Записи докладов с CNCF Minsk #5

First part: Cloud Security Posture Management - Aleksandr Slobodanyuk, Senior Security Systems Engineer.
• CSPM - general overview
• Overview of commercial and opensource tools
• How does it work?

Second part: Infrastructure as Code Security - Michael Yudin, Senior Security Systems Engineer & German Babenko, Senior Security Systems Engineer.
• Infrastructure as Code intro
• Security in IaC
• IaC security tools: AWS demo, GCP demo
• Verifying of Terraform code for AWS Cloud with integration of security code scanning tools in IaC pipeline.

https://www.youtube.com/playlist?list=PLwjWMHa5_FX88yf3fapksH9M1OIGM1aNi

Фото с Cisco Day в Барселоне, который прошел 27 января 2020 года

Вообще на мой взгляд Cisco сделала довольно широкий в шаг в сторону защиты приложений. Некоторый функционал, я считаю, заслуживает внимания исходя из того, что мне удалось посмотреть из партнерского материала. Сейчас приведу примеры.

Cisco Tetration - коротко

Продукт позиционируется для защиты ЦОДов в гетерогенной среде, например, у вас есть k8s, aws, vmware, hyper-v, некий кампус и центральный DataCenter, который со всем взаимодействует.

Чтобы разобраться во всем этом многообразии политик (Network Security group в Azure, Port Groups в vmware и т.д.) и компонентов управления, Cisco выпустила агент, который ставится на все, куда только можно дотянутся. С этих агентов собирается телеметрия, анализируется взаимодействие, после чего в консоли можно увидеть подробности о портах и сервисах. Далее Tetration на основе этого взаимодействия автоматически генерирует единую enforcement-политику, которую можно экспортировать в yaml или json, либо сразу применить на хостах. Как пример - изменить iptables на linux-хостах или закрыть порт во всей гетерогенной среде. После этого Tetration постоянно анализирует поведение и конфигурацию всей системы на наличие отклонений.

Отдельным модулем идет блок Security, который представляет из себя в основном EDR. Есть возможность строить граф взаимодействия процессов и инцидентов на таймлайне, искать уязимости и сететевые аномалии.

Это конечно не про CI/CD пайплайн и к разработке имеет посредственное отношение, но с точки зрения большого интерпрайза (с большим бюджетом), где мониторинг и раскатка политик становится настоящей проблемой, решение предлагает комплексное централизованное и вроде как удобное управление.

Из общедоступных наглядных видео:
Cisco Tetration Policy Enforcement Overview
Cisco Tetration Security Dashboard and Forensics

#enterprise #ops

cfn-nag

Инструмент cfn-nag ищет шаблоны в CloudFormation , которые могут указывать на небезопасную инфраструктуру.

Что проверяется:
1) IAM и политики ресурсов (S3 Bucket, SQS и т. д.)
2) Security Group - например, ingress правило открыто для 0.0.0.0/0 , открыт диапазон 1-65535
3) Журналы доступа
Ищет журналы доступа, которые не включены для соответствующих ресурсов (например, Elastic Load Balancers и CloudFront Distributions)
4) Шифрование (на стороне сервера), которое не включено или не применяется для соответствующих ресурсов (например, томов EBS или для вызовов PutObject в корзине S3)

https://github.com/stelligent/cfn_nag

#tools #aws #ops

Security in IaC (Terraform)

В предыдущем посте упомянал тулзу cfn-nag для сканирования шаблонов CloudFormation. Сегодня рассмотрим утилиты для сканирования шаблонов Terraform

Checkov - это инструмент статического анализа кода для infrastructure-as-code. Он сканирует облачную инфраструктуру, предоставляемую с помощью Terraform, и обнаруживает неправильные конфигурации безопасности.

Terrascan - набор инструментов для статического анализа terraform шаблнов используя terraform_validate.

tfsec - аналогичная предыдущим тулза для проверки terraform шаблонов. В отличие от Terrascan проверяет шаблоны для Azure и Google

#tools #terraform #ops

Container Security - сравнение

Наши ребята подготовили сравнение решений по защите контейнеров из категории Enterprise.

Среди сравниваемых параметров:
1) Возможность сканирования образов
2) Возможность проверки на соответствие лучшим практикам
3) Защита среды выполнения
4) Обеспечение сетевой безопасности
5) Форензика
6) Аудит настроек

Также отдельная таблица по способу взаимодействия с контейнерами (Internet, agent, proxy) а также возможностям интеграции и поддерживаемым платформам

Сохраняем себе.

#tools #enterprise #docker #k8s #ops

Нахожусь сейчас на XII Уральском форуме "Информационная безопасность финансовой сферы". Вчера была сессия в формате дискуссии, на которой обсуждали вопроосы безопасной разработки в финансовой отрасли. В следующем посте выделю основные тезисы.

Из секции, касающейся безопасной разработки, XII Уральский форум "Информационная безопасность финансовой сферы"

Дмитрий Гадарь, CISO Тинькофф Банк:
- В Тинькофф не ограничивают разработчиков по выбранной методолоогии (Agile или Waterfall).
- В качестве фреймворка мы применяем OWASP SAMM в своей практике
- Чтобы избежать false positive SAST, мы берем на выходе то, что выходит из Application Scanner, и применяем на основе этого поиск в SAST (???)
- Не допускам того, чтобы инструменты DevSecOps служили только для генерации горы отчетов
- Пристальное внимание в практике AppSec нужно уделить управлению зависимостями и внешними библиотеками
- Необходимо регулярно пересматривать видение рисков, осущесвлять их приоритизацию

Сергей Демидов, директор департамента операционных рисков и ИБ в Московской бирже:
- Все наши эксперименты с Secure CI/CD не показывают должного показателя надежности
- ИБ должен выступать мостом в диалоге между отделами ИТ
- Мы придерживаемся Waterfall, действуя по схеме "1 день в проде, 5 дней тестов", берем от DevSecOps отдельные элементы, например, анализ кода, встраиваемый по сервисной модели

Андрей Иванов, руководитель направления по развитию облачных сервисов безопасности в Яндекс.Облако:
5 элементов культуры безпоасной разработки:
- Поддержка высшего руководства
- Наличие понятных регламентов для разработчиков ( при каких условиях разработчикам требуется обращаться к ИБ)
- Обучение безопасной разработке
- Наличие опыта Application Security у безопасников как обязательное требование
- Распределение ответственности за безопасность продуктов между team-лидами.

Общие выводы:
- Security Champions имеют высокую эффективность для безопасности продукта
- Необходимо создавать обезличенные тестовые контуры с репликацией прода с автоматической раскаткой обновлений
- Password Vault (на сессии это называли секретницей) как must have


#talks #dev #ops

Презентация по безопасной разработке с Уральского форума

Не знаю, как скоро презентация появится в архивах, поэтому решил опубликовать сюда.

Цель презентации была следующая - начать погружать безопасников в мир DevOps и показать способы интеграции ИБ в процесс разработки. Опыт показывает, что у многих наших заказчиков имеется слабое понимание того, что из себя представляет разработка в их экосистеме, и как безопасность может встроиться в их процессы, однако вся история с цифровизацией требует каких-то движений в этом направлении.

Презентация охватывает только enterprise, но, разумеется, все эти процессы можно выстроить с помощью open-source.

#dev #ops #talks

Вот так выглядят подарки от Swordfish Security ))

#humor

Проверка образов с помощью Gitlab CI/CD

"В этой статье мы поговорим о том, как проверять образы контейнеров на платформе Gitlab CI/CD с помощью Sysdig Secure.

Образы контейнеров, которые не соответствуют политикам безопасности, определенным в Sysdig Secure, не будут опубликованы в реестре контейнеров и остановят пайплайн."

https://habr.com/ru/company/otus/blog/488866/

#dev #docker

MicroBurst: A PowerShell Toolkit for Attacking Azure

Репозиторий с набором powershell скриптов для анализа и эксплуатации уязвимостей в Azure. Репозиторий также содержит ссылки на статьи и презентации посвещённые анализу защишености инфраструктуры Azure.

Ссылка на репозиторий: https://github.com/NetSPI/MicroBurst

Сценарий пост-эксплуатации в Azure от ребят из NETSPI (с применением MicroBurst).

Оригинальная статья со всеми деталями: https://blog.netspi.com/attacking-azure-cloud-shell/

За материал спасибо @cloud_sec

#azure #tools #ops #attack

Выложены доклады с AppSec California 2020 (проходит под эгидой OWASP)
https://www.youtube.com/playlist?list=PLhaoFbw_ejdo-4nSeRKNH1pRhdfsn3CI7

Спектр тем большой: от car hacking до безопасности Kubernetes и Continuous Cloud Security Monitoring (CCSM)

Программа тут
https://2020.appseccalifornia.org/program/

Gauntlt

Gauntlt - бесплатный фреймворк, который позволяет использовать популярные инструменты аудита безопасности в конвейере разработки, применяя методологию BDD (о ней упоминал ранее). Это должно помочь объединить dev, ops и sec.

Gauntlt включает "адаптеры" для следующих инструментов:
- arachni
- curl
- dirb
- Garmr
- heartbleed
- nmap
- sqlmap
- sslyze
Также можно дописывать свои адаптеры.

Ссылка на репозиторий.
Работа с Gauntlt
Презентация с AppSec USA OWASP

#tools #dev #ops

DevSecOps : What, Why and How

На канал Black Hat дозалили доклады с Black Hat USA 2019, в том числе доклад "DevSecOps : What, Why and How", в котором Anant Shrivastava проходит по всему пайплану DevSecOps, приводя примеры и лучшие практики. Рекомендую.

Доклад:
https://youtu.be/DzX9Vi_UQ8o
Материалы:
https://www.blackhat.com/us-19/briefings/schedule/#devsecops--what-why-and-how-17058

#bestpractice #dev #ops

Все больше материала по Azure, а не только про AWS

Кстати в конце есть очень полезный список с ссылками

#azure #ops

Attacking Azure, Azure AD, and Introducing PowerZure
https://posts.specterops.io/attacking-azure-azure-ad-and-introducing-powerzure-ca70b330511a

CyberARK Conjur

Conjur - бесплатный password vault, приобретенный компанией CyberARK. Является прямым аналогом HashiCorp Vault. Conjur обеспечивает доступ к секретам путем жесткого контроля секретов с помощью детального контроля доступа на основе ролей (RBAC). Есть большое количество интеграций: Terraform, Jenkins, OpenShift, k8s, AWS и тд. Поставляется в виде docker-контейнера. Среди API: REST, CLI client, Java API, Go, Ruby, NET.

Имеется также entreprise-версия - CyberARK DAP. Отличительные фичи платной версии - кластеризация из коробки, веб-интерфейс, интеграция с CyberARK PAS.

Видео-демонстрация
Интеграция Conjur и OpenShift.
Пример взаимодействия с Conjur

#tools #vault #ops

RSA Conference 2020 - AppSec

Собрал все самое интересное с RSA Conference 2020 по выстраиванию безопасного DevOps. Некоторым тезисам планирую посвятить отдельные посты

The Impact of Software Security Practice Adoption Quantified
- ребята из Comcast написали свой фреймворк Greenhouse для визуалиции лучших практик DevSecOps и оценки степени зрелости команд. В конце презентации они рассказывают, какие практики несут наибольшую пользу для снижения рисков, а что несет только вред

DevSecOps State of the Union - Clint Gibler проанализировал кучу источников, чтобы собрать все лучшие практики в одной презентации. В конце то, от чего стоит отказаться для оптимизации времени на AppSec.

Dude, You’re Getting a Dell: Organizational Culture Shift to SDL Maturity - опыт выстраивания культуры безопасной разработки на примере огромного Dell: используемые фреймворки, выстраивание Security Champion Program и 10 ключевых шагов

Using the Hacker Persona to Build Your DevSecOps Pipeline
- про уязвимые места в DevOps пайплане для нанесения вреда инсайдерами, неосторожными разработчиками и APT, каким образом можно выявить нарушителей зная их поведение, архетипы и мотивации

#bestpractice #dev #ops