Attacking Azure, Azure AD, and Introducing PowerZure
https://posts.specterops.io/attacking-azure-azure-ad-and-introducing-powerzure-ca70b330511a

CyberARK Conjur

Conjur - бесплатный password vault, приобретенный компанией CyberARK. Является прямым аналогом HashiCorp Vault. Conjur обеспечивает доступ к секретам путем жесткого контроля секретов с помощью детального контроля доступа на основе ролей (RBAC). Есть большое количество интеграций: Terraform, Jenkins, OpenShift, k8s, AWS и тд. Поставляется в виде docker-контейнера. Среди API: REST, CLI client, Java API, Go, Ruby, NET.

Имеется также entreprise-версия - CyberARK DAP. Отличительные фичи платной версии - кластеризация из коробки, веб-интерфейс, интеграция с CyberARK PAS.

Видео-демонстрация
Интеграция Conjur и OpenShift.
Пример взаимодействия с Conjur

#tools #vault #ops

RSA Conference 2020 - AppSec

Собрал все самое интересное с RSA Conference 2020 по выстраиванию безопасного DevOps. Некоторым тезисам планирую посвятить отдельные посты

The Impact of Software Security Practice Adoption Quantified
- ребята из Comcast написали свой фреймворк Greenhouse для визуалиции лучших практик DevSecOps и оценки степени зрелости команд. В конце презентации они рассказывают, какие практики несут наибольшую пользу для снижения рисков, а что несет только вред

DevSecOps State of the Union - Clint Gibler проанализировал кучу источников, чтобы собрать все лучшие практики в одной презентации. В конце то, от чего стоит отказаться для оптимизации времени на AppSec.

Dude, You’re Getting a Dell: Organizational Culture Shift to SDL Maturity - опыт выстраивания культуры безопасной разработки на примере огромного Dell: используемые фреймворки, выстраивание Security Champion Program и 10 ключевых шагов

Using the Hacker Persona to Build Your DevSecOps Pipeline
- про уязвимые места в DevOps пайплане для нанесения вреда инсайдерами, неосторожными разработчиками и APT, каким образом можно выявить нарушителей зная их поведение, архетипы и мотивации

#bestpractice #dev #ops

The DevSecOps Iceberg
https://wott.io/blog/thoughts/2019/11/29/the-devsecops-iceberg

За ссылку спасибо Олегу @oleg_log

Kubernetes Built-in Controls Workshop

Набор заданий по безопасности Kubernetes через встроенные средства (оставшиеся с воркшопа BSidesSF 2020)

https://securek8s.dev/exercise/

#practise #ops

Dispatch

Dispatch - бесплатный фреймворк для работы с инцидентами от Netflix. Интегрируется с G Suite, Jira, Slack, Jira и т. д. Через dispatch можно заводить инциденты, отслеживать задачи, собирать участников, оказываать пост-инцидент проверки.

Про Dispatch из Netflix Technology Blog
Исходники

#tools #dev #ops

OFFZONE 2020

16-17 апреля 2020 года пройдет ежегодная конференция по информационной безопасности - OFFZONE, и сейчас организаторы ищут крутых докладчиков в секцию AppSec.

У вас есть исследование на тему построения безопасной архитектуры для приложений?

Вы разрабатывали процессы, интегрировали механизмы или внедряли инструменты для построения SDLC?

Вы находили секьюрити-особенности в библиотеках языков программирования или клевые баги во время bug bounty?

Если есть, что рассказать по упомянутым выше темам, и, как итог, вы хотите попасть в материалы моего канала, присылайте заявки )

Не уверены, подойдет ли ваша тема? Посмотрите, какие доклады были в 2019 году (http://bit.ly/2VrozKF).

Заявки направляйте:
- в адрес [email protected]
- через форму на https://appsec.zone/cfp
- или напрямую @tr3ska или @Mr_R1p

Подробнее:
https://offzone.moscow/ru/appsec-zone/
https://appsec.zone/

FuzzBench: Fuzzer Benchmarking As a Service

FuzzBench - автоматизированный бесплатный сервис от команды Google OSS-Fuzz, созданный для оценки работы подключенных фазеров. Чтобы использовать FuzzBench, достаточно интегрировать фаззер, и FuzzBench проведет эксперимент в течение 24 часов со многими испытаниями и реальными тестами. На основе данных этого эксперимента FuzzBench создаст отчет, сравнивающий производительность фаззера с другими, и даст представление о сильных и слабых сторонах каждого фаззера. Это должно позволить исследователям сосредоточить больше своего времени на совершенствовании методов и меньше времени на настройку оценок и работу с существующими фаззерами.

FuzzBench может использовать любой из OSS-Fuzz проектов.

#tools #dast #fuzzing #dev

Shift WAF left

F5 Days - конференция, которая проходит под эгидой F5 Networks, на которой наш ведущий инженер Александр Бутенко должен был выступать с докладом по встраиванию F5 в CI/CD на этапах тестов. К сожалению, так получилось, что конференция была отменена из-за небезызвестного вируса. Я решил, что материалу надо дать шанс на ознакомление, поэтому прикладываю его к посту.

Основные тезисы:
- прорабатываем и публикуем политики защиты WAF на этапах test фокус-группами или специалистами ИБ
- формируем эффективные политики за счет усечения фокус-группами веб-запросов, генерируемых dev-тестами + обучение WAF

#WAF #bestpractice #dev #ops

"A Survey of Istio's Network Security Features"

Очень полезная статья про аспекты безопасности Istio. Статья охватывает следующее: что из себя представляет самый популярный service mesh, развертывание, анализ безопасности, а именно IPv6, Matual TLS, Engress restrictions.

https://research.nccgroup.com/2020/03/04/a-survey-of-istios-network-security-features/

#article #k8s #ops

Когда видишь такое, хочется переименовать канал в Secure DevOps...

Следующим постом будет то, откуда я это взял

"Information Security
Management through
Reflexive Security" by CSA

Документ определяет понятие рефлексивной безопасности (Reflexive Security) как новый подход к управлению ИБ, основанный на принципах Agile и DevOps. Reflexive Security подчеркивает безопасность между организационными ролями, которая реагирует на внешние и внутренние угрозы гибким и динамичным способом. Reflexive Security призван стать новой стратегией управления информационной безопасностью, которая является динамичной, интерактивной, эффективной и целостной по сравнению с традиционными (СУИБ)

#law #report #dev #ops

CIFuzz

Еще немного о фаззинге.
CIFuzz - новый инструмент, который позволяет встроить OSS-Fuzz в CI для проектов размещенных на GitHub. По умолчанию время фаззинга равно 10 минутам.

Пример:
https://github.com/curl/curl/runs/477810777?check_suite_focus=true

#tools #fuzzing #dast #dev

SAMM v2

Не так давно вышла новая версия модели оценки зрелости безопасности ПО от OWASP - SAMM (Software Assurance Maturity Model). До этого я писал, что этой моделью пользуется большое количество зрелых компаний, в том числе Тинькофф, но что означает выход новой версии?

Что входит в SAMM v2:
1) Важные изменение в самой модели SAMM: появились новые этапы Implementation, Operations с упором на современные практики безопасного DevOps. Construction стал этапом Design.
2) Небольшой quick-start guide для того, чтобы поверхностно познакомиться с фреймворком
3) OWASP SAMM Toolbox. Это эксель-файл, который позволяет выполнить самооценку компании. Выполнив самооценку, можно будет перейти к установке целей для улучшения (согласно фрейморвку) и приступить к отслеживанию дорожной карты. Версия тулбокса есть еще в онлайн.
4) Новая система SAMM Benchmark для сравнения вашей зрелости со схожими организациями.

Модель OWASP SAMM онлайн
Модель OWASP SAMM PDF
Все что нужно знать про SAMM v2 - видео

#bestpractice #checklist #dev #ops

Personal Security Checklist

Тут @oleg_log поделился чек-листом по обеспечению безопасности себя и своих данных - почта, персональный компьютер, смартфон, умный дом, работа в сети и т.д.

Оффтоп какой он должен быть...

https://github.com/Lissy93/personal-security-checklist

#checklist

Kubernetes Security Mindmap

#k8s #tools #ops

"Kubernetes Security" by Liz Rise, Michael Hausenblas

В книге разбираются концепции безопасности k8s, включая глубокую защиту, минимальные привилегии и ограничение поверхности атаки. Обзор того, как защитить кластер, как Kubernetes использует аутентификацию и авторизацию. Книга научит, как защищать образы контейнеров от известных уязвимостей и злоупотреблений со стороны третьих лиц, применять политики на уровне времени выполнения контейнеров, а также на уровне сети, даст краткое изложение того, как обрабатывать конфиденциальную информацию.

В дополнение от себя вот классный ресурс для тех кто хочет побольше узнать о безопасности k8s:
https://kubernetes-security.info/

#literature #k8s #ops

Как автоматизировать безопасность контейнеров в стиле Policy as Code с помощью CRD

Внедрение Kubernetes custom resource definitions (CRDs) позволит решить вопросы с определением политик безопасности как кода на первоначальном этапе сборки и выкатки приложений, автоматизировать их применение при выкатке приложений в продакшен-среду.

CRD можно использовать для внедрения глобальных политик безопасности, которые определяют поведение приложений и настраивают безопасность нескольких используемых кластеров Kubernetes

https://habr.com/ru/company/mailru/blog/490796/

#k8s #article #ops

Security along the Container-based SDLC

Большая подборка из 71 open-source инструментов, встраиваемых в Container-based SDLC: SAST, DAST, WAF, IAM, всевозможные сканнеры кофигураций, PKI (даже sandboxing есть). Заслуживает того, чтобы сохранить себе.

https://holisticsecurity.io/2020/02/10/security-along-the-container-based-sdlc

#tools #ops #dev

BSIMM

Building Security In Maturity Model (BSIMM) - модель оценки безопасности жизненного цикла ПО, результат сбора лучших практик за несколько лет от более чем 100 различных организаций. Основная цель - количественная оценка действий, осуществляемых реальными инициативами в области безопасности программного обеспечения, чтобы помочь более широкому сообществу разработчиков программного обеспечения безопасности планировать, осуществлять и оценивать собственные инициативы.

Модель включает 119 видов деятельности, сгруппированных в четыре области: Управление (Governance) , Сведения (Intelligence), Точки взаимодействия SSDL (SSDL Touchpoints) и Развертывание (Deployment). Каждая область разделена на 3 уровня в зависимости от степени зрелости организации.

В силу того, что на текущий момент BSIMM не переведен на русский, но представляет большую ценность для грамотного выстраивания процессов, я решил взяться за перевод фреймворка. Об этом в следующем посте.

#bsimm #bestpractice #checklist #dev #ops

Стратегия и метрики (BSIMM - Governane, Strategy & Metrics)

Первый блок в Governance посвящен практике «Стратегия и метрики» и включает планирование, распределение ролей и обязанностей, определение целей безопасности программного обеспечения, определение бюджетов, а также определение метрик и гейтов.

Выложил перевод первого блока на Github. У меня не стояла цель сделать максимально дословный перевод. Первостепенно я хотел предоставить возможность быстро ориентировоться во фреймворке, чтобы, в случае чего, оперативно найти нужный тезис в оригинале. По этой причине в репозитории вы можете найти майнд-карту Xmind для удобства использования, и по этой же причине вы не найдете некоторых предложений, которые есть в первоисточнике.

https://github.com/dvyakimov/BSIMM_ru

#bsimm #dev #ops