Service Control Policies Best Practices

Подробный пост с практическими рекомендациями Скотта Пайпера, посвященный тому, что такое Service Control Policies (SCP), распространенные ошибки, а также ряд примеров политик. Среди примеров - разрешение только утвержденных служб или регионов, запрет доступа root'а, отказ от возможности сделать VPC доступным из Интернета, защита security baseline.

https://summitroute.com/blog/2020/03/25/aws_scp_best_practices/

#aws #ops

Kissing Malware Attack

"Специалисты Aqua Security сообщают об атаках, начавшихся в последние несколько месяцев. Неизвестные злоумышленники сканируют сеть в поисках серверов Docker, использующих порты API, которые открыты для всех желающих, без паролей. Такие незащищенные хосты в итоге подвергаются компрометации: на них устанавливают майнинговую малварь под названием Kinsing."

Пост с Хакера.
Оригинальный пост с подробностями атаки

#docker #ops #attack

Безопасная разработка - подборка книг

Подписчиков за 3 месяца на канале стало заметно больше и уверен, что далеко не все успели отобрать для себя полезные книги отмеченные здесь как #literature. Самое время, чтобы вспомнить.

Безопасный DevOps. Эффективная эксплуатация систем - маст хэв для погружения в тему. Требует базовых знаний по DevOps и охватывает лишь небольшой стенд, но этого достаточно, чтобы повторить стенд у себя и разобраться, что к чему.

Agile Application Security. Enabling Security in a CD pipeline - отличная книга для погружения в организационные процессы. Можно заказать версию на русском языке.

DevOpsSec. Securing Software through Continuous Delivery - отличная вводная книга, где вы сможете прямо в PDF найти ссылки на различные инструменты и описание лучших практик

CSSLP - Certified Secure Software Lifecycle Profession - большой гайд для подготовки к экзамену от ISC2 по обеспечению безопасности SDLC.

Docker Security. Using Containers Safely in Production - обзор того, как защитить Docker

Kubernetes Security - обзор того, как защитить кластер

Epic Failures in DevSecOps. Volume 1 and 2 - если вы прочитали уже все книги, но у вас все равно куча вопросов, например, кто "вообще должен за все это отвечать", то книга может помочь ответить на некоторые вопросы

Building Web Apps that Respect a User’s Privacy and Security - про безопасность веба. Описание по ссылке.

#literature #dev #ops

"Building Secure & Reliable Systems. SRE and Security Best Practices"
Book Early Release
https://landing.google.com/sre/resources/foundationsandprinciples/srs-book/

HashiCorp Vault: Delivering Secrets with Kubernetes

Пример передачи учетных данных к базе данных из Vault в Kubernetes pod с помощью Vault Agent Side-car Injector. Демо-код.

https://medium.com/hashicorp-engineering/hashicorp-vault-delivering-secrets-with-kubernetes-1b358c03b2a3

#vault #k8s #ops

DoD Enterprise DevSecOps

Питер Рэнкс, заместитель ИТ-директора Министерства обороны по ИТ-предприятиям, сообщил, что DOD планирует представить сопроводительный документ к своему документу "DoD Enterprise DevSecOps
Reference Design," в котором будет изложено все - от концепций до инструментов, необходимых для выполнения современных практик разработки программного обеспечения.

С первой версией документа можете познакомиться во вложении.

#compliance #bestpractice #dev #ops

Stanford - Web Security

Курс Stanford по защите веб-приложений. Включает в себе видео, слайды курса, материалы для чтения и задания. Для практических упражнений курс предлагает проекты по написанию эксплойтов безопасности, защите небезопасных веб-приложений и внедрению новых веб-стандартов.

https://web.stanford.edu/class/cs253/

#web #dev #ops

Подкаст AppSec

Крутые ребята из Яндекса, Digital Security и Mail.ru создали подкаст, где обсуждают вопросы ИБ. В своем пилотном выпуске они решили начать с Bug Bounty. Всем рекомендую.

https://yangx.top/m1mo_croc

AWS IAM Access Analyzer in AWS Organizations

IAM Access Analyzer помогает понять, кто может обращаться к ресурсам, анализируя разрешения, предоставляемые с помощью политик для сегментов S3, ролей IAM, ключей KMS, функций Lambda и очередей SQS.

Для каждого анализатора вы можете создать зону доверия (учетную запись или всю организацию), которая поможет вам быстро определить, когда к ресурсам в вашей организации можно получить доступ из-за пределов вашей организации

Dive Deep into IAM Access Analyzer

#aws #ops

What I Learned Watching All 44 AppSec Cali 2019 Talks

Clint Gibler, директор по исследованиям NCC Group, посмотрел абсолютно все видео с AppSec Cali 2019 и написал большой пост по самым интересным для него темам. Все это подкреплено ссылками на видео и слайды источников. Очень много материала по выстраиванию процессов, а также упоминание различных фреймворков, что заслуживает внимания.

https://tldrsec.com/blog/appsec-cali-2019/

#bestpractice #talks #dev #ops

"Threat Modeling: Designing for Security." by Adam Shostack

Адам Шостак отвечает за моделирование угроз SDLC в Microsoft и является одним из немногих экспертов по моделированию угроз в мире. Он подробно описывает, как с самого начала встроить безопасность в проектирование систем и ПО, объясняет различные подходы к моделированию угроз, предоставляет методы, которые были проверены в Microsoft и предлагает практические советы, не связанные с каким-либо конкретным программным обеспечением, операционной системой или языком программирования.

#literature #threatmodeling #dev #ops

Интересная история о битве с Docker Registry от господина @sab0tag3d:

Я часто использую словарь уважаемого Бума (https://github.com/Bo0oM/fuzz.txt) для брута веб-директорий и поиска низковисящих багов.

В этот раз во время внешнего пентеста, я нашел директорию https://example.com:5000/v2/_catalog в которой был примерно следующий список:


{"repositories":["centos.6.10","centos_temp","example.com/jenkins","example.com/ubuntu16.04"]}

Выяснив, что это Docker API, я решил копнуть дальше и просмотреть, что этот может быть, и наткнулся на отличную статью https://www.notsosecure.com/anatomy-of-a-hack-docker-registry/
С помощью утилиты, упомянутой в статье, я скачал образ контейнера jenkins.

Внутри разработчики заботливо приложили sh-скрипт, наверное, для удобства:

$ cat start_point.sh
#! /bin/bash -e
mkdir -p /var/jenkins_home/.ssh
mv /usr/share/jenkins/ref/.ssh/id_rsa /var/jenkins_home/.ssh
chmod 600 /var/jenkins_home/.ssh/id_rsa


Я сразу обрадовался, что возможно нашел приватный ключ, и начал пробовать его использовать на всех хостах в сети, но безуспешно.
Но потом до меня дошло, что нужно заглянуть в директорию /usr/share/jenkins/ref/.ssh, (ну кому прийдет в голову класть в эту папку что-то кроме ключей).
Вот примерный список что там нашлось: Дополнительный набор приватных ssh-ключей, а также пароли от ssh к хостам, если вдруг что-то пойдет не так, тестовые пароли: от JIRA, BUGZILLA и кучи сервисов о назначении который я могу только догадываться.

Резюме от автора канала: Мораль этой истории должна быть понятна каждому,  registry и печень надо беречь с молодости.

Appsecco training course

На просторах твиттера начали появляться в большом количестве материалы от Appsecco. Это компания, которая занимается консалтингом по безопасности приложений и проведением тренингов (не в России). На фоне пандемии они собрали свои обучающие материалы в общедоступных репах. В частности вы найдете описание и сценарии атак на Kubernetes, Docker и способы защиты AWS и Azure с полезными ссылками.

Attacking and Auditing Dockers Containers and Kubernetes Clusters

Breaking and Pwning Apps and Servers on AWS and Azure

#practise #ops #attack

Выложены доклады с OffensiveCon20

https://www.youtube.com/playlist?list=PLYvhPWR_XYJnX_sscErznYqwBrIhuS08O

Очень крутая конференция про эксплуатацию уязвимостей. Из того, что мне показалось интересно и наиболее релевантно к тематике продуктовой безопасности:

No Clicks Required: Finding Remote Vulns in Messaging Apps

No Clicks Required: Exploiting Memory Corruption Vulns in Messenger Apps

- Про "0-click" эксплоиты в приложении для обмена сообщениями. «0-click» эксплоиты не требуют взаимодействия с пользователем для взлома мобильного устройства. Кстати Apple платит 1 млн $ за такие уязвимости в iPhone.

#talks

Оказывается не так давно Aqua опубликовала полную версию книги. В конце есть чеклист.
#literature #ops

Liz Rice. Container Security: Fundamental Technology Concepts that Protect Containerized Applications. April 2020.

Другая её книга в сооавторстве - https://yangx.top/tech_b0lt_Genona/265

Kubernetes Security monitoring at scale with Sysdig Falco

Sysdig Falco - open-source версия Sysdig для обеспечения безопасности среды контейнеризации. Есть контроль контейнеров в режиме run-time и k8s audit. Sysdig Falco в частности проверяет хост на предмет появления дочерних процессов и контролирует чувствительные данные вроде /etc/shadow. Собственно все то, что может являться примером первых действий, которые злоумышленник предпримет, если ему удастся получить доступ к инфраструктуре. В статье в частности можете прочитать про опыт мониторинга безопасности k8s с помощью Sysdig Falco.

https://medium.com/@SkyscannerEng/kubernetes-security-monitoring-at-scale-with-sysdig-falco-a60cfdb0f67a

#tools #docker #k8s #ops

Подробный рассказ с примером встраивания сканера безопасности веб-приложений OWASP ZAP (https://www.zaproxy.org/) в GitHub Actions.

DevSecOps goodness with Github actions and OWASP ZAP
https://www.youtube.com/watch?v=oXRdejqwBwc

Приложение в демке и примеры запуска Actions - https://github.com/we45/Vulnerable-Flask-App/actions

ЗЫ Статья на Medium с описанием как встроить ZAP в Azure Pipeline

How to run OWASP ZAP Security Tests Part of Azure DevOps CI/CD Pipeline
https://medium.com/@ganeshsirsi/how-to-run-owasp-zap-security-tests-part-of-azure-devops-ci-cd-pipeline-484da8793a12