Безопасность облачных решений
26 мая 17:00 МСК

Программа и спикеры:

1. Антон Жаболенко, Яндекс.Облако – Использование seccomp для защиты облачной инфраструктуры
В докладе мы поговорим про seccomp — механизм ядра Linux, который позволяет ограничивать доступные приложению системные вызовы. Мы наглядно покажем, как данный механизм позволяет сокращать поверхность атаки на систему, а также расскажем, как его можно использовать для защиты внутрненней инфраструктуры облака.

2. Вадим Шелест, Digital Security –  Облачный пентест: Методики тестирования Amazon AWS
В настоящее время все больше компаний задумывается о переходе на использование облачной инфраструктуры. Некоторые хотят таким образом оптимизировать затраты на техническое обслуживание и персонал, другие считают, что облако более защищено от атак злоумышленников и безопасно по умолчанию.

3. Спикер из Wrike – TBA

4. Алмас Журтанов, Luxoft – BYOE на минималках
Проблема защиты персональных данных при использовании SaaS-решений уже долгое время беспокоит ИБ-специалистов по всему миру. Даже при максимальной защите от внешних нарушителей, возникает вопрос о степени контроля провоайдера SaaS-платформы над обрабатываемыми платформой данными. В этом докладе я хотчу рассказать о простом способе минимизировать доступ провайдера SaaS к данным клиентов путём внедрения прозрачного шифрования данных на стороне клиента и рассмотрим плюсы и минусы такого решения.

5. TBA 

Регистрация
https://wriketeam.timepad.ru/event/1303270/

MITRE ATT&CK for DevOps

MITRE ATT&CK - фреймворк для описания поведения злоумышленника на разных стадиях реализации атаки. Фреймворк позволяет описать, какие цели и способы реализации атаки есть у злоумышленника на ту или иную систему.

MITRE ATT&CK Cloud martix:
- AWS
- GCP
- Azure
- Azure AD
- SaaS

MITRE ATT&CK Kubernetes

Интересно то, что в блоге компании Sysdig можно найти пост с матрицей атак, направленных на контейнеры во время их исполнения (run-time). Кликнув на конкретный способ, сайт переводит на правила инструмента Falco на GitHub и конкретную строку кода, которая отвечает за защиту от этой атаки. -

MITRE ATT&CK Container Runtime

А еще есть такие инструменты как METTA, RTA, Atomic-red-team. Они позволяют выполнять тесты безопасности в формате MITRE ATT&CK. Пример для Linux.

#tools #threatmodeling #dev #ops #attack

Обучение (BSIMM - Governance, Training)

Завершил перевод первой части BSIMM, посвященой управлению процессом SSDLC, а именно разделу про обучение сотрудников.

BSIMM гласит, что даже незрелым организациям будет полезно иметь внутренние электронные ресурсы для обучения сотрудников безопасному коду с элементами геймификации. Для более зрелых организаций приемлемо проводить мероприятия с привлечением внешних спикеров, а также учитывать историю собственной компании в своих внутренних курсах. Наконец, для самых зрелых организаций полагается обучение внешних подрядчиков на уровне своих сотрудников, организация массовых мероприятий, ежегодное повышение квалификации и поиск спутников (чемпионов) через их заслуги.

О том, что такое BSIMM

Подробнее про обучение:
https://github.com/dvyakimov/BSIMM_ru/blob/master/Governance/Training.md

#bsimm #dev #ops

OpenRASP - Runtime Application Self-Protection

OpenRASP - бесплатный open-source проект для защиты веб-приложений китайской компании Baidu Security, которая тесно сотрудничает с OWASP. В отличие от WAF, OpenRASP интегрируется напрямую с сервером приложения, отслеживая обращения к базе данных, файловые операции, сетевые запросы и тд. Инструмент регистрирует события в формате JSON.

#tools #web #ops

​​Безопасность EKS — лучшие практики:

https://aws.github.io/aws-eks-best-practices/

Сетевая безопасность, защита подов, инфраструктура, compliance и так далее. Рекомендации, ссылки на другие ресурсы и инструменты.

Отличный, комплексно и качественно выполненный документ. Безопасникам — однозначно в закладки.

#security #best_practices #EKS

Application Security - процедура взаимодействия

Наиболее частая проблема, с которой мы сталкиваемся при проведении аудита процессов разработки - непонимание того, как организовать процедуру взаимодействия между отделом разработки и безопасности.
Как следствие возникают следующие вопросы:
- Как должен проходить архитектурный контроль со стороны ИБ?
- В какой момент осуществлять моделирование угроз? Как?
- Кто должен отвечать за безопасность кода? Должны ли ответственные присутствовать на всех спринтах?
- Как учитывать ИБ в user stories ?
и тд.

При этом немало заказчиков понимают важность встраивания инструментов безопасности в свой CI/CD.

По этому поводу я прикрепил пример эскиза, который мы готовили в рамках написания концепции.

Из материалов, которые также могут помочь, мне нравится доклад Netflix:
A Pragmatic Approach for Internal Security Partnerships

Книга:
"Agile Application Security. Enabling Security in a CD pipeline"

#dev #ops #talks

Друзья, по этому поводу хочу, чтобы вы также поделились тем, каким образом происходит взаимодействие AppSec и разрабов в вашей компании, какие процедуры выполняются по части безопасности приложения при разработке нового продукта и поддержания старого, какие документы вам в этом помогают. Это также могут быть и проблемы, и то, что вам кажется выстроено неправильно.

Пишите в лс, заодно познакомимся:
@dvyakimov

#talks

Metrics, KPIs, and Application Security

Вчера общался с Максимом Мошаровым (@httpnotonly), основателем компании WhiteSpots. Они занимаются аутсорсом безопасности приложений для зарубежных компаний. Основная цель разговора была обсудить лучшие практики, применяемые для организации процессов безопасной разработки.

Максим поделился довольно интересной статьей от HP -

"Magic Numbers . 5 Key Performance Indicators for Web Application Security"

Среди описываемых метрик довольно простой, но, кажется, что эффективной является WRT (Weighted Risk Trend).

WRT = [X(critical)*defects + X(high)*defects + X(medium)*defects + X(low)*defects]* Criticality(business)

Где critical/high/medium/low - метрики CVSS, а Criticality - коэффициент критичностти приложения для бизнеса. Метрики CVSS можно получить из результатов сканирования или дефект-трекера. Складывая WRT всех приложений и определяя ее граничное значение можно обозначить порог, при котором имеет смысл отправить алерт.

#bestpractice #ops #dev

Secure the software development lifecycle with machine learning

Немного ML и математики.

В Microsoft 47 000 разработчиков генерируют около 30 тысяч ошибок в месяц. Информация о них хранится в более чем 100 хранилищах Azure DevOps и GitHub. При этом многие баг репорты ограничены только названием в силу содержания в них конфиденциальной информации. Команда Microsoft представила модель машинного обучения, которая различает ошибки в 99% случаев и точно определяет критические и высокоприоритетные ошибки в 97% случаев. Классификация происходит только на основе заголовков багов.

https://docs.microsoft.com/en-us/security/engineering/identifying-security-bug-reports

Для тех, кто заинтересовался ML в Security:
Книга "Machine Learning and Security: Protecting Systems with Data and Algorithms (2018)"

#dev #ops

Securing K8s Ingress Traffic with HashiCorp Vault PKIaaS and JetStack Cert-Manager

Статья о том, как автоматизировать создание и управление жизненным циклом сертификатов TLS в Kubernetes с помощью HashiCorp Vault и его механизма PKI, а также JetStack cert-manager.

https://medium.com/hashicorp-engineering/securing-k8s-ingress-traffic-with-hashicorp-vault-pkiaas-and-jetstack-cert-manager-cb46195742ca

#k8s #vault #ops

Continuous Secure Delivery - Secure code Box

SecureCodeBox - open-source фреймворк, объединяющий несколько бесплатных инсрументов сканирования (ZAP, NMAP, Nikto, Arachni), собранных вместе в docker-compose в связке с kibana и elasticsearch. В отличие от того же DefectDojo, здесь все инструменты развертываются вместе с решением, и репорты из сканеров подтягиваются сами (не нужно писать скрипты для автоматической отправки issue в сборщик). Также можно запускать сканирование всех заявленных инструментов из UI. На текущий момент инструменты направлены исключительно на тестирование веба.

Несмотря на кажущуюся простоту развертывания и работы, разработчики заявляют, что это не one-button-click-solution и требуется глубокое понимание для настройки сканеров.

#web #tools #ops #dev

Authentication Token Obtain and Replace (ATOR) Burp Plugin

ATOR - полезный плагин для Burp, позволяющий прорабатывать сценарии атак, задействующие CSRF токены, API, использующие токены аутентификации, JWT, чего как правило не умеют делать автоматизированные сканеры веб-приложений.

Подробнее про работу плагина и то, как им пользоваться.

Помимо RedTeam, Burp также активно применяется в качестве DAST для тестирования веб-приложений. Вот список других полезных для него плагинов (есть в том числе на проверку AWS):

Список полезных плагинов для BurpSuite

Интеграция Burp Suite в CI/CD (Jenkins)

#tools #dast #web #dev #attack

Разбираемся с Threat Modelling вместе с Jim Gumbley и богом Мартина Фаулера

#security

Salus (Security Automation as a Lightweight Universal Scanner)

Salus - инструмент для централизованного управления статическими сканерами и инструментами проверки зависимостей. В число интегрированного open-source ПО: Bandit, BundleAudit, Brakeman, npm audit, yarn audit, semgrep, PatternSearch, gosec. Таким образом, Salus позволяет проверять проекты, написанные на Ruby, Node, Python и Go.

Сам Salus поставляется в виде единого контейнера (а еще он имеет интеграцию с Circle CI и может запускаться как Github Action)

#tools #sast #sca #dev

Container Security 101 — Scanning images for Vulnerabilities

Part 1 — Introduction and AWS Native Image Scanning
https://medium.com/faun/container-security-101-scanning-images-for-vulnerabilities-d25c9a7d02f5

Part 2 — Docker Trusted Registry Scanning
https://medium.com/faun/container-security-101-scanning-images-for-vulnerabilities-28391ee7170e

Part 3 — Scanning Images for Vulnerabilities with Trivy.
https://medium.com/faun/container-security-101-scanning-images-for-vulnerabilities-8030af2441ba

OAuth: Security

Краткий обзор OAuth 2.0 и то, как его можно неправильно реализовать с точки зрения безопасности. Обзор следующих типовых ошибок: слабая redirect_uri конфигурация, неправильная обработка параметра состояния, назначение УЗ на основе e-mail и раскрытие секретов (client_secret)

https://medium.com/a-bugz-life/the-wondeful-world-of-oauth-bug-bounty-edition-af3073b354c1

Обзор атаки Mix-Up Attack на OAuth. Это атака, при которой злоумышленник может убедить клиента отправить учетные данные (код или токен) на сервер злоумышленника. Статья также поможет докрутить принудительные запросы для обеспечения защиты.

https://danielfett.de/2020/05/04/mix-up-revisited/

Все, что нужно знать об OAuth с точки зрения ИБ:

https://maxfieldchen.com/posts/2020-05-17-penetration-testers-guide-oauth-2.html

#bestpractice #dev #attack

Finding secrets in repositories

truffleHog - open-source инструмент для поиска открытых секретов в репозиториях на GitHub. Инструмент просматривает всю история коммитов каждой ветки, проверяя каждый diff из каждого коммита на наличие секретов. Кстати, truffleHog для поиска секретов использует анализ энтропии Шеннона.

Среди его аналогов - defect-secrets, GitGuardian, о котором я писал ранее.

Дополнительно:
Раскрытие секретов на GitHub: что делать после утечки учетных данных и ключей API

LeakLooker - скрипт + веб-интерфейс для постоянного поиска утечки открытых баз данных и сервисов.

#secret #dev