#talks
vc.ru
Как топ-менеджеру относиться к ИБ-рискам, кроме подхода "либо случится, либо нет"? — Личный опыт на vc.ru
Разговоры о том, как убедить бизнес в том, чтобы он обращал больше внимания на информационную безопасность, возникают, планово или стихийно, на любой конференции по информационной безопасности. Чаще всего вывод из таких дискуссий один – давайте попросим регуляторов…
Container Security в DevOps курилке
В эту пятницу в 20.00 состоится выход первой серии подкаста "DevOps курилка", который будет проводиться с помощью встроенных механизмов тг в известном чате @devops_ru. Тема первого выпуска - безопасность контейнеров, где я буду общаться с @Asgoret и @afidelina о формировании требований, моделировании угроз, слепых зонах и инструментах. Все вопросы можно будет задавать в чате @sec_devops_chat. Также постараюсь заготовить некоторый материал, чтобы закидывать его в режиме онлайн в чат.
Подключиться к подкасту:
https://yangx.top/devops_ru?voicechat
#talks
В эту пятницу в 20.00 состоится выход первой серии подкаста "DevOps курилка", который будет проводиться с помощью встроенных механизмов тг в известном чате @devops_ru. Тема первого выпуска - безопасность контейнеров, где я буду общаться с @Asgoret и @afidelina о формировании требований, моделировании угроз, слепых зонах и инструментах. Все вопросы можно будет задавать в чате @sec_devops_chat. Также постараюсь заготовить некоторый материал, чтобы закидывать его в режиме онлайн в чат.
Подключиться к подкасту:
https://yangx.top/devops_ru?voicechat
#talks
Threat Modelling & Supply-Chain (Part 1: Assets)
Безопасность разработки стала весьма широким доменом в плане охватываемых проблемных зон и инструментов. За последние полгода в одну из решаемых задач попала митигация рисков, связанных с атаками на цепочку поставок (supply-chain attack). Для тех, кто следит за новостями, сразу вспоминаются атаки на SolarWinds (хотя в реальности примеров подобных атак значительно больше). Тем не менее, как связать примеры подобных атак с собственной инфраструктурой и цепочкой поставок не всегда очевидно (чем активно пользуются производители решений SCA).
Чтобы понять, как мы можем защититься от атак на цепочку поставок, требуется декомпозировать задачу, а именно прибегнуть к процессу моделирования угроз: определить защищаемые активы, действия над этими активами, пользователей и потенциальные угрозы, связанные с этими действиями.
Активами могут стать код, зависимости и итоговый артефакт, то есть те компоненты, которые участвуют в цепочке поставок. Также в качестве активов нередко рассматривают сами системы, которые участвуют в процессе сборки артефактов и их развертывания (CI и CD системы).
Раскидывая все процессы разработки на схеме (мне нравится обычный draw.io с плагином dfd) мы имеем архитектуру нашего сборочного конвейера совместно с этапом раскатки. Детализация схемы зависит от вашего погружения вместе с DevOps командами. Модель угроз можно декомпозировать вплоть до всех компонентов Kubernetes. Чтобы точно убедиться, что мы ничего не пропустили, мы можем расписать процессы отдельно:
#threatmodeling #dev #ops #talks
Безопасность разработки стала весьма широким доменом в плане охватываемых проблемных зон и инструментов. За последние полгода в одну из решаемых задач попала митигация рисков, связанных с атаками на цепочку поставок (supply-chain attack). Для тех, кто следит за новостями, сразу вспоминаются атаки на SolarWinds (хотя в реальности примеров подобных атак значительно больше). Тем не менее, как связать примеры подобных атак с собственной инфраструктурой и цепочкой поставок не всегда очевидно (чем активно пользуются производители решений SCA).
Чтобы понять, как мы можем защититься от атак на цепочку поставок, требуется декомпозировать задачу, а именно прибегнуть к процессу моделирования угроз: определить защищаемые активы, действия над этими активами, пользователей и потенциальные угрозы, связанные с этими действиями.
Активами могут стать код, зависимости и итоговый артефакт, то есть те компоненты, которые участвуют в цепочке поставок. Также в качестве активов нередко рассматривают сами системы, которые участвуют в процессе сборки артефактов и их развертывания (CI и CD системы).
Раскидывая все процессы разработки на схеме (мне нравится обычный draw.io с плагином dfd) мы имеем архитектуру нашего сборочного конвейера совместно с этапом раскатки. Детализация схемы зависит от вашего погружения вместе с DevOps командами. Модель угроз можно декомпозировать вплоть до всех компонентов Kubernetes. Чтобы точно убедиться, что мы ничего не пропустили, мы можем расписать процессы отдельно:
CI Master:
- Вызов сборки
- Конфигурация сборки
- Получение секретов git из встроенного хранилища секретов
- ....
К каждому процессу подписываются защищаемыми нами активы:A01: секреты git
A02: код бизнес-приложения
A03: итоговый артефакт
A04: зависимость
...
Совместно с определением процессов и активов рекомендуется определить так называемые доверенные зоны (trusted zones). Они помогают определить логические границы, за которых ответственны те или иные администраторы систем, а также поверхности атаки злоумышленника в случае, если он окажется внутри инфраструктуры.#threatmodeling #dev #ops #talks