Security in IaC (Terraform)
В предыдущем посте упомянал тулзу cfn-nag для сканирования шаблонов CloudFormation. Сегодня рассмотрим утилиты для сканирования шаблонов Terraform
Checkov - это инструмент статического анализа кода для infrastructure-as-code. Он сканирует облачную инфраструктуру, предоставляемую с помощью Terraform, и обнаруживает неправильные конфигурации безопасности.
Terrascan - набор инструментов для статического анализа terraform шаблнов используя terraform_validate.
tfsec - аналогичная предыдущим тулза для проверки terraform шаблонов. В отличие от Terrascan проверяет шаблоны для Azure и Google
#tools #terraform #ops
В предыдущем посте упомянал тулзу cfn-nag для сканирования шаблонов CloudFormation. Сегодня рассмотрим утилиты для сканирования шаблонов Terraform
Checkov - это инструмент статического анализа кода для infrastructure-as-code. Он сканирует облачную инфраструктуру, предоставляемую с помощью Terraform, и обнаруживает неправильные конфигурации безопасности.
Terrascan - набор инструментов для статического анализа terraform шаблнов используя terraform_validate.
tfsec - аналогичная предыдущим тулза для проверки terraform шаблонов. В отличие от Terrascan проверяет шаблоны для Azure и Google
#tools #terraform #ops
Container Sec. КРОК.pdf
2.6 MB
Container Security - сравнение
Наши ребята подготовили сравнение решений по защите контейнеров из категории Enterprise.
Среди сравниваемых параметров:
1) Возможность сканирования образов
2) Возможность проверки на соответствие лучшим практикам
3) Защита среды выполнения
4) Обеспечение сетевой безопасности
5) Форензика
6) Аудит настроек
Также отдельная таблица по способу взаимодействия с контейнерами (Internet, agent, proxy) а также возможностям интеграции и поддерживаемым платформам
Сохраняем себе.
#tools #enterprise #docker #k8s #ops
Наши ребята подготовили сравнение решений по защите контейнеров из категории Enterprise.
Среди сравниваемых параметров:
1) Возможность сканирования образов
2) Возможность проверки на соответствие лучшим практикам
3) Защита среды выполнения
4) Обеспечение сетевой безопасности
5) Форензика
6) Аудит настроек
Также отдельная таблица по способу взаимодействия с контейнерами (Internet, agent, proxy) а также возможностям интеграции и поддерживаемым платформам
Сохраняем себе.
#tools #enterprise #docker #k8s #ops
Из секции, касающейся безопасной разработки, XII Уральский форум "Информационная безопасность финансовой сферы"
Дмитрий Гадарь, CISO Тинькофф Банк:
- В Тинькофф не ограничивают разработчиков по выбранной методолоогии (Agile или Waterfall).
- В качестве фреймворка мы применяем OWASP SAMM в своей практике
- Чтобы избежать false positive SAST, мы берем на выходе то, что выходит из Application Scanner, и применяем на основе этого поиск в SAST (???)
- Не допускам того, чтобы инструменты DevSecOps служили только для генерации горы отчетов
- Пристальное внимание в практике AppSec нужно уделить управлению зависимостями и внешними библиотеками
- Необходимо регулярно пересматривать видение рисков, осущесвлять их приоритизацию
Сергей Демидов, директор департамента операционных рисков и ИБ в Московской бирже:
- Все наши эксперименты с Secure CI/CD не показывают должного показателя надежности
- ИБ должен выступать мостом в диалоге между отделами ИТ
- Мы придерживаемся Waterfall, действуя по схеме "1 день в проде, 5 дней тестов", берем от DevSecOps отдельные элементы, например, анализ кода, встраиваемый по сервисной модели
Андрей Иванов, руководитель направления по развитию облачных сервисов безопасности в Яндекс.Облако:
5 элементов культуры безпоасной разработки:
- Поддержка высшего руководства
- Наличие понятных регламентов для разработчиков ( при каких условиях разработчикам требуется обращаться к ИБ)
- Обучение безопасной разработке
- Наличие опыта Application Security у безопасников как обязательное требование
- Распределение ответственности за безопасность продуктов между team-лидами.
Общие выводы:
- Security Champions имеют высокую эффективность для безопасности продукта
- Необходимо создавать обезличенные тестовые контуры с репликацией прода с автоматической раскаткой обновлений
- Password Vault (на сессии это называли секретницей) как must have
#talks #dev #ops
Дмитрий Гадарь, CISO Тинькофф Банк:
- В Тинькофф не ограничивают разработчиков по выбранной методолоогии (Agile или Waterfall).
- В качестве фреймворка мы применяем OWASP SAMM в своей практике
- Чтобы избежать false positive SAST, мы берем на выходе то, что выходит из Application Scanner, и применяем на основе этого поиск в SAST (???)
- Не допускам того, чтобы инструменты DevSecOps служили только для генерации горы отчетов
- Пристальное внимание в практике AppSec нужно уделить управлению зависимостями и внешними библиотеками
- Необходимо регулярно пересматривать видение рисков, осущесвлять их приоритизацию
Сергей Демидов, директор департамента операционных рисков и ИБ в Московской бирже:
- Все наши эксперименты с Secure CI/CD не показывают должного показателя надежности
- ИБ должен выступать мостом в диалоге между отделами ИТ
- Мы придерживаемся Waterfall, действуя по схеме "1 день в проде, 5 дней тестов", берем от DevSecOps отдельные элементы, например, анализ кода, встраиваемый по сервисной модели
Андрей Иванов, руководитель направления по развитию облачных сервисов безопасности в Яндекс.Облако:
5 элементов культуры безпоасной разработки:
- Поддержка высшего руководства
- Наличие понятных регламентов для разработчиков ( при каких условиях разработчикам требуется обращаться к ИБ)
- Обучение безопасной разработке
- Наличие опыта Application Security у безопасников как обязательное требование
- Распределение ответственности за безопасность продуктов между team-лидами.
Общие выводы:
- Security Champions имеют высокую эффективность для безопасности продукта
- Необходимо создавать обезличенные тестовые контуры с репликацией прода с автоматической раскаткой обновлений
- Password Vault (на сессии это называли секретницей) как must have
#talks #dev #ops
Безопасная разработка.КРОК.pdf
25 MB
Презентация по безопасной разработке с Уральского форума
Не знаю, как скоро презентация появится в архивах, поэтому решил опубликовать сюда.
Цель презентации была следующая - начать погружать безопасников в мир DevOps и показать способы интеграции ИБ в процесс разработки. Опыт показывает, что у многих наших заказчиков имеется слабое понимание того, что из себя представляет разработка в их экосистеме, и как безопасность может встроиться в их процессы, однако вся история с цифровизацией требует каких-то движений в этом направлении.
Презентация охватывает только enterprise, но, разумеется, все эти процессы можно выстроить с помощью open-source.
#dev #ops #talks
Не знаю, как скоро презентация появится в архивах, поэтому решил опубликовать сюда.
Цель презентации была следующая - начать погружать безопасников в мир DevOps и показать способы интеграции ИБ в процесс разработки. Опыт показывает, что у многих наших заказчиков имеется слабое понимание того, что из себя представляет разработка в их экосистеме, и как безопасность может встроиться в их процессы, однако вся история с цифровизацией требует каких-то движений в этом направлении.
Презентация охватывает только enterprise, но, разумеется, все эти процессы можно выстроить с помощью open-source.
#dev #ops #talks
Проверка образов с помощью Gitlab CI/CD
"В этой статье мы поговорим о том, как проверять образы контейнеров на платформе Gitlab CI/CD с помощью Sysdig Secure.
Образы контейнеров, которые не соответствуют политикам безопасности, определенным в Sysdig Secure, не будут опубликованы в реестре контейнеров и остановят пайплайн."
https://habr.com/ru/company/otus/blog/488866/
#dev #docker
"В этой статье мы поговорим о том, как проверять образы контейнеров на платформе Gitlab CI/CD с помощью Sysdig Secure.
Образы контейнеров, которые не соответствуют политикам безопасности, определенным в Sysdig Secure, не будут опубликованы в реестре контейнеров и остановят пайплайн."
https://habr.com/ru/company/otus/blog/488866/
#dev #docker
MicroBurst: A PowerShell Toolkit for Attacking Azure
Репозиторий с набором powershell скриптов для анализа и эксплуатации уязвимостей в Azure. Репозиторий также содержит ссылки на статьи и презентации посвещённые анализу защишености инфраструктуры Azure.
Ссылка на репозиторий: https://github.com/NetSPI/MicroBurst
Сценарий пост-эксплуатации в Azure от ребят из NETSPI (с применением MicroBurst).
Оригинальная статья со всеми деталями: https://blog.netspi.com/attacking-azure-cloud-shell/
За материал спасибо @cloud_sec
#azure #tools #ops #attack
Репозиторий с набором powershell скриптов для анализа и эксплуатации уязвимостей в Azure. Репозиторий также содержит ссылки на статьи и презентации посвещённые анализу защишености инфраструктуры Azure.
Ссылка на репозиторий: https://github.com/NetSPI/MicroBurst
Сценарий пост-эксплуатации в Azure от ребят из NETSPI (с применением MicroBurst).
Оригинальная статья со всеми деталями: https://blog.netspi.com/attacking-azure-cloud-shell/
За материал спасибо @cloud_sec
#azure #tools #ops #attack
GitHub
GitHub - NetSPI/MicroBurst: A collection of scripts for assessing Microsoft Azure security
A collection of scripts for assessing Microsoft Azure security - NetSPI/MicroBurst
Forwarded from Технологический Болт Генона
Выложены доклады с AppSec California 2020 (проходит под эгидой OWASP)
https://www.youtube.com/playlist?list=PLhaoFbw_ejdo-4nSeRKNH1pRhdfsn3CI7
Спектр тем большой: от car hacking до безопасности Kubernetes и Continuous Cloud Security Monitoring (CCSM)
Программа тут
https://2020.appseccalifornia.org/program/
https://www.youtube.com/playlist?list=PLhaoFbw_ejdo-4nSeRKNH1pRhdfsn3CI7
Спектр тем большой: от car hacking до безопасности Kubernetes и Continuous Cloud Security Monitoring (CCSM)
Программа тут
https://2020.appseccalifornia.org/program/
Gauntlt
Gauntlt - бесплатный фреймворк, который позволяет использовать популярные инструменты аудита безопасности в конвейере разработки, применяя методологию BDD (о ней упоминал ранее). Это должно помочь объединить dev, ops и sec.
Gauntlt включает "адаптеры" для следующих инструментов:
- arachni
- curl
- dirb
- Garmr
- heartbleed
- nmap
- sqlmap
- sslyze
Также можно дописывать свои адаптеры.
Ссылка на репозиторий.
Работа с Gauntlt
Презентация с AppSec USA OWASP
#tools #dev #ops
Gauntlt - бесплатный фреймворк, который позволяет использовать популярные инструменты аудита безопасности в конвейере разработки, применяя методологию BDD (о ней упоминал ранее). Это должно помочь объединить dev, ops и sec.
Gauntlt включает "адаптеры" для следующих инструментов:
- arachni
- curl
- dirb
- Garmr
- heartbleed
- nmap
- sqlmap
- sslyze
Также можно дописывать свои адаптеры.
Ссылка на репозиторий.
Работа с Gauntlt
Презентация с AppSec USA OWASP
#tools #dev #ops
DevSecOps : What, Why and How
На канал Black Hat дозалили доклады с Black Hat USA 2019, в том числе доклад "DevSecOps : What, Why and How", в котором Anant Shrivastava проходит по всему пайплану DevSecOps, приводя примеры и лучшие практики. Рекомендую.
Доклад:
https://youtu.be/DzX9Vi_UQ8o
Материалы:
https://www.blackhat.com/us-19/briefings/schedule/#devsecops--what-why-and-how-17058
#bestpractice #dev #ops
На канал Black Hat дозалили доклады с Black Hat USA 2019, в том числе доклад "DevSecOps : What, Why and How", в котором Anant Shrivastava проходит по всему пайплану DevSecOps, приводя примеры и лучшие практики. Рекомендую.
Доклад:
https://youtu.be/DzX9Vi_UQ8o
Материалы:
https://www.blackhat.com/us-19/briefings/schedule/#devsecops--what-why-and-how-17058
#bestpractice #dev #ops
Forwarded from Технологический Болт Генона
Attacking Azure, Azure AD, and Introducing PowerZure
https://posts.specterops.io/attacking-azure-azure-ad-and-introducing-powerzure-ca70b330511a
https://posts.specterops.io/attacking-azure-azure-ad-and-introducing-powerzure-ca70b330511a
CyberARK Conjur
Conjur - бесплатный password vault, приобретенный компанией CyberARK. Является прямым аналогом HashiCorp Vault. Conjur обеспечивает доступ к секретам путем жесткого контроля секретов с помощью детального контроля доступа на основе ролей (RBAC). Есть большое количество интеграций: Terraform, Jenkins, OpenShift, k8s, AWS и тд. Поставляется в виде docker-контейнера. Среди API: REST, CLI client, Java API, Go, Ruby, NET.
Имеется также entreprise-версия - CyberARK DAP. Отличительные фичи платной версии - кластеризация из коробки, веб-интерфейс, интеграция с CyberARK PAS.
Видео-демонстрация
Интеграция Conjur и OpenShift.
Пример взаимодействия с Conjur
#tools #vault #ops
Conjur - бесплатный password vault, приобретенный компанией CyberARK. Является прямым аналогом HashiCorp Vault. Conjur обеспечивает доступ к секретам путем жесткого контроля секретов с помощью детального контроля доступа на основе ролей (RBAC). Есть большое количество интеграций: Terraform, Jenkins, OpenShift, k8s, AWS и тд. Поставляется в виде docker-контейнера. Среди API: REST, CLI client, Java API, Go, Ruby, NET.
Имеется также entreprise-версия - CyberARK DAP. Отличительные фичи платной версии - кластеризация из коробки, веб-интерфейс, интеграция с CyberARK PAS.
Видео-демонстрация
Интеграция Conjur и OpenShift.
Пример взаимодействия с Conjur
#tools #vault #ops
RSA Conference 2020 - AppSec
Собрал все самое интересное с RSA Conference 2020 по выстраиванию безопасного DevOps. Некоторым тезисам планирую посвятить отдельные посты
The Impact of Software Security Practice Adoption Quantified
- ребята из Comcast написали свой фреймворк Greenhouse для визуалиции лучших практик DevSecOps и оценки степени зрелости команд. В конце презентации они рассказывают, какие практики несут наибольшую пользу для снижения рисков, а что несет только вред
DevSecOps State of the Union - Clint Gibler проанализировал кучу источников, чтобы собрать все лучшие практики в одной презентации. В конце то, от чего стоит отказаться для оптимизации времени на AppSec.
Dude, You’re Getting a Dell: Organizational Culture Shift to SDL Maturity - опыт выстраивания культуры безопасной разработки на примере огромного Dell: используемые фреймворки, выстраивание Security Champion Program и 10 ключевых шагов
Using the Hacker Persona to Build Your DevSecOps Pipeline
- про уязвимые места в DevOps пайплане для нанесения вреда инсайдерами, неосторожными разработчиками и APT, каким образом можно выявить нарушителей зная их поведение, архетипы и мотивации
#bestpractice #dev #ops
Собрал все самое интересное с RSA Conference 2020 по выстраиванию безопасного DevOps. Некоторым тезисам планирую посвятить отдельные посты
The Impact of Software Security Practice Adoption Quantified
- ребята из Comcast написали свой фреймворк Greenhouse для визуалиции лучших практик DevSecOps и оценки степени зрелости команд. В конце презентации они рассказывают, какие практики несут наибольшую пользу для снижения рисков, а что несет только вред
DevSecOps State of the Union - Clint Gibler проанализировал кучу источников, чтобы собрать все лучшие практики в одной презентации. В конце то, от чего стоит отказаться для оптимизации времени на AppSec.
Dude, You’re Getting a Dell: Organizational Culture Shift to SDL Maturity - опыт выстраивания культуры безопасной разработки на примере огромного Dell: используемые фреймворки, выстраивание Security Champion Program и 10 ключевых шагов
Using the Hacker Persona to Build Your DevSecOps Pipeline
- про уязвимые места в DevOps пайплане для нанесения вреда инсайдерами, неосторожными разработчиками и APT, каким образом можно выявить нарушителей зная их поведение, архетипы и мотивации
#bestpractice #dev #ops
YouTube
The Impact of Software Security Practice Adoption Quantified
Larry Maccherone, DevSecOps Transformation, Comcast
This talk will present research quantifying the impact that various software security practices have on security risk outcomes. Comcast has correlated practices like secure coding training, threat modeling…
This talk will present research quantifying the impact that various software security practices have on security risk outcomes. Comcast has correlated practices like secure coding training, threat modeling…
Forwarded from Технологический Болт Генона
The DevSecOps Iceberg
https://wott.io/blog/thoughts/2019/11/29/the-devsecops-iceberg
За ссылку спасибо Олегу @oleg_log
https://wott.io/blog/thoughts/2019/11/29/the-devsecops-iceberg
За ссылку спасибо Олегу @oleg_log
Kubernetes Built-in Controls Workshop
Набор заданий по безопасности Kubernetes через встроенные средства (оставшиеся с воркшопа BSidesSF 2020)
https://securek8s.dev/exercise/
#practise #ops
Набор заданий по безопасности Kubernetes через встроенные средства (оставшиеся с воркшопа BSidesSF 2020)
https://securek8s.dev/exercise/
#practise #ops
Dispatch
Dispatch - бесплатный фреймворк для работы с инцидентами от Netflix. Интегрируется с G Suite, Jira, Slack, Jira и т. д. Через dispatch можно заводить инциденты, отслеживать задачи, собирать участников, оказываать пост-инцидент проверки.
Про Dispatch из Netflix Technology Blog
Исходники
#tools #dev #ops
Dispatch - бесплатный фреймворк для работы с инцидентами от Netflix. Интегрируется с G Suite, Jira, Slack, Jira и т. д. Через dispatch можно заводить инциденты, отслеживать задачи, собирать участников, оказываать пост-инцидент проверки.
Про Dispatch из Netflix Technology Blog
Исходники
#tools #dev #ops
OFFZONE 2020
16-17 апреля 2020 года пройдет ежегодная конференция по информационной безопасности - OFFZONE, и сейчас организаторы ищут крутых докладчиков в секцию AppSec.
У вас есть исследование на тему построения безопасной архитектуры для приложений?
Вы разрабатывали процессы, интегрировали механизмы или внедряли инструменты для построения SDLC?
Вы находили секьюрити-особенности в библиотеках языков программирования или клевые баги во время bug bounty?
Если есть, что рассказать по упомянутым выше темам, и, как итог, вы хотите попасть в материалы моего канала, присылайте заявки )
Не уверены, подойдет ли ваша тема? Посмотрите, какие доклады были в 2019 году (http://bit.ly/2VrozKF).
Заявки направляйте:
- в адрес [email protected]
- через форму на https://appsec.zone/cfp
- или напрямую @tr3ska или @Mr_R1p
Подробнее:
https://offzone.moscow/ru/appsec-zone/
https://appsec.zone/
16-17 апреля 2020 года пройдет ежегодная конференция по информационной безопасности - OFFZONE, и сейчас организаторы ищут крутых докладчиков в секцию AppSec.
У вас есть исследование на тему построения безопасной архитектуры для приложений?
Вы разрабатывали процессы, интегрировали механизмы или внедряли инструменты для построения SDLC?
Вы находили секьюрити-особенности в библиотеках языков программирования или клевые баги во время bug bounty?
Если есть, что рассказать по упомянутым выше темам, и, как итог, вы хотите попасть в материалы моего канала, присылайте заявки )
Не уверены, подойдет ли ваша тема? Посмотрите, какие доклады были в 2019 году (http://bit.ly/2VrozKF).
Заявки направляйте:
- в адрес [email protected]
- через форму на https://appsec.zone/cfp
- или напрямую @tr3ska или @Mr_R1p
Подробнее:
https://offzone.moscow/ru/appsec-zone/
https://appsec.zone/
appsec.zone
Заявка на участие в AppSec.Zone 2023
Форма заявки на выступление в программе AppSec.Zone 2022
FuzzBench: Fuzzer Benchmarking As a Service
FuzzBench - автоматизированный бесплатный сервис от команды Google OSS-Fuzz, созданный для оценки работы подключенных фазеров. Чтобы использовать FuzzBench, достаточно интегрировать фаззер, и FuzzBench проведет эксперимент в течение 24 часов со многими испытаниями и реальными тестами. На основе данных этого эксперимента FuzzBench создаст отчет, сравнивающий производительность фаззера с другими, и даст представление о сильных и слабых сторонах каждого фаззера. Это должно позволить исследователям сосредоточить больше своего времени на совершенствовании методов и меньше времени на настройку оценок и работу с существующими фаззерами.
FuzzBench может использовать любой из OSS-Fuzz проектов.
#tools #dast #fuzzing #dev
FuzzBench - автоматизированный бесплатный сервис от команды Google OSS-Fuzz, созданный для оценки работы подключенных фазеров. Чтобы использовать FuzzBench, достаточно интегрировать фаззер, и FuzzBench проведет эксперимент в течение 24 часов со многими испытаниями и реальными тестами. На основе данных этого эксперимента FuzzBench создаст отчет, сравнивающий производительность фаззера с другими, и даст представление о сильных и слабых сторонах каждого фаззера. Это должно позволить исследователям сосредоточить больше своего времени на совершенствовании методов и меньше времени на настройку оценок и работу с существующими фаззерами.
FuzzBench может использовать любой из OSS-Fuzz проектов.
#tools #dast #fuzzing #dev