bookface.gif
56.9 MB
Materialize threats tool
materialize_threats - любопытный open-source инструмент для моделирования угроз на базе STRIDE.
Сценарий работы с ним следующий:
1. Создание диаграммы взаимодействия компонентов в .drawio, согласно вашему data flow
2. Выделение доверенных зон на диаграмме, согласно Rapid Threat Model Prototyping methodology (в readme есть пояснение)
3. Сохранение файла .drawio
4. Запуск materialize.py с импортом файла .drawio
5. Получение сценария реалзиации угроз в формате Gherkin
Пока что инструмент для прода не пригоден, но внимания определенно заслуживает. Похожая схема моделирования угроз работает в Enterpise решении irius risks.
#tools #threatmodeling #dev #ops
materialize_threats - любопытный open-source инструмент для моделирования угроз на базе STRIDE.
Сценарий работы с ним следующий:
1. Создание диаграммы взаимодействия компонентов в .drawio, согласно вашему data flow
2. Выделение доверенных зон на диаграмме, согласно Rapid Threat Model Prototyping methodology (в readme есть пояснение)
3. Сохранение файла .drawio
4. Запуск materialize.py с импортом файла .drawio
5. Получение сценария реалзиации угроз в формате Gherkin
Пока что инструмент для прода не пригоден, но внимания определенно заслуживает. Похожая схема моделирования угроз работает в Enterpise решении irius risks.
#tools #threatmodeling #dev #ops
Sandboxing and Workload Isolation
В сегодняшней статье речь пойдет об изоляции рабочих нагрузок в контейнерной среде для сокращения поверхности атаки. Автор статьи расскажет, какие решения были рассмотрены для выбора песочницы и почему был выбран Firecracker. В статье также можно почитать, почему не подходит метод разделения привилегий, что, по его мнению, стоит изолировать в песочнице, а также, что такое Lightweight Virtualization и Kata Containers и какие есть подводные камни. В статье также упоминаются песочницы nsjail и minijail от Google, песочницы от Cloudflare.
Вот также небольшое исследование про Firecrecker: Lightweight Virtualization for Serverless Applications.
https://fly.io/blog/sandboxing-and-workload-isolation/
#tools #docker #k8s ops
В сегодняшней статье речь пойдет об изоляции рабочих нагрузок в контейнерной среде для сокращения поверхности атаки. Автор статьи расскажет, какие решения были рассмотрены для выбора песочницы и почему был выбран Firecracker. В статье также можно почитать, почему не подходит метод разделения привилегий, что, по его мнению, стоит изолировать в песочнице, а также, что такое Lightweight Virtualization и Kata Containers и какие есть подводные камни. В статье также упоминаются песочницы nsjail и minijail от Google, песочницы от Cloudflare.
Вот также небольшое исследование про Firecrecker: Lightweight Virtualization for Serverless Applications.
https://fly.io/blog/sandboxing-and-workload-isolation/
#tools #docker #k8s ops
GitHub
GitHub - firecracker-microvm/firecracker: Secure and fast microVMs for serverless computing.
Secure and fast microVMs for serverless computing. - firecracker-microvm/firecracker
Holistic.dev - static sql analyzer
Пока еще продолжает идти хайп на Flipper Zero, предлагаю посмотреть на также весьма интересный молодой проект.
Holistic.dev - это статический анализатор в виде SaaS. Принимает на вход схемы DBA, после чего выводит результаты, сообщающие проблемы как в производительности, так и в безопасности. Так, например, сервис может предотвратить утечку данных или сообщить о наличии запросов, требующих чрезмерное количество данных.
На данный момент сервис бесплатный, поддерживается синтаксис Postgresql до 13 версии включительно.
Подробнее вы можете прочитать в заметках автора проекта в телеграм-канале. У @antonrevyako в планах развивать проект, увеличить число правил и поддерживаемых БД, после чего попытаться внедрить сервис в популярные облачные провайдеры.
#tools #sast #dev
Пока еще продолжает идти хайп на Flipper Zero, предлагаю посмотреть на также весьма интересный молодой проект.
Holistic.dev - это статический анализатор в виде SaaS. Принимает на вход схемы DBA, после чего выводит результаты, сообщающие проблемы как в производительности, так и в безопасности. Так, например, сервис может предотвратить утечку данных или сообщить о наличии запросов, требующих чрезмерное количество данных.
На данный момент сервис бесплатный, поддерживается синтаксис Postgresql до 13 версии включительно.
Подробнее вы можете прочитать в заметках автора проекта в телеграм-канале. У @antonrevyako в планах развивать проект, увеличить число правил и поддерживаемых БД, после чего попытаться внедрить сервис в популярные облачные провайдеры.
#tools #sast #dev
Pysa: An open source static analysis tool to detect and prevent security issues in Python code
Статья от Facebook о работе их open source статического анализатора кода на Python - Pysa, которого они используют для поиска дефекта кода Instagram. Немного рассказывают про то, как Pysa обнаруживает фолзы, и как работает data flow analysis. В документации Pysa позиционируется как performant type checker. Pysa интегрируется с VSCode, но как и в Bandit результаты не приводятся к CWE, что нередко вызывает сложности при менеджменте дефектов.
https://www.facebook.com/notes/protect-the-graph/pyre-fast-type-checking-for-python/2048520695388071/
#sast #tools #dev
Статья от Facebook о работе их open source статического анализатора кода на Python - Pysa, которого они используют для поиска дефекта кода Instagram. Немного рассказывают про то, как Pysa обнаруживает фолзы, и как работает data flow analysis. В документации Pysa позиционируется как performant type checker. Pysa интегрируется с VSCode, но как и в Bandit результаты не приводятся к CWE, что нередко вызывает сложности при менеджменте дефектов.
https://www.facebook.com/notes/protect-the-graph/pyre-fast-type-checking-for-python/2048520695388071/
#sast #tools #dev
Facebook
Log in or sign up to view
See posts, photos and more on Facebook.
AWS Exposable Resources
FestIN - open source инструмент для поиска открытых S3 Buckets. Поиск осуществляется как из DNS и веб-страниц (crawling), так и из самих S3, не требуя при этом креды AWS.
Сразу расскажу про Smogcloud - open source инструмент, представленный на Black Hat USA 2020, для анализа AWS ассетов. Кроме поиска теневых IP и неправильных настроек, Smogcloud умеет находить торчящие в Интернет FQDN и IP.
И, наконец, репозиторий, который поможет разобраться, какие ресурсы должны быть открыты для публичного доступа, а какие нет.
#aws #tools #secret #ops
FestIN - open source инструмент для поиска открытых S3 Buckets. Поиск осуществляется как из DNS и веб-страниц (crawling), так и из самих S3, не требуя при этом креды AWS.
Сразу расскажу про Smogcloud - open source инструмент, представленный на Black Hat USA 2020, для анализа AWS ассетов. Кроме поиска теневых IP и неправильных настроек, Smogcloud умеет находить торчящие в Интернет FQDN и IP.
И, наконец, репозиторий, который поможет разобраться, какие ресурсы должны быть открыты для публичного доступа, а какие нет.
#aws #tools #secret #ops
GitHub
GitHub - cr0hn/festin: FestIn - Open S3 Bucket Scanner
FestIn - Open S3 Bucket Scanner. Contribute to cr0hn/festin development by creating an account on GitHub.
Securing Your Terraform Pipelines with Conftest, Regula, and OPA
Между тем, использование Open Policy Agent набирает обороты. Сегодня статья про использование OPA в связке с Conftect и Regula для оценки конфигурации Terraform в AWS.
https://dev.to/prince_of_pasta/securing-your-terraform-pipelines-with-conftest-regula-and-opa-4hkh
OPA использует Rego язык для определения политик. К вашему вниманию также бесплатный курс по OPA Policy Authoring.
#tools #terraform #aws #ops #opa
Между тем, использование Open Policy Agent набирает обороты. Сегодня статья про использование OPA в связке с Conftect и Regula для оценки конфигурации Terraform в AWS.
https://dev.to/prince_of_pasta/securing-your-terraform-pipelines-with-conftest-regula-and-opa-4hkh
OPA использует Rego язык для определения политик. К вашему вниманию также бесплатный курс по OPA Policy Authoring.
#tools #terraform #aws #ops #opa
www.openpolicyagent.org
Introduction | Open Policy Agent
The Open Policy Agent (OPA, pronounced "oh-pa") is an open source,
Mechanizing the Methodology: How to find vulnerabilities while you’re doing other things
Доклад с DEF CON 2020, в котором Daniel Miessler рассказывает об автоматизации OSINT и поиске дефектов. В частности, будут затронуты темы мониторинга (через cron), нотификации (slack, amazon ses) и развертывания. Также был упомянут ряд фреймворков для упрощения автоматизации: OWASP Amass, Intrigue, SpiderFoot.
Доклад: https://www.youtube.com/watch?v=URBnM6gGODo
Текстовая версия: https://tldrsec.com/blog/mechanizing-the-methodology/
#tools #talks
Доклад с DEF CON 2020, в котором Daniel Miessler рассказывает об автоматизации OSINT и поиске дефектов. В частности, будут затронуты темы мониторинга (через cron), нотификации (slack, amazon ses) и развертывания. Также был упомянут ряд фреймворков для упрощения автоматизации: OWASP Amass, Intrigue, SpiderFoot.
Доклад: https://www.youtube.com/watch?v=URBnM6gGODo
Текстовая версия: https://tldrsec.com/blog/mechanizing-the-methodology/
#tools #talks
Krane - Kubernetes RBAC static analysis tool
Krane - open source утилита, выполняющая статический анализ RBAC за счет индексации объектов RBAC в RedisGraph. Управление рисками RBAC происходит через настройку политик. Krane может работать как CLI, docker-контейнер или автономная служба для непрерывного анализа, а также быть встроенным в CI/CD. Также есть возможность построения отчетов, выполнения мониторинга и алертинга.
Кстати, лучшие практики по RBAC можно найти здесь: https://rbac.dev
#k8s #tools #ops
Krane - open source утилита, выполняющая статический анализ RBAC за счет индексации объектов RBAC в RedisGraph. Управление рисками RBAC происходит через настройку политик. Krane может работать как CLI, docker-контейнер или автономная служба для непрерывного анализа, а также быть встроенным в CI/CD. Также есть возможность построения отчетов, выполнения мониторинга и алертинга.
Кстати, лучшие практики по RBAC можно найти здесь: https://rbac.dev
#k8s #tools #ops
This media is not supported in your browser
VIEW IN TELEGRAM
Anchore Toolbox
Помимо известного Anchore Engine, в арсенале open source Anchore недавно появились такие инструменты как syft и grype.
Grype - сканер уязвимостей для образов контейнеров, пакетов операционных систем (Alpne, BusyBox, CentOS, Debian, Ubuntu), а также таких пакетов как Ruby Bundler, JARs, NPM, Egg/Wheel, Pip.
Syft - CLI, которая умеет создавать спецификации зависимостей (SBOM) из тех же образов контейнеров, дистрибутивов Linux (Apline, BusyBox, CentOS, Debian, Ubuntu), а также пакетов вроде APK, DEB, NPM, Go.
И из future plans Grype научится принимать в качестве входных параметров как SBOM от Syft, так и CycloneDX (!). Кажется, что скоро надо будет делать сравнение SCA от OWASP и Anchore...
#tools #sca #dev
Помимо известного Anchore Engine, в арсенале open source Anchore недавно появились такие инструменты как syft и grype.
Grype - сканер уязвимостей для образов контейнеров, пакетов операционных систем (Alpne, BusyBox, CentOS, Debian, Ubuntu), а также таких пакетов как Ruby Bundler, JARs, NPM, Egg/Wheel, Pip.
Syft - CLI, которая умеет создавать спецификации зависимостей (SBOM) из тех же образов контейнеров, дистрибутивов Linux (Apline, BusyBox, CentOS, Debian, Ubuntu), а также пакетов вроде APK, DEB, NPM, Go.
И из future plans Grype научится принимать в качестве входных параметров как SBOM от Syft, так и CycloneDX (!). Кажется, что скоро надо будет делать сравнение SCA от OWASP и Anchore...
#tools #sca #dev
Building a SIEM: combining ELK, Wazuh HIDS and Elastalert for optimal performance
Статья про построение SOC на 20 тысяч хостов на основе инструментов без дорогой единовременной лицензии. В статье рассматриваются минусы такой системы в сравнении с тем же Splunk, а также несколько мыслей по поводу того, что нужно иметь в виду при построении подобной архитектуры. Основной минус - тяжелая поддержка. Приходится отдельно настраивать правила для быстрого Wazuh, и медленного, но подробного Elastalert.
https://medium.com/bugbountywriteup/building-a-siem-combining-elk-wazuh-hids-and-elastalert-for-optimal-performance-f1706c2b73c6
#ops #tools
Статья про построение SOC на 20 тысяч хостов на основе инструментов без дорогой единовременной лицензии. В статье рассматриваются минусы такой системы в сравнении с тем же Splunk, а также несколько мыслей по поводу того, что нужно иметь в виду при построении подобной архитектуры. Основной минус - тяжелая поддержка. Приходится отдельно настраивать правила для быстрого Wazuh, и медленного, но подробного Elastalert.
https://medium.com/bugbountywriteup/building-a-siem-combining-elk-wazuh-hids-and-elastalert-for-optimal-performance-f1706c2b73c6
#ops #tools
DevSecOps: принципы работы и сравнение SCA. Часть первая
Рад объявить о том, что мы запустили блог на Хабре и серию статей по DevSecOps на русском языке. Первая статья - "Принципы работы и сравнение SCA". В этой статье я рассказываю, что такое Software Composition Analysis, как он работает, при чем здесь BOM и что это такое, какие фолзы выдают SCA и как их выявлять, а также табличка с функциональным сравнением. Вся статья построена вокруг двух самых известных open source решений Dependency Check, Dependency Track и коммерческего решения Nexus IQ.
https://habr.com/ru/company/swordfish_security/blog/516660/
В следующих частях планируем написать о встраивании SCA в CI/CD, сравнении результатов различных DAST и многом другом.
#sca #tools #dev
Рад объявить о том, что мы запустили блог на Хабре и серию статей по DevSecOps на русском языке. Первая статья - "Принципы работы и сравнение SCA". В этой статье я рассказываю, что такое Software Composition Analysis, как он работает, при чем здесь BOM и что это такое, какие фолзы выдают SCA и как их выявлять, а также табличка с функциональным сравнением. Вся статья построена вокруг двух самых известных open source решений Dependency Check, Dependency Track и коммерческего решения Nexus IQ.
https://habr.com/ru/company/swordfish_security/blog/516660/
В следующих частях планируем написать о встраивании SCA в CI/CD, сравнении результатов различных DAST и многом другом.
#sca #tools #dev
От Threat Modeling до безопасности AWS: 50+ open-source инструментов для выстраивания безопасности DevOps
Сделал то, что давно хотел - большая статья со всеми практиками DevSecOps с описанием open-source инструментов. В качестве формата была выбрана статья на Хабре в нашем корпоративном блоге. На мой взгляд получилось круто. Более 50 инструментов, распределенных по 16 практикам, включая моделирование угроз, SAST, DAST, SCA, защиту Docker и Kubernetes, фреймворки BDD, проверку IaC и даже Security Chaos Engineering. В результате не получилось охватить и половины всего того, что уже есть, поэтому постарался указать все ссылки на чужие подборки, которые я знаю. Приятного чтения, надеюсь это вам поможет на первых этапах построения DevSecOps.
https://habr.com/ru/company/swordfish_security/blog/518758/
#tools #dev #ops
Сделал то, что давно хотел - большая статья со всеми практиками DevSecOps с описанием open-source инструментов. В качестве формата была выбрана статья на Хабре в нашем корпоративном блоге. На мой взгляд получилось круто. Более 50 инструментов, распределенных по 16 практикам, включая моделирование угроз, SAST, DAST, SCA, защиту Docker и Kubernetes, фреймворки BDD, проверку IaC и даже Security Chaos Engineering. В результате не получилось охватить и половины всего того, что уже есть, поэтому постарался указать все ссылки на чужие подборки, которые я знаю. Приятного чтения, надеюсь это вам поможет на первых этапах построения DevSecOps.
https://habr.com/ru/company/swordfish_security/blog/518758/
#tools #dev #ops
This media is not supported in your browser
VIEW IN TELEGRAM
Whalescan - vulnerability scanner for Windows containers
Для тех, кто использует Windows base OS контейнеры вроде IIS и .NET есть соответствующий инструмент. Whalescan позволяет искать уязвимости в Windows контейнерах и проводить benchmark проверки, выявлять небезопасные команды в Dockerfile, вышедшие из жизни .NET версии и другое.
https://github.com/nccgroup/whalescan
#tools #docker #dev #ops
Для тех, кто использует Windows base OS контейнеры вроде IIS и .NET есть соответствующий инструмент. Whalescan позволяет искать уязвимости в Windows контейнерах и проводить benchmark проверки, выявлять небезопасные команды в Dockerfile, вышедшие из жизни .NET версии и другое.
https://github.com/nccgroup/whalescan
#tools #docker #dev #ops