⁠AWS Security Monitoring, Logging, and Alerting

Если нужно серьёзно разобраться с безопасностью всей вашей разнообразной AWS инфраструктуры, то есть немало Security & Compliance сервисов:

GuardDuty
Inspector
Amazon Macie
Security Hub
Detective

А также тех, что работают с логами, конфигурациями, событиями:

CloudWatch
CloudTrail
Config

Возникает справедливый вопрос — как разобраться в этом зоопарке сервисов, какие связки, для чего и какие использовать?

Очень рекомендую начать разбираться в теме AWS security с этой статьи:

https://disruptops.com/what-you-need-to-know-about-aws-security-monitoring-logging-and-alerting/

Расписаны различные пути получения security данных, разбитых по типу на slow path и fast path мониторинг и почему это важно. Также все сервисы и источники данных разбиты по полезности с рекомендациями по применению для прод-непрод окружений.

В общем, детальная и глубокая статья, без воды от известного профи в безопасности.

p.s. Замечу, что статья лета прошлого года и в ней ещё нет свежедобавленного сервиса по безопасности Amazon Detective (что не меняет сути).

#security

Securing Vault with HSM on Kubernetes

https://banzaicloud.com/blog/vault-hsm/

#kubernetes #k8s #vault

Cloud WAF Comparison Using Real-World Attacks

https://medium.com/fraktal/cloud-waf-comparison-using-real-world-attacks-acb21d37805e

#waf #aws #azure #ops

Как на Elastic Beanstalk задать самые строгие правила по шифрованию TLS:

https://aws.amazon.com/blogs/security/how-to-control-tls-ciphers-in-your-aws-elastic-beanstalk-application-by-using-aws-cloudformation/

SSL security policy для ELB:

https://docs.aws.amazon.com/elasticloadbalancing/latest/classic/elb-security-policy-table.html

- Namespace:  aws:elb:policies:TLSHighPolicy
  OptionName: SSLReferencePolicy
  Value:      ELBSecurityPolicy-TLS-1-2-2017-01

SSL security policy для ALB:

https://docs.aws.amazon.com/elasticloadbalancing/latest/application/create-https-listener.html

- Namespace:  aws:elbv2:listener:443
  OptionName: SSLPolicy
  Value:      ELBSecurityPolicy-FS-1-2-Res-2019-08

#Beanstalk #CloudFormation #security

CyberRange

CyberRange - большая open-source лаборатория, позволяющая начинающим и опытным специалистам погрузиться в безопсность разработки. Для инсталяции необходимо заполнить форму, указав номер аккаунта AWS, после чего для вас станут доступны инстансы, включающие ряд уязвимых приложений, среду для атаки и аудита защищенности. Инициализация проекта осуществляется через Terraform.

Видео:
https://youtu.be/Ed1ujM3xWNg

#practice #ops #attack

Выложены доклады с BSidesSF 2020 (San Francisco)

BSides это множество глобальных некоммерческих конференций по безопасности
http://www.securitybsides.com/w/browse/#view=ViewAllObjects

Так как конференции делаются "камунити для камунити", то и тематика, и уровень сильно варьируются, но это позволяет многим найти то, что интересно.

Я для себя отметил

Fantastic AWS Attacks and Where to Find Them
https://www.youtube.com/watch?v=IOyV8ww-lKM

How to Kill an AWS Access Key
https://www.youtube.com/watch?v=aZ7fsHaKASw

k-rail: A Tool to Manage K8s Securely at Speed
https://www.youtube.com/watch?v=WqZhbx0_zOc

Real Time Vulnerability Alerting
https://www.youtube.com/watch?v=cQMnUH1oBDA

Все доклады доступны тут
https://www.youtube.com/playlist?list=PLbZzXF2qC3RvlcHIxrqrsN1XhwHX8SQ-g

Программа
https://bsidessf.org/schedule.html

Обеспечение соответствия и ведение политик (BSIMM - Governance, Compliance & Policy)

Подготовил вторую часть перевода из блока Управления (Governance) фреймворка BSIMM. На этот раз лучшие практики обеспечения соотвтетствия, будь это PCI DSS, HIPPA, либо внутренние требования заказчика - о том, что из себя представляет политика безопасности, об уровне обслуживания (SLA) подрядчиков и важности постоянного изменения политики на основе фидбека из SDLC.

Друзья, пишите мне в личку, насколько вам интересно и полезно читать такой перевод, стоит ли идти по переводу последовательно, либо отбирать самое интересное (например то, что касается анализа архитектуры, code review, тестирования).

https://github.com/dvyakimov/BSIMM_ru

#bsimm #compliance #dev #ops

Политики безопасности AppSec и отслеживание метрик.

В продолжении к переводу о ведении политики безопасности приложений. Стивен Гейтс из Checkmarx пишет о том, что должна включать политика безопасности.

https://securityboulevard.com/2020/03/discussing-appsec-policies-within-devsecops/

В частности он упоминает важность формализации того, как необходимо управлять и отслеживать показатели эффективности (KPI). Частью KPI является знание того, какие области нуждаются в улучшении, а какие нет. Это позволяет организациям определить, соблюдается ли политика AppSec.

Вспомнил доклад Юрия Шабалина и Антона Башарина с OFFZONE 2018 про безопасность как код. Там, в частности, они довольно наглядно рассказывают про метрики безопасности, о том какие инструменты могут помочь команде разработке и как их эффективно использовать.

https://youtu.be/wfHJyqhTW1o

#bestpractice #ops

An Integrated Approach to Embedding Security into DevOps

А еще Стивен Гейтс поделился неплохим маркетинговым материалом от Checkmarx по безопасной разработке с точки зрения best practice и того, что они умеют - AST.

#bestpractice #dev

Application Security Engineer - вопросы на собеседовании

Не так давно в одном из тематических чатов поднимали вопрос того, что спрашивают при приеме на AppSec. Я изначально устраивался на инженера по сетевой безопасности, поэтому поделиться чисто своим опытом не смогу, но я нашел для вас две полезные для подготовки ссылки (полезные и для самооценки).

- Большая подборка вопросов по AppSec с ссылками для объяснения.
- Вопросы по Web AppSec от Synopsys

Я считаю, что, спрашивая алгоритм сжатия файлов, можно спугнуть действительно рукастого инженера, и гораздо эффективнее задавать верхнеуровневые вопросы (про SDLC например), давать домашние задания и более внимательно наблюдать за работой специалиста в течение всего испытательного срока. Как бы очевидно это не звучало - определить качество работы специалиста можно только в процессе его работы.

#start #dev #ops

MobSF

Mobile Security Framework (MobSF) - это мобильное приложение (Android / iOS / Windows) для проведения тестирования, анализа вредоносных программ и оценки безопасности, способное выполнять статический и динамический анализ. MobSF поддерживает двоичные файлы мобильных приложений (APK, IPA и APPX), исходный код и предоставляет REST API для интеграции с вашим CI / CD.

Недавно вышла неплохая статью про опыт анализа iOS с помощью MobSF:
https://www.netguru.com/codestories/ios-security-analysis-with-mobsf

#mobile #sast #dast #dev

Сегодня вышел Kubernetes 1.18.0

И сейчас мы кратенько пройдемся по изменениям, что касаются security и наиболее интересны на мой взгляд.

- Появление команды kubectl debug (стадия Alpha) - данная команда позволяет создать ephemeral containers, который запуститься в нужном Pod и позволит интерактивно разобраться с проблемой. Это позволит разработчикам не тянуть на продакшен Pod'ы всякие отладочные инструменты "на всякий случай", спокойно использовать distroless контейнер образы. В свою очередь это уменьшит шансы атакующему встретить на контейнерах кучу отладочных (потенциально полезных) ему инструментов для дальнейшей атаки. Но нужно учитывать что для этого данная команда делает 3 вещи: Создает ephemeral container, перезапускает Pod с измененной PodSpec, стартует его и аттачится к privileged container в host namespace. Так что нужно держать в голове, что если атакующий сможет выполнять команду debug, то он значительно расширит attack surface для побега из контейнера.

- `ServiceAccountIssuerDiscovery` (стадия Alpha) - позволяет сервисам вне кластера использовать KSA (Kubernetes service accounts) токены (JSON Web Tokens или JWT) в качестве общего метода аутентификации, не перегружая API сервер (и, конечно, не высовывая его наружу!). Для этого API сервер предоставляет механизм обнаружения OpenID Connect (OIDC), который содержит, помимо прочих данных, открытые ключи токена. Таким образом аутентификаторы OIDC могут использовать эти ключи для проверки токенов KSA на своей стороне.

- `CertificateSigningRequest API` (стадия Beta) - каждый Kubernetes кластер имеет root certificate authority (CA), который используется для защиты соединений между основными компонентами Kubernetes (обрабатывается с помощью Certificates API). Далее это начали использовать и другие компоненты системы и ПО. Теперь для использования этого API необходимы соответствующие разрешения и кто попало в системе не сможет это использовать (тем более представляться другим сервисом для данного запроса).

Talisman

Talisman - это инструмент для проверки изменений кода, которые должны быть вытеснены из локального репозитория Git на рабочей станции разработчика. Talisman проверяет исходящие изменения на наличие открытых секретов, таких как потенциальные ключи SSH, токены авторизации, закрытые ключи и т.д.

#tools #secret #dev

GitGuardian

GitGuardian - французский проект, направленный на поиск секретов в репозиториях. На текущий момент есть поддержка GitHub, GitHub Enterprise и в скором времени планируется GitLab. Работает как сервис, предоставляем доступ в репо, после чего проваливаемся в консоль, где имеем возможность запускать задачи на сканирования. Есть еще enterpise on-prem версия, но сейлы нам заявили, что с российским рынком они работать пока не готовы.

#tools #secret #dev

The State of Open Source Secuirty 2020

У WhiteSource вышел ежегодный отчет по уязвимостям, которые можно встретить в открытом исходном коде. Если коротко, то было зафиксировано примерно на 50% больше уязвимостей в 2019 году, чем в 2018. Самые популярные - XSS, некорректная проверка ввода, ошибки, связанные с буффером.

https://goo.su/0nqw

#report #dev

Раскрытие секретов на GitHub: что делать после утечки учетных данных и ключей API

На GitGuardian есть отдельная статья, что делать, если вы поняли, что ваши секреты утекли в Интернет.

Если коротко:
1) Отозвать секреты, либо учетные данные
2) Если есть секреты, которые нельзя отозвать (например, записи БД), либо учетные данные, про которые никто не может гарантировать, что они были отозваны должным образом (например, ключи SSH, которые можно использовать в разных местах), то просто напросто избавиться от улик
3) Проверка журналов
4) Внедрение инструментов и лучших практик

Руководством по практике работы с API

#bestpractice #secret #ops

LeakLooker GUI — Discover, browse and monitor database/source code leaks.

Вот кстати отдельный инструмент,который поможет определить утечку ваших данных в Интернете.

LeakLooker - это скрипт + веб-интерфейс для постоянного поиска утечки открытых баз данных и сервисов. В настоящее время он поддерживает Elasticsearch, CouchDB, MongoDB, Gitlab, Rsync, Jenkins, Sonarqube, Kibana, CassandraDB, RethinkDB, корзины S3.

https://medium.com/@woj_ciech/leaklooker-gui-discover-browse-and-monitor-database-source-code-leaks-f4b82bbb48fe

#tools #secret #ops

OWASP Vulnerability Checks With Maven

How to introduce automatic security scans in your Java builds
https://itnext.io/owasp-dependency-check-maven-vulnerabilities-java-898a9cf99f5e

Azure Security Benchmark

Недавно был анонсирован Azure Security Benchmark v1 (ASB), содержащий более 90 рекоммендаций безоопасности, основанных на отраслевых стандартах и передовых практиках, таких как CIS. ASB интегрирован с Azure Security Center, что позволяет отслеживать, составлять отчеты и оценивать соответствие с эталонным тестом с помощью панели мониторинга Security Center.

#azure #ops

Пентест, Kubernetes. У многих отсутствует представление о том, как это вообще выглядит. Хотя это очень полезно и пентестерам (для них это становится актуальнее с каждым днем), и людям, обеспечивающим работоспособность и безопасность Kubernetes кластера. Для получения этого представления я могу порекомендовать совсем свежее выступление “Command and KubeCTL: Real-World Kubernetes Security for Pentesters” . В данном выступление автор рассматривает и сразу демонстрирует различные тактики, техники и инструменты для получения доступа и эксплотации Kubernetes кластера.
Все live demo идет на примере 3 компаний - трех различных инфраструктур: on-prem, multu-cloud и сервис со множеством, географически разнесенных групп разработчиков. То есть это разное использование Kubernetes и как следствие разная модель угроз.
Отдельно стоит отметить Attack Chain (на скриншоте), которая описывает все что будет делать пентестер/злоумышленник, пытающийся взломать Kubernetes кластер. Каждый этап демонстрируется шаг за шагом.