MicroBurst: A PowerShell Toolkit for Attacking Azure

Репозиторий с набором powershell скриптов для анализа и эксплуатации уязвимостей в Azure. Репозиторий также содержит ссылки на статьи и презентации посвещённые анализу защишености инфраструктуры Azure.

Ссылка на репозиторий: https://github.com/NetSPI/MicroBurst

Сценарий пост-эксплуатации в Azure от ребят из NETSPI (с применением MicroBurst).

Оригинальная статья со всеми деталями: https://blog.netspi.com/attacking-azure-cloud-shell/

За материал спасибо @cloud_sec

#azure #tools #ops #attack

Выложены доклады с AppSec California 2020 (проходит под эгидой OWASP)
https://www.youtube.com/playlist?list=PLhaoFbw_ejdo-4nSeRKNH1pRhdfsn3CI7

Спектр тем большой: от car hacking до безопасности Kubernetes и Continuous Cloud Security Monitoring (CCSM)

Программа тут
https://2020.appseccalifornia.org/program/

Gauntlt

Gauntlt - бесплатный фреймворк, который позволяет использовать популярные инструменты аудита безопасности в конвейере разработки, применяя методологию BDD (о ней упоминал ранее). Это должно помочь объединить dev, ops и sec.

Gauntlt включает "адаптеры" для следующих инструментов:
- arachni
- curl
- dirb
- Garmr
- heartbleed
- nmap
- sqlmap
- sslyze
Также можно дописывать свои адаптеры.

Ссылка на репозиторий.
Работа с Gauntlt
Презентация с AppSec USA OWASP

#tools #dev #ops

DevSecOps : What, Why and How

На канал Black Hat дозалили доклады с Black Hat USA 2019, в том числе доклад "DevSecOps : What, Why and How", в котором Anant Shrivastava проходит по всему пайплану DevSecOps, приводя примеры и лучшие практики. Рекомендую.

Доклад:
https://youtu.be/DzX9Vi_UQ8o
Материалы:
https://www.blackhat.com/us-19/briefings/schedule/#devsecops--what-why-and-how-17058

#bestpractice #dev #ops

Все больше материала по Azure, а не только про AWS

Кстати в конце есть очень полезный список с ссылками

#azure #ops

Attacking Azure, Azure AD, and Introducing PowerZure
https://posts.specterops.io/attacking-azure-azure-ad-and-introducing-powerzure-ca70b330511a

CyberARK Conjur

Conjur - бесплатный password vault, приобретенный компанией CyberARK. Является прямым аналогом HashiCorp Vault. Conjur обеспечивает доступ к секретам путем жесткого контроля секретов с помощью детального контроля доступа на основе ролей (RBAC). Есть большое количество интеграций: Terraform, Jenkins, OpenShift, k8s, AWS и тд. Поставляется в виде docker-контейнера. Среди API: REST, CLI client, Java API, Go, Ruby, NET.

Имеется также entreprise-версия - CyberARK DAP. Отличительные фичи платной версии - кластеризация из коробки, веб-интерфейс, интеграция с CyberARK PAS.

Видео-демонстрация
Интеграция Conjur и OpenShift.
Пример взаимодействия с Conjur

#tools #vault #ops

RSA Conference 2020 - AppSec

Собрал все самое интересное с RSA Conference 2020 по выстраиванию безопасного DevOps. Некоторым тезисам планирую посвятить отдельные посты

The Impact of Software Security Practice Adoption Quantified
- ребята из Comcast написали свой фреймворк Greenhouse для визуалиции лучших практик DevSecOps и оценки степени зрелости команд. В конце презентации они рассказывают, какие практики несут наибольшую пользу для снижения рисков, а что несет только вред

DevSecOps State of the Union - Clint Gibler проанализировал кучу источников, чтобы собрать все лучшие практики в одной презентации. В конце то, от чего стоит отказаться для оптимизации времени на AppSec.

Dude, You’re Getting a Dell: Organizational Culture Shift to SDL Maturity - опыт выстраивания культуры безопасной разработки на примере огромного Dell: используемые фреймворки, выстраивание Security Champion Program и 10 ключевых шагов

Using the Hacker Persona to Build Your DevSecOps Pipeline
- про уязвимые места в DevOps пайплане для нанесения вреда инсайдерами, неосторожными разработчиками и APT, каким образом можно выявить нарушителей зная их поведение, архетипы и мотивации

#bestpractice #dev #ops

The DevSecOps Iceberg
https://wott.io/blog/thoughts/2019/11/29/the-devsecops-iceberg

За ссылку спасибо Олегу @oleg_log

Kubernetes Built-in Controls Workshop

Набор заданий по безопасности Kubernetes через встроенные средства (оставшиеся с воркшопа BSidesSF 2020)

https://securek8s.dev/exercise/

#practise #ops

Dispatch

Dispatch - бесплатный фреймворк для работы с инцидентами от Netflix. Интегрируется с G Suite, Jira, Slack, Jira и т. д. Через dispatch можно заводить инциденты, отслеживать задачи, собирать участников, оказываать пост-инцидент проверки.

Про Dispatch из Netflix Technology Blog
Исходники

#tools #dev #ops

OFFZONE 2020

16-17 апреля 2020 года пройдет ежегодная конференция по информационной безопасности - OFFZONE, и сейчас организаторы ищут крутых докладчиков в секцию AppSec.

У вас есть исследование на тему построения безопасной архитектуры для приложений?

Вы разрабатывали процессы, интегрировали механизмы или внедряли инструменты для построения SDLC?

Вы находили секьюрити-особенности в библиотеках языков программирования или клевые баги во время bug bounty?

Если есть, что рассказать по упомянутым выше темам, и, как итог, вы хотите попасть в материалы моего канала, присылайте заявки )

Не уверены, подойдет ли ваша тема? Посмотрите, какие доклады были в 2019 году (http://bit.ly/2VrozKF).

Заявки направляйте:
- в адрес [email protected]
- через форму на https://appsec.zone/cfp
- или напрямую @tr3ska или @Mr_R1p

Подробнее:
https://offzone.moscow/ru/appsec-zone/
https://appsec.zone/

FuzzBench: Fuzzer Benchmarking As a Service

FuzzBench - автоматизированный бесплатный сервис от команды Google OSS-Fuzz, созданный для оценки работы подключенных фазеров. Чтобы использовать FuzzBench, достаточно интегрировать фаззер, и FuzzBench проведет эксперимент в течение 24 часов со многими испытаниями и реальными тестами. На основе данных этого эксперимента FuzzBench создаст отчет, сравнивающий производительность фаззера с другими, и даст представление о сильных и слабых сторонах каждого фаззера. Это должно позволить исследователям сосредоточить больше своего времени на совершенствовании методов и меньше времени на настройку оценок и работу с существующими фаззерами.

FuzzBench может использовать любой из OSS-Fuzz проектов.

#tools #dast #fuzzing #dev

Shift WAF left

F5 Days - конференция, которая проходит под эгидой F5 Networks, на которой наш ведущий инженер Александр Бутенко должен был выступать с докладом по встраиванию F5 в CI/CD на этапах тестов. К сожалению, так получилось, что конференция была отменена из-за небезызвестного вируса. Я решил, что материалу надо дать шанс на ознакомление, поэтому прикладываю его к посту.

Основные тезисы:
- прорабатываем и публикуем политики защиты WAF на этапах test фокус-группами или специалистами ИБ
- формируем эффективные политики за счет усечения фокус-группами веб-запросов, генерируемых dev-тестами + обучение WAF

#WAF #bestpractice #dev #ops

"A Survey of Istio's Network Security Features"

Очень полезная статья про аспекты безопасности Istio. Статья охватывает следующее: что из себя представляет самый популярный service mesh, развертывание, анализ безопасности, а именно IPv6, Matual TLS, Engress restrictions.

https://research.nccgroup.com/2020/03/04/a-survey-of-istios-network-security-features/

#article #k8s #ops

Когда видишь такое, хочется переименовать канал в Secure DevOps...

Следующим постом будет то, откуда я это взял

"Information Security
Management through
Reflexive Security" by CSA

Документ определяет понятие рефлексивной безопасности (Reflexive Security) как новый подход к управлению ИБ, основанный на принципах Agile и DevOps. Reflexive Security подчеркивает безопасность между организационными ролями, которая реагирует на внешние и внутренние угрозы гибким и динамичным способом. Reflexive Security призван стать новой стратегией управления информационной безопасностью, которая является динамичной, интерактивной, эффективной и целостной по сравнению с традиционными (СУИБ)

#law #report #dev #ops

CIFuzz

Еще немного о фаззинге.
CIFuzz - новый инструмент, который позволяет встроить OSS-Fuzz в CI для проектов размещенных на GitHub. По умолчанию время фаззинга равно 10 минутам.

Пример:
https://github.com/curl/curl/runs/477810777?check_suite_focus=true

#tools #fuzzing #dast #dev

SAMM v2

Не так давно вышла новая версия модели оценки зрелости безопасности ПО от OWASP - SAMM (Software Assurance Maturity Model). До этого я писал, что этой моделью пользуется большое количество зрелых компаний, в том числе Тинькофф, но что означает выход новой версии?

Что входит в SAMM v2:
1) Важные изменение в самой модели SAMM: появились новые этапы Implementation, Operations с упором на современные практики безопасного DevOps. Construction стал этапом Design.
2) Небольшой quick-start guide для того, чтобы поверхностно познакомиться с фреймворком
3) OWASP SAMM Toolbox. Это эксель-файл, который позволяет выполнить самооценку компании. Выполнив самооценку, можно будет перейти к установке целей для улучшения (согласно фрейморвку) и приступить к отслеживанию дорожной карты. Версия тулбокса есть еще в онлайн.
4) Новая система SAMM Benchmark для сравнения вашей зрелости со схожими организациями.

Модель OWASP SAMM онлайн
Модель OWASP SAMM PDF
Все что нужно знать про SAMM v2 - видео

#bestpractice #checklist #dev #ops

Personal Security Checklist

Тут @oleg_log поделился чек-листом по обеспечению безопасности себя и своих данных - почта, персональный компьютер, смартфон, умный дом, работа в сети и т.д.

Оффтоп какой он должен быть...

https://github.com/Lissy93/personal-security-checklist

#checklist