Reducing Our Attack Surface with AppSec Platform
Статья про то, как можно построить AppSec платформу на базе open-source и недорогих сервисов AWS, которая автоматически обнаруживает имеющиеся активы, делает легковесное сканирование для выявления рисков, после чего полученные данные поступают на центральную платформу для фильтрации ложных срабатываний и формирования алертов в Slack.
- Amass / Subfinder для поиска активов и отображения поверхности атаки
- Aquatone , Wappalyzer и nmap для захвата скриншота, снятия стека и сканирования портов. Данные собираются в MongoDB.
https://medium.com/ww-tech-blog/reducing-our-attack-surface-with-appsec-platform-4b6717a16709
#tools #aws #ops
Статья про то, как можно построить AppSec платформу на базе open-source и недорогих сервисов AWS, которая автоматически обнаруживает имеющиеся активы, делает легковесное сканирование для выявления рисков, после чего полученные данные поступают на центральную платформу для фильтрации ложных срабатываний и формирования алертов в Slack.
- Amass / Subfinder для поиска активов и отображения поверхности атаки
- Aquatone , Wappalyzer и nmap для захвата скриншота, снятия стека и сканирования портов. Данные собираются в MongoDB.
https://medium.com/ww-tech-blog/reducing-our-attack-surface-with-appsec-platform-4b6717a16709
#tools #aws #ops
FSecureLABS - Leonidas framework
Leonidas - фреймворк для эмуляции действий злоумышленника в облаке. Фреймворк предоставляет YAML-формат для определения действий злоумышленника и связанных с ними свойств обнаружения. Правила для обнаружения можно задавать с помощью Sigma rules.
#tools #aws #ops #attack
Leonidas - фреймворк для эмуляции действий злоумышленника в облаке. Фреймворк предоставляет YAML-формат для определения действий злоумышленника и связанных с ними свойств обнаружения. Правила для обнаружения можно задавать с помощью Sigma rules.
#tools #aws #ops #attack
AWS Lambda Abuse
Описание того, как минимизировать ущерб от DDoS-атак на AWS Lambdas.
Тезисно:
- Убедиться, что код не зависает на неправильных данных (ReDoS или длинные пейлоады)
- Оповещать о превышении биллинга
- Сoncurrency level для каждой функции
- Использовать SQS в качестве брокера для функции Lambda для обработки нескольких событий одновременно
- Использовать CDN (например, CloudFront) или AWS WAF
- Требовать API ключ для доступа к API Gateway
- Присмотреться к «Token Bucket» моделям
https://luminousmen.com/post/aws-lambda-abuse
#aws #ops #attack
Описание того, как минимизировать ущерб от DDoS-атак на AWS Lambdas.
Тезисно:
- Убедиться, что код не зависает на неправильных данных (ReDoS или длинные пейлоады)
- Оповещать о превышении биллинга
- Сoncurrency level для каждой функции
- Использовать SQS в качестве брокера для функции Lambda для обработки нескольких событий одновременно
- Использовать CDN (например, CloudFront) или AWS WAF
- Требовать API ключ для доступа к API Gateway
- Присмотреться к «Token Bucket» моделям
https://luminousmen.com/post/aws-lambda-abuse
#aws #ops #attack
Introducing the State of Open Source Terraform Security Report 2020
Bridgecrew просканировали 2,6 тыс. модулей в Terraform Registry с помощью своего open-source инструмента Checkhov, который в настоящее время содержит 300 проверок соответствия и безопасности в AWS, Azure и Google Cloud.
Получилось примерно следующее:
- Каждый второй модуль имеет ошибки конфигурации
- Во втором квартале 2020 года наблюдался самый высокий показатель соотношения неправильно настроенных модулей
- 8 из 10 самых популярных модулей настроены неправильно
- Наиболее распространенные неправильные настройки относятся к категориям «Резервное копирование и восстановление», «Ведение журнала» и «Шифрование».
Сам отчет можно посмотреть здесь.
Chechov - open-source инструмент для статического анализа IaC от Terraform, Cloudformation, Kubernetes, Serverless или ARM Templates.
#report #terraform #aws #azure #gcp #dev #ops
Bridgecrew просканировали 2,6 тыс. модулей в Terraform Registry с помощью своего open-source инструмента Checkhov, который в настоящее время содержит 300 проверок соответствия и безопасности в AWS, Azure и Google Cloud.
Получилось примерно следующее:
- Каждый второй модуль имеет ошибки конфигурации
- Во втором квартале 2020 года наблюдался самый высокий показатель соотношения неправильно настроенных модулей
- 8 из 10 самых популярных модулей настроены неправильно
- Наиболее распространенные неправильные настройки относятся к категориям «Резервное копирование и восстановление», «Ведение журнала» и «Шифрование».
Сам отчет можно посмотреть здесь.
Chechov - open-source инструмент для статического анализа IaC от Terraform, Cloudformation, Kubernetes, Serverless или ARM Templates.
#report #terraform #aws #azure #gcp #dev #ops
AWS Exposable Resources
FestIN - open source инструмент для поиска открытых S3 Buckets. Поиск осуществляется как из DNS и веб-страниц (crawling), так и из самих S3, не требуя при этом креды AWS.
Сразу расскажу про Smogcloud - open source инструмент, представленный на Black Hat USA 2020, для анализа AWS ассетов. Кроме поиска теневых IP и неправильных настроек, Smogcloud умеет находить торчящие в Интернет FQDN и IP.
И, наконец, репозиторий, который поможет разобраться, какие ресурсы должны быть открыты для публичного доступа, а какие нет.
#aws #tools #secret #ops
FestIN - open source инструмент для поиска открытых S3 Buckets. Поиск осуществляется как из DNS и веб-страниц (crawling), так и из самих S3, не требуя при этом креды AWS.
Сразу расскажу про Smogcloud - open source инструмент, представленный на Black Hat USA 2020, для анализа AWS ассетов. Кроме поиска теневых IP и неправильных настроек, Smogcloud умеет находить торчящие в Интернет FQDN и IP.
И, наконец, репозиторий, который поможет разобраться, какие ресурсы должны быть открыты для публичного доступа, а какие нет.
#aws #tools #secret #ops
GitHub
GitHub - cr0hn/festin: FestIn - Open S3 Bucket Scanner
FestIn - Open S3 Bucket Scanner. Contribute to cr0hn/festin development by creating an account on GitHub.
Securing Your Terraform Pipelines with Conftest, Regula, and OPA
Между тем, использование Open Policy Agent набирает обороты. Сегодня статья про использование OPA в связке с Conftect и Regula для оценки конфигурации Terraform в AWS.
https://dev.to/prince_of_pasta/securing-your-terraform-pipelines-with-conftest-regula-and-opa-4hkh
OPA использует Rego язык для определения политик. К вашему вниманию также бесплатный курс по OPA Policy Authoring.
#tools #terraform #aws #ops #opa
Между тем, использование Open Policy Agent набирает обороты. Сегодня статья про использование OPA в связке с Conftect и Regula для оценки конфигурации Terraform в AWS.
https://dev.to/prince_of_pasta/securing-your-terraform-pipelines-with-conftest-regula-and-opa-4hkh
OPA использует Rego язык для определения политик. К вашему вниманию также бесплатный курс по OPA Policy Authoring.
#tools #terraform #aws #ops #opa
www.openpolicyagent.org
Introduction | Open Policy Agent
The Open Policy Agent (OPA, pronounced "oh-pa") is an open source,
Tracking Moving Clouds: How to continuously track cloud assets with Cartography
Непрерывный мониторинг облачных ассетов с помощью Catography (утилиты от Lyft для распределения ассетов публичных облаков на графе) и информирование о любых нелегитимных изменениях в среде AWS/GCP через Slack и Jira.
https://www.marcolancini.it/2020/blog-tracking-moving-clouds-with-cartography/
Другие статьи из этой же серии:
Mapping Moving Clouds:How to stay on top of your ephemeral environments with Cartography
Cross Account Auditing in AWS and GCP
#gcp #aws #ops
Непрерывный мониторинг облачных ассетов с помощью Catography (утилиты от Lyft для распределения ассетов публичных облаков на графе) и информирование о любых нелегитимных изменениях в среде AWS/GCP через Slack и Jira.
https://www.marcolancini.it/2020/blog-tracking-moving-clouds-with-cartography/
Другие статьи из этой же серии:
Mapping Moving Clouds:How to stay on top of your ephemeral environments with Cartography
Cross Account Auditing in AWS and GCP
#gcp #aws #ops
Красота
Ко всему прочему было проведено моделирование угроз через drawio-threatmodeling , выведены требования безопасности, организована проверка IaC и автоматический аудит через ScoutSuite.
#aws
Ко всему прочему было проведено моделирование угроз через drawio-threatmodeling , выведены требования безопасности, организована проверка IaC и автоматический аудит через ScoutSuite.
#aws
Forwarded from CloudSec Wine
🔸Security Architecture Review Of A Cloud Native Environment
Walkthrough of a cloud security assessment performed on an organisation which had recently moved their infrastructure from an on-prem to a cloud native solution (AWS).
https://notsosecure.com/security-architecture-review-of-a-cloud-native-environment/
#aws
Walkthrough of a cloud security assessment performed on an organisation which had recently moved their infrastructure from an on-prem to a cloud native solution (AWS).
https://notsosecure.com/security-architecture-review-of-a-cloud-native-environment/
#aws