О продукте Wallarm FAST - коротко

Вчера ребята из Wallarm провели для нас демонстрацию своего продукта FAST, инструмента для автоматической генерации и выполнения тестов безопасности, выявляющих уязвимости в веб-приложениях.

Узел FAST (прокси) разворачивается в виде контейнера Docker на отдельно выделенном хосте или на хосте приложения. Узел связывается с облаком Wallarm с помощью ранее сгенерированного токена в личном кабинете администратора в облаке. Для того, чтобы начать пользоваться FAST администратор задает в личном кабинете политику тестирования, которая будет применяться к приложению, в том числе набор преднастреонных атак, парамеры фазинга, число потоков, insertion points (параметры запросов, исключения на директории). После этого узел FAST задается как прокси в браузере, который осуществляет тестирование веб-приложения на основе тех функциональных тестовов, которые вы выполняете. Также есть возможность выполнять преднастроенные тесты, встроив FAST в CI/CD.

Продукт также предоставляет пользователям предметно-ориентированный язык (domain-specific language, DSL) для описания расширений. Это позволяет писать расширения для обнаружения уязвимостей без каких-либо навыков программирования. Расширения описываются с использованием YAML. Примеры.

Вебинар.
Документация.
Пример интеграции с CI/CD.
Попробовать.

#dast #tools #dev

"Epic Failures in DevSecOps. Volume 2"

Ссылка на Volume 1
#literature #dev #ops

"Developers are taking over AppSec" by WhiteSource

Компания WhiteSource представила статистику по безопасности приложений на базе опроса около 600 разработчиков

Статистика охватывает следующие вопросы:
- Кто несет ответственность за безопасность приложения
- Как расставляются приоритеты относительно безопасности приложений в компаниях
- На каком этапе SDLC разработчики начинают тестировать безопасность приложения
- Про обучение безопасности разработчиков
- На что ориентируются команды при выборе бесплатных инструментов AppSec
- Какие бесплатные инструменты для AppSec используются

За ссылку спасибо @oleg_log

#report

https://www.whitesourcesoftware.com/developers-security-report/

#dev #sca

DAST for web - подборка инструментов (free)

Zed Attack Proxy (ZAP) - мощный мультиплаформенный инструмент от OWASP для тестировоания безопасности веб-приложений. Инструмент написан на Java , поддерживает автоматическое сканирование, аутентификацию, Ajax spiders, фаззинг, тестирование веб-сокетов. Под ZAP есть плагин Jenkins. Статья про интеграцию.

Wfuzz - инструмент написан на Python, поддерживает аутентификацию, cookies fazzing, мультипоточность, вывод в html, прокси и SOCK

Wapiti - инструмент для опытных пользователей без GUI и веб-интерфейса, имеет поддержку аутентификации с помощью Kerberos и NTLM, умеет првоерять на XXE inj, слабую конфигурацию .htaccess, искать конфиденциальную информацию в резервных копиях

W3af - один из самых популярных инструментов тестироования на Python, есть GUI, легко разваричивается, имет большую базу уязвимостей, расширяется с помощью плагинов. Полный перечень плагинов.

Vega - инструмент на Java с GUI, имеет возможность проверять настройки безопасности TLS / SSL, SSL MITM, расширяется с помощью API-интерфейса модуля JavaScript

Более широкий перечень DAST можно найтти на странице OWASP здесь

Наверняка забыл еще какие-то интересные фичи. Вспомните - пишите в лс )

#dast #tools #dev

"Hands-On Security in DevOps: Ensure continuous security, deployment, and delivery with DevSecOps Kindle Edition"

Содержание
1) DevSecOps Драйверы и проблемы
2) Цель безопасности и метрики
3) Программа и организация обеспечения безопасности
4) Требования безопасности и соответствие
5) Пример из практики: Программа обеспечения безопасности
6) Архитектура безопасности, структура общих модулей, принципы проектирования
7) Практика моделирования угроз и безопасный дизайн
8) Безопасный код, базовый уровень, инструменты и лучшие практики
9) Пример: непрерывные выпуски с безопасностью по умолчанию
10) План тестирования безопасности и кейсы
11) Советы по тестированию WhiteBox
12) Инструменты тестирования безопасности

#literature #dev #ops

Compliance as Code - tools (free)

Небольшая подборка инструментов по "Compliance left" и обеспечение соответствия как непрерывный процесс

Chef InSpec - это бесплатный фреймворк с открытым исходным кодом для тестирования и аудита приложений и инфраструктуры. Вебинар про возможности InSpec

Compliance Masonry - позволяет пользователям создавать сертификационную документацию с использованием схемы OpenControl. Полезно, если вы собираетесь проходить PCI DSS, например.

OpenSCAP - проект при поддержке Red Hat. Инструменты OpenSCAP совместно с Scap Security Guide можно использовать для автоматического аудита системы и проверки соответствия. Вот как это работает на примере с HIPPA

#tools #compliance #dev #ops

Прямо сейчас идет вебинар "Web Application Firewall - Friend of your DevOps pipeline?"

Обещают показать, как интегрировать WAF (modsecurity) в CI-пайплайн

https://www.youtube.com/watch?v=YhfGeV9XWlo

#dev #ops #talks

Записи докладов с CNCF Minsk #5

First part: Cloud Security Posture Management - Aleksandr Slobodanyuk, Senior Security Systems Engineer.
• CSPM - general overview
• Overview of commercial and opensource tools
• How does it work?

Second part: Infrastructure as Code Security - Michael Yudin, Senior Security Systems Engineer & German Babenko, Senior Security Systems Engineer.
• Infrastructure as Code intro
• Security in IaC
• IaC security tools: AWS demo, GCP demo
• Verifying of Terraform code for AWS Cloud with integration of security code scanning tools in IaC pipeline.

https://www.youtube.com/playlist?list=PLwjWMHa5_FX88yf3fapksH9M1OIGM1aNi

Фото с Cisco Day в Барселоне, который прошел 27 января 2020 года

Вообще на мой взгляд Cisco сделала довольно широкий в шаг в сторону защиты приложений. Некоторый функционал, я считаю, заслуживает внимания исходя из того, что мне удалось посмотреть из партнерского материала. Сейчас приведу примеры.

Cisco Tetration - коротко

Продукт позиционируется для защиты ЦОДов в гетерогенной среде, например, у вас есть k8s, aws, vmware, hyper-v, некий кампус и центральный DataCenter, который со всем взаимодействует.

Чтобы разобраться во всем этом многообразии политик (Network Security group в Azure, Port Groups в vmware и т.д.) и компонентов управления, Cisco выпустила агент, который ставится на все, куда только можно дотянутся. С этих агентов собирается телеметрия, анализируется взаимодействие, после чего в консоли можно увидеть подробности о портах и сервисах. Далее Tetration на основе этого взаимодействия автоматически генерирует единую enforcement-политику, которую можно экспортировать в yaml или json, либо сразу применить на хостах. Как пример - изменить iptables на linux-хостах или закрыть порт во всей гетерогенной среде. После этого Tetration постоянно анализирует поведение и конфигурацию всей системы на наличие отклонений.

Отдельным модулем идет блок Security, который представляет из себя в основном EDR. Есть возможность строить граф взаимодействия процессов и инцидентов на таймлайне, искать уязимости и сететевые аномалии.

Это конечно не про CI/CD пайплайн и к разработке имеет посредственное отношение, но с точки зрения большого интерпрайза (с большим бюджетом), где мониторинг и раскатка политик становится настоящей проблемой, решение предлагает комплексное централизованное и вроде как удобное управление.

Из общедоступных наглядных видео:
Cisco Tetration Policy Enforcement Overview
Cisco Tetration Security Dashboard and Forensics

#enterprise #ops

cfn-nag

Инструмент cfn-nag ищет шаблоны в CloudFormation , которые могут указывать на небезопасную инфраструктуру.

Что проверяется:
1) IAM и политики ресурсов (S3 Bucket, SQS и т. д.)
2) Security Group - например, ingress правило открыто для 0.0.0.0/0 , открыт диапазон 1-65535
3) Журналы доступа
Ищет журналы доступа, которые не включены для соответствующих ресурсов (например, Elastic Load Balancers и CloudFront Distributions)
4) Шифрование (на стороне сервера), которое не включено или не применяется для соответствующих ресурсов (например, томов EBS или для вызовов PutObject в корзине S3)

https://github.com/stelligent/cfn_nag

#tools #aws #ops

Security in IaC (Terraform)

В предыдущем посте упомянал тулзу cfn-nag для сканирования шаблонов CloudFormation. Сегодня рассмотрим утилиты для сканирования шаблонов Terraform

Checkov - это инструмент статического анализа кода для infrastructure-as-code. Он сканирует облачную инфраструктуру, предоставляемую с помощью Terraform, и обнаруживает неправильные конфигурации безопасности.

Terrascan - набор инструментов для статического анализа terraform шаблнов используя terraform_validate.

tfsec - аналогичная предыдущим тулза для проверки terraform шаблонов. В отличие от Terrascan проверяет шаблоны для Azure и Google

#tools #terraform #ops

Container Security - сравнение

Наши ребята подготовили сравнение решений по защите контейнеров из категории Enterprise.

Среди сравниваемых параметров:
1) Возможность сканирования образов
2) Возможность проверки на соответствие лучшим практикам
3) Защита среды выполнения
4) Обеспечение сетевой безопасности
5) Форензика
6) Аудит настроек

Также отдельная таблица по способу взаимодействия с контейнерами (Internet, agent, proxy) а также возможностям интеграции и поддерживаемым платформам

Сохраняем себе.

#tools #enterprise #docker #k8s #ops

Нахожусь сейчас на XII Уральском форуме "Информационная безопасность финансовой сферы". Вчера была сессия в формате дискуссии, на которой обсуждали вопроосы безопасной разработки в финансовой отрасли. В следующем посте выделю основные тезисы.

Из секции, касающейся безопасной разработки, XII Уральский форум "Информационная безопасность финансовой сферы"

Дмитрий Гадарь, CISO Тинькофф Банк:
- В Тинькофф не ограничивают разработчиков по выбранной методолоогии (Agile или Waterfall).
- В качестве фреймворка мы применяем OWASP SAMM в своей практике
- Чтобы избежать false positive SAST, мы берем на выходе то, что выходит из Application Scanner, и применяем на основе этого поиск в SAST (???)
- Не допускам того, чтобы инструменты DevSecOps служили только для генерации горы отчетов
- Пристальное внимание в практике AppSec нужно уделить управлению зависимостями и внешними библиотеками
- Необходимо регулярно пересматривать видение рисков, осущесвлять их приоритизацию

Сергей Демидов, директор департамента операционных рисков и ИБ в Московской бирже:
- Все наши эксперименты с Secure CI/CD не показывают должного показателя надежности
- ИБ должен выступать мостом в диалоге между отделами ИТ
- Мы придерживаемся Waterfall, действуя по схеме "1 день в проде, 5 дней тестов", берем от DevSecOps отдельные элементы, например, анализ кода, встраиваемый по сервисной модели

Андрей Иванов, руководитель направления по развитию облачных сервисов безопасности в Яндекс.Облако:
5 элементов культуры безпоасной разработки:
- Поддержка высшего руководства
- Наличие понятных регламентов для разработчиков ( при каких условиях разработчикам требуется обращаться к ИБ)
- Обучение безопасной разработке
- Наличие опыта Application Security у безопасников как обязательное требование
- Распределение ответственности за безопасность продуктов между team-лидами.

Общие выводы:
- Security Champions имеют высокую эффективность для безопасности продукта
- Необходимо создавать обезличенные тестовые контуры с репликацией прода с автоматической раскаткой обновлений
- Password Vault (на сессии это называли секретницей) как must have


#talks #dev #ops

Презентация по безопасной разработке с Уральского форума

Не знаю, как скоро презентация появится в архивах, поэтому решил опубликовать сюда.

Цель презентации была следующая - начать погружать безопасников в мир DevOps и показать способы интеграции ИБ в процесс разработки. Опыт показывает, что у многих наших заказчиков имеется слабое понимание того, что из себя представляет разработка в их экосистеме, и как безопасность может встроиться в их процессы, однако вся история с цифровизацией требует каких-то движений в этом направлении.

Презентация охватывает только enterprise, но, разумеется, все эти процессы можно выстроить с помощью open-source.

#dev #ops #talks

Вот так выглядят подарки от Swordfish Security ))

#humor

Проверка образов с помощью Gitlab CI/CD

"В этой статье мы поговорим о том, как проверять образы контейнеров на платформе Gitlab CI/CD с помощью Sysdig Secure.

Образы контейнеров, которые не соответствуют политикам безопасности, определенным в Sysdig Secure, не будут опубликованы в реестре контейнеров и остановят пайплайн."

https://habr.com/ru/company/otus/blog/488866/

#dev #docker

MicroBurst: A PowerShell Toolkit for Attacking Azure

Репозиторий с набором powershell скриптов для анализа и эксплуатации уязвимостей в Azure. Репозиторий также содержит ссылки на статьи и презентации посвещённые анализу защишености инфраструктуры Azure.

Ссылка на репозиторий: https://github.com/NetSPI/MicroBurst

Сценарий пост-эксплуатации в Azure от ребят из NETSPI (с применением MicroBurst).

Оригинальная статья со всеми деталями: https://blog.netspi.com/attacking-azure-cloud-shell/

За материал спасибо @cloud_sec

#azure #tools #ops #attack

Выложены доклады с AppSec California 2020 (проходит под эгидой OWASP)
https://www.youtube.com/playlist?list=PLhaoFbw_ejdo-4nSeRKNH1pRhdfsn3CI7

Спектр тем большой: от car hacking до безопасности Kubernetes и Continuous Cloud Security Monitoring (CCSM)

Программа тут
https://2020.appseccalifornia.org/program/