MicroBurst: A PowerShell Toolkit for Attacking Azure
Репозиторий с набором powershell скриптов для анализа и эксплуатации уязвимостей в Azure. Репозиторий также содержит ссылки на статьи и презентации посвещённые анализу защишености инфраструктуры Azure.
Ссылка на репозиторий: https://github.com/NetSPI/MicroBurst
Сценарий пост-эксплуатации в Azure от ребят из NETSPI (с применением MicroBurst).
Оригинальная статья со всеми деталями: https://blog.netspi.com/attacking-azure-cloud-shell/
За материал спасибо @cloud_sec
#azure #tools #ops #attack
Репозиторий с набором powershell скриптов для анализа и эксплуатации уязвимостей в Azure. Репозиторий также содержит ссылки на статьи и презентации посвещённые анализу защишености инфраструктуры Azure.
Ссылка на репозиторий: https://github.com/NetSPI/MicroBurst
Сценарий пост-эксплуатации в Azure от ребят из NETSPI (с применением MicroBurst).
Оригинальная статья со всеми деталями: https://blog.netspi.com/attacking-azure-cloud-shell/
За материал спасибо @cloud_sec
#azure #tools #ops #attack
GitHub
GitHub - NetSPI/MicroBurst: A collection of scripts for assessing Microsoft Azure security
A collection of scripts for assessing Microsoft Azure security - NetSPI/MicroBurst
Cloud WAF Comparison Using Real-World Attacks
https://medium.com/fraktal/cloud-waf-comparison-using-real-world-attacks-acb21d37805e
#waf #aws #azure #ops
https://medium.com/fraktal/cloud-waf-comparison-using-real-world-attacks-acb21d37805e
#waf #aws #azure #ops
Azure Security Benchmark
Недавно был анонсирован Azure Security Benchmark v1 (ASB), содержащий более 90 рекоммендаций безоопасности, основанных на отраслевых стандартах и передовых практиках, таких как CIS. ASB интегрирован с Azure Security Center, что позволяет отслеживать, составлять отчеты и оценивать соответствие с эталонным тестом с помощью панели мониторинга Security Center.
#azure #ops
Недавно был анонсирован Azure Security Benchmark v1 (ASB), содержащий более 90 рекоммендаций безоопасности, основанных на отраслевых стандартах и передовых практиках, таких как CIS. ASB интегрирован с Azure Security Center, что позволяет отслеживать, составлять отчеты и оценивать соответствие с эталонным тестом с помощью панели мониторинга Security Center.
#azure #ops
ScoutSuite 5.8.0
Scout Suite - это инструмент аудита безопасности с открытым исходным кодом, который позволяет оценить состояние безопасности облачных сред (AWS, Azure, GCP, OCI). Используя API, предоставляемые облачными провайдерами, Scout Suite собирает данные о конфигурации и выделяет риски безопасности.
Cloud Security Suite - Installation and initiation of an AWS audit
Cloud Security - Implementing NCC ScoutSuite on my Azure Account
Относительно недавно вышла новая версия 5.8.0, поддерживающая KMS, Secrets Manager в AWS, App Service Web Apps, Security Center Compliance Results в Azure. Обещают, что сканирование в GCP должно выполняться быстрее.
#news #aws #azure #tools #gcp #ops
Scout Suite - это инструмент аудита безопасности с открытым исходным кодом, который позволяет оценить состояние безопасности облачных сред (AWS, Azure, GCP, OCI). Используя API, предоставляемые облачными провайдерами, Scout Suite собирает данные о конфигурации и выделяет риски безопасности.
Cloud Security Suite - Installation and initiation of an AWS audit
Cloud Security - Implementing NCC ScoutSuite on my Azure Account
Относительно недавно вышла новая версия 5.8.0, поддерживающая KMS, Secrets Manager в AWS, App Service Web Apps, Security Center Compliance Results в Azure. Обещают, что сканирование в GCP должно выполняться быстрее.
#news #aws #azure #tools #gcp #ops
Terraform Foundational Policies Library
HashiCorp объявила, что выпускает библиотеку на базе правил Santinel для Terraform Cloud and Enterprise из более чем 40 элементов управления, основанных на CIS Benchmarks, для защиты облачных сервисов, включая сети, базы данных, хранилища и вычислительные сервисы.
#terraform #aws #azure #gcp #ops
HashiCorp объявила, что выпускает библиотеку на базе правил Santinel для Terraform Cloud and Enterprise из более чем 40 элементов управления, основанных на CIS Benchmarks, для защиты облачных сервисов, включая сети, базы данных, хранилища и вычислительные сервисы.
#terraform #aws #azure #gcp #ops
Cloud Pentesting Cheatsheet.pdf
151.8 KB
Cloud Pentest Cheatsheets
Полезное репо для тестирования публичных облаков (AWS, Amazon, GCP) на проникновение. Помимо команд, приведенных для проверки безопасности облака, в репо можно найти перечень инструментов (pacu, weirdaal для AWS, MicroBurst, PowerZure для Azure и другие), а также парочку стендов для практики (Cloudgoat, SadCloud,...)
Полезно будет не только для red team. Прикладываю в формате pdf.
#aws #azure #gcp #tools #ops #attack
Полезное репо для тестирования публичных облаков (AWS, Amazon, GCP) на проникновение. Помимо команд, приведенных для проверки безопасности облака, в репо можно найти перечень инструментов (pacu, weirdaal для AWS, MicroBurst, PowerZure для Azure и другие), а также парочку стендов для практики (Cloudgoat, SadCloud,...)
Полезно будет не только для red team. Прикладываю в формате pdf.
#aws #azure #gcp #tools #ops #attack
What Modern CI/CD Should Look Like
В середине июня John Kinsella написал статью "Insecure by Default: Kubernetes CICD Reference Diagrams". В ней он расписал несколько пунктов, касающихся проверки безопасности, которых нет на картинках в гугле по запросу "kuberntes cicd". Отдельный кирпич был брошен в облачных провайдеров, которые не упоминают о безопасности, в том время как клиенты обращаются к их статьям за рекомендациями. Получив огромное количество запросов "ну тогда покажи как надо", John выпустил статью "What Modern CI/CD Should Look Like", в которой постарался изложить свое видение безопасного пайплайна для AWS, Azure и GCP ( John, кстати, вице-президент по Container Security в Qualys и выступает на конференциях Infosec World)
#aws #azure #gcp #k8s #dev #ops
В середине июня John Kinsella написал статью "Insecure by Default: Kubernetes CICD Reference Diagrams". В ней он расписал несколько пунктов, касающихся проверки безопасности, которых нет на картинках в гугле по запросу "kuberntes cicd". Отдельный кирпич был брошен в облачных провайдеров, которые не упоминают о безопасности, в том время как клиенты обращаются к их статьям за рекомендациями. Получив огромное количество запросов "ну тогда покажи как надо", John выпустил статью "What Modern CI/CD Should Look Like", в которой постарался изложить свое видение безопасного пайплайна для AWS, Azure и GCP ( John, кстати, вице-президент по Container Security в Qualys и выступает на конференциях Infosec World)
#aws #azure #gcp #k8s #dev #ops
Introducing the State of Open Source Terraform Security Report 2020
Bridgecrew просканировали 2,6 тыс. модулей в Terraform Registry с помощью своего open-source инструмента Checkhov, который в настоящее время содержит 300 проверок соответствия и безопасности в AWS, Azure и Google Cloud.
Получилось примерно следующее:
- Каждый второй модуль имеет ошибки конфигурации
- Во втором квартале 2020 года наблюдался самый высокий показатель соотношения неправильно настроенных модулей
- 8 из 10 самых популярных модулей настроены неправильно
- Наиболее распространенные неправильные настройки относятся к категориям «Резервное копирование и восстановление», «Ведение журнала» и «Шифрование».
Сам отчет можно посмотреть здесь.
Chechov - open-source инструмент для статического анализа IaC от Terraform, Cloudformation, Kubernetes, Serverless или ARM Templates.
#report #terraform #aws #azure #gcp #dev #ops
Bridgecrew просканировали 2,6 тыс. модулей в Terraform Registry с помощью своего open-source инструмента Checkhov, который в настоящее время содержит 300 проверок соответствия и безопасности в AWS, Azure и Google Cloud.
Получилось примерно следующее:
- Каждый второй модуль имеет ошибки конфигурации
- Во втором квартале 2020 года наблюдался самый высокий показатель соотношения неправильно настроенных модулей
- 8 из 10 самых популярных модулей настроены неправильно
- Наиболее распространенные неправильные настройки относятся к категориям «Резервное копирование и восстановление», «Ведение журнала» и «Шифрование».
Сам отчет можно посмотреть здесь.
Chechov - open-source инструмент для статического анализа IaC от Terraform, Cloudformation, Kubernetes, Serverless или ARM Templates.
#report #terraform #aws #azure #gcp #dev #ops
Forwarded from CloudSec Wine
Cyber_Security_on_Azure_An_IT_Professional’s_Guide_to_Microsoft.pdf
12.1 MB
🔹Cyber Security on Azure
Cyber Security on Azure explains how this 'security as a service' (SECaaS) business solution can help you better manage security risk and enable data security control using encryption options such as Advanced Encryption Standard (AES) cryptography. Discover best practices to support network security groups, web application firewalls, and database auditing for threat protection. Configure custom security notifications of potential cyberattack vectors to prevent unauthorized access by hackers, hacktivists, and industrial spies.
#azure #literature
Cyber Security on Azure explains how this 'security as a service' (SECaaS) business solution can help you better manage security risk and enable data security control using encryption options such as Advanced Encryption Standard (AES) cryptography. Discover best practices to support network security groups, web application firewalls, and database auditing for threat protection. Configure custom security notifications of potential cyberattack vectors to prevent unauthorized access by hackers, hacktivists, and industrial spies.
#azure #literature