Визуализация логов Kubernetes
Всем привет!
KHI – Kubernetes History Inspector – проект, который позволяет визуализировать логи Kubernetes для повышения удобства работы с ними.
Он агрегирует данные, отображая их в виде timeline, на которых указано что/когда/с чем происходило.
Например:
🍭 История ресурсов. Отображение статуса ресурсов, их манифесты в определенный промежуток времени
🍭 Журналы от разных источников. Общий взгляд на логи, генерируемые разными ресурсами
🍭 Возможность фильтрации. Анализ больших объемов данных на основании выборки, определяемой пользователем
В итоге получается наглядная диаграмма, на которой видна «летопись» происходящего. С примерами можно ознакомиться в repo проекта.
KHI подключается и настраивается очень просто (информацию об этом можно прочесть в Getting Started).
Реализована поддержка Google Cloud, однако, есть возможность использования KHI с «обычным» кластером Kubernetes. Подробнее об этом написано тут.
Всем привет!
KHI – Kubernetes History Inspector – проект, который позволяет визуализировать логи Kubernetes для повышения удобства работы с ними.
Он агрегирует данные, отображая их в виде timeline, на которых указано что/когда/с чем происходило.
Например:
🍭 История ресурсов. Отображение статуса ресурсов, их манифесты в определенный промежуток времени
🍭 Журналы от разных источников. Общий взгляд на логи, генерируемые разными ресурсами
🍭 Возможность фильтрации. Анализ больших объемов данных на основании выборки, определяемой пользователем
В итоге получается наглядная диаграмма, на которой видна «летопись» происходящего. С примерами можно ознакомиться в repo проекта.
KHI подключается и настраивается очень просто (информацию об этом можно прочесть в Getting Started).
Реализована поддержка Google Cloud, однако, есть возможность использования KHI с «обычным» кластером Kubernetes. Подробнее об этом написано тут.
GitHub
GitHub - GoogleCloudPlatform/khi: A log viewer for Kubernetes troubleshooting
A log viewer for Kubernetes troubleshooting. Contribute to GoogleCloudPlatform/khi development by creating an account on GitHub.
SimKube: симуляция кластера Kubernetes
Всем привет!
SimKube – проект, который позволяет симулировать поведения кластера Kubernetes в безопасной изолированной среде.
Если просто, то он позволяет «записывать» действия пользователей в кластере и сохранять данные для последующего анализа.
Для этого у него есть несколько компонентов:
🍭 Tracer. Сохраняет события кластера, может быть настроен для сохранения событий. Определяемых пользователем
🍭 Controller. Запускает отдельный Kubernetes кластер и позволяет воспроизводить те самые симуляции
🍭 CLI. Утилита для упрощения взаимодействия с SimKube
Подобное решение может быть полезно, например, при расследовании инцидентов, чтобы понять, что именно и когда произошло.
Больше подробностей – архитектура, установка, настройка, видео с примером работы – можно найти в repo и на сайте с документацией.
Всем привет!
SimKube – проект, который позволяет симулировать поведения кластера Kubernetes в безопасной изолированной среде.
Если просто, то он позволяет «записывать» действия пользователей в кластере и сохранять данные для последующего анализа.
Для этого у него есть несколько компонентов:
🍭 Tracer. Сохраняет события кластера, может быть настроен для сохранения событий. Определяемых пользователем
🍭 Controller. Запускает отдельный Kubernetes кластер и позволяет воспроизводить те самые симуляции
🍭 CLI. Утилита для упрощения взаимодействия с SimKube
Подобное решение может быть полезно, например, при расследовании инцидентов, чтобы понять, что именно и когда произошло.
Больше подробностей – архитектура, установка, настройка, видео с примером работы – можно найти в repo и на сайте с документацией.
GitHub
GitHub - acrlabs/simkube: Record-and-replay Kubernetes simulator based on KWOK
Record-and-replay Kubernetes simulator based on KWOK - acrlabs/simkube
AIAutoFix.pdf
3.7 MB
AutoFix для исправления ИБ-дефектов кода
Всем привет!
Использование AI уже норма современности и практически все его используют в той или иной мере.
Статические анализаторы исходного кода – не исключение.
В крупную клетку можно выделить 2 основные задачи, где AI (наверное) может очень сильно помочь: разметка и помощь в генерации исправлений, чтобы было безопасно.
Если первая задача (реализация) еще вызывает вопросы, то вторая, кажется, получила статус «пригодности» и используется много у кого.
В прилагаемом отчете можно найти информацию о том, как с этой задачей справились разные анализаторы: Corgea, Amplify, Arnica, Pixee, OX, Aikido, Codacy.
Приводится статистика:
🍭 Fix coverage
🍭 Average fix quality
🍭 Final score
По каждому блоку приводятся комментарии Авторов относительно полученных результатов и возможностей решений: отправка данных в LLM, использование собственных наработок, комбинированный вариант.
В завершении приводится набор сильных и слабых сторон, которые были идентифицированы в рамках исследования.
С полными результатами (Google Таблица) можно ознакомиться тут.
А что вы думаете по поводу использования AI в SAST? Какие задачи он хорошо решает и где может быть использован (на практике, не в теории)?
Всем привет!
Использование AI уже норма современности и практически все его используют в той или иной мере.
Статические анализаторы исходного кода – не исключение.
В крупную клетку можно выделить 2 основные задачи, где AI (наверное) может очень сильно помочь: разметка и помощь в генерации исправлений, чтобы было безопасно.
Если первая задача (реализация) еще вызывает вопросы, то вторая, кажется, получила статус «пригодности» и используется много у кого.
В прилагаемом отчете можно найти информацию о том, как с этой задачей справились разные анализаторы: Corgea, Amplify, Arnica, Pixee, OX, Aikido, Codacy.
Приводится статистика:
🍭 Fix coverage
🍭 Average fix quality
🍭 Final score
По каждому блоку приводятся комментарии Авторов относительно полученных результатов и возможностей решений: отправка данных в LLM, использование собственных наработок, комбинированный вариант.
В завершении приводится набор сильных и слабых сторон, которые были идентифицированы в рамках исследования.
С полными результатами (Google Таблица) можно ознакомиться тут.
А что вы думаете по поводу использования AI в SAST? Какие задачи он хорошо решает и где может быть использован (на практике, не в теории)?
Обход политик OPA Gatekeeper
Всем привет!
Использование механизмов Admission Controller/Policy Engine для контроля того, что запускается и уже запущено в кластерах Kubernetes – обязательная практика информационной безопасности.
Однако, даже такие отличные инструменты не лишены изъянов, особенно если настраивать их без должного понимания происходящего.
Именно этому посвящена статья от Aqua Security, в которой приводятся примеры того, как можно «обойти» те самые политики.
В статье рассказывают про:
🍭 Что такое Admission Controller и OPA Gatekeeper в частности
🍭 Анализ простой, но полезной политики (контроль реестров, из которых можно «брать» образы)
🍭 Краткое описание логики работы политики «изнутри»
🍭 Примеры того, как можно «обойти» политику и запустить вредоносный образ
Да, обход достаточно «банальный» и простой, но тем не менее рабочий. Это лишний раз подчеркивает важность того, что понимание того «как это работает» помогает (в том числе) лучше выстраивать защиту.
В завершении статьи Авторы анализируют возможность подобного «обхода» для иных известных Policy Engine – Kyverno, Kubewarden, JSPolicy(там тоже получится 😊)
Всем привет!
Использование механизмов Admission Controller/Policy Engine для контроля того, что запускается и уже запущено в кластерах Kubernetes – обязательная практика информационной безопасности.
Однако, даже такие отличные инструменты не лишены изъянов, особенно если настраивать их без должного понимания происходящего.
Именно этому посвящена статья от Aqua Security, в которой приводятся примеры того, как можно «обойти» те самые политики.
В статье рассказывают про:
🍭 Что такое Admission Controller и OPA Gatekeeper в частности
🍭 Анализ простой, но полезной политики (контроль реестров, из которых можно «брать» образы)
🍭 Краткое описание логики работы политики «изнутри»
🍭 Примеры того, как можно «обойти» политику и запустить вредоносный образ
Да, обход достаточно «банальный» и простой, но тем не менее рабочий. Это лишний раз подчеркивает важность того, что понимание того «как это работает» помогает (в том числе) лучше выстраивать защиту.
В завершении статьи Авторы анализируют возможность подобного «обхода» для иных известных Policy Engine – Kyverno, Kubewarden, JSPolicy
Aqua
OPA Gatekeeper Bypass Reveals Risks in Kubernetes Policy Engines
Research on Kubernetes policy enforcement risks and how misconfigurations in seemingly secure rules like OPA Gatekeeper enable bypassing.
Pysa: статический анализатор для Python
Всем привет!
Pysa – «расширение» проекта Pyre (анализ качества кода), которое позволяет проверять исходный код на Python на наличие ИБ-дефектов.
Чтобы запустить Pysa понадобится:
🍭 Установить Pyre, Sapp и Watchman (опционально, для инкрементального сканирования)
🍭 Инициализировать Pysa-проект
🍭 Собрать информацию о ПО с использованием Pyre, включая данные о taint
🍭 Полученные данные отправить в Sapp и работать с результатами в минималистичном web-приложении
Pysa позволяет искать разные ИБ-дефекты, например: RCE, XSS, SQL-инъекции, SSRF и не только. Подробнее можно посмотреть тут.
Подробнее о том, как работает анализатор, способах его конфигурации и возможностях можно найти в документации на проект.
Всем привет!
Pysa – «расширение» проекта Pyre (анализ качества кода), которое позволяет проверять исходный код на Python на наличие ИБ-дефектов.
Чтобы запустить Pysa понадобится:
🍭 Установить Pyre, Sapp и Watchman (опционально, для инкрементального сканирования)
🍭 Инициализировать Pysa-проект
🍭 Собрать информацию о ПО с использованием Pyre, включая данные о taint
🍭 Полученные данные отправить в Sapp и работать с результатами в минималистичном web-приложении
Pysa позволяет искать разные ИБ-дефекты, например: RCE, XSS, SQL-инъекции, SSRF и не только. Подробнее можно посмотреть тут.
Подробнее о том, как работает анализатор, способах его конфигурации и возможностях можно найти в документации на проект.
pyre-check.org
Quickstart | Pyre
Quickstart guide to get Pysa and SAPP running on your project
Управление доступом к web-приложениям
Всем привет!
По ссылке можно найти достаточно подробную инструкцию о том, как реализовать безопасное управление доступом к web-приложениям.
Примечательно, что это статья написана не «от лица ИБ» (настройки, RBAC, контроль сессий и т.д.), а именно «от лица разработчика».
Автор описывает реализацию ABAC-модели с использованием CASL, в качестве основного инструмента.
В статье есть информация о том:
🍭 Что такое управление доступом, в чем разница между AuthN/Z
🍭 Разные подходы к управлению доступом
🍭 Детальное рассмотрение ABAC
🍭 Реализация ABAC с использованием CASL
Для наглядности Автор реализует все шаги – от установки CASL до написания небольшого приложения, демонстрирующего как это можно реализовать.
В итоге имеем отличный материал с множеством комментариев, примеров и, конечно же, кода. Рекомендуем!
Всем привет!
По ссылке можно найти достаточно подробную инструкцию о том, как реализовать безопасное управление доступом к web-приложениям.
Примечательно, что это статья написана не «от лица ИБ» (настройки, RBAC, контроль сессий и т.д.), а именно «от лица разработчика».
Автор описывает реализацию ABAC-модели с использованием CASL, в качестве основного инструмента.
В статье есть информация о том:
🍭 Что такое управление доступом, в чем разница между AuthN/Z
🍭 Разные подходы к управлению доступом
🍭 Детальное рассмотрение ABAC
🍭 Реализация ABAC с использованием CASL
Для наглядности Автор реализует все шаги – от установки CASL до написания небольшого приложения, демонстрирующего как это можно реализовать.
В итоге имеем отличный материал с множеством комментариев, примеров и, конечно же, кода. Рекомендуем!
freeCodeCamp.org
How to Build Scalable Access Control for Your Web App [Full Handbook]
Access control is crucial for preventing unauthorized access and ensuring that only the right people can access sensitive data in your application. As your app grows in complexity, so does the challenge of enforcing permissions in a clean and efficie...
Khronoscope: анализ состояния кластера k8s во времени
Всем привет!
Не так давно мы писали про проект KHI (Kubernetes History Inspector), который позволял визуализировать журналы k8s для того, чтобы понять, что происходило в кластере.
Еще одна утилита, которая может помочь разобраться в том, «как все было» - Khronoscope. Его основная задача – производить анализ конфигурации кластера в интересующий промежуток времени.
С его помощью можно:
🍭 Получать сведения о том, что и когда запускалось
🍭 Отслеживать конфигурации ресурсов
🍭 Смотреть логи ресурсов
🍭 «Проматывать время и не только
На текущий момент утилита работает с
Документация по установке, «горячие клавиши», видео с демонстрацией работы – все это можно найти в repo проекта.
Всем привет!
Не так давно мы писали про проект KHI (Kubernetes History Inspector), который позволял визуализировать журналы k8s для того, чтобы понять, что происходило в кластере.
Еще одна утилита, которая может помочь разобраться в том, «как все было» - Khronoscope. Его основная задача – производить анализ конфигурации кластера в интересующий промежуток времени.
С его помощью можно:
🍭 Получать сведения о том, что и когда запускалось
🍭 Отслеживать конфигурации ресурсов
🍭 Смотреть логи ресурсов
🍭 «Проматывать время и не только
На текущий момент утилита работает с
ConfigMap, DaemonSet, Deployments, Namespaces, Nodes, PersistentVolume, Pods, ReplicaSets, Secrets и ServicesДокументация по установке, «горячие клавиши», видео с демонстрацией работы – все это можно найти в repo проекта.
GitHub
GitHub - hoyle1974/khronoscope: Imagine a tool like k9s that also lets you rewind in time to see the status of your cluster through…
Imagine a tool like k9s that also lets you rewind in time to see the status of your cluster through time. - hoyle1974/khronoscope
Поиск изменений и Container Drift
Всем привет!
Изначально контейнеры были задуманы как неизменяемые сущности (immutable). Однако, бывают случаи что «что-то поменялось» и надо понять, что именно.
Для этого можно пользоваться разными инструментами. Например: Docker Forensics Toolkit, Kube Forensics, Docker & Container Explorer.
В статье Автор описывает свои размышления на эту тему:
🍭 Что такое Container Drift
🍭 Поиск drift при работе с Docker
🍭 Поиск drift при работе с containerd
🍭 Автоматизация описанных подходов
В статье очень много примеров и деталей, а также разных способов реализации поиска container drift.
Это может быть полезно не только ИБ, но и ИТ-специалистам при расследовании инцидентов и идентификации основной проблемы.
Всем привет!
Изначально контейнеры были задуманы как неизменяемые сущности (immutable). Однако, бывают случаи что «что-то поменялось» и надо понять, что именно.
Для этого можно пользоваться разными инструментами. Например: Docker Forensics Toolkit, Kube Forensics, Docker & Container Explorer.
В статье Автор описывает свои размышления на эту тему:
🍭 Что такое Container Drift
🍭 Поиск drift при работе с Docker
🍭 Поиск drift при работе с containerd
🍭 Автоматизация описанных подходов
В статье очень много примеров и деталей, а также разных способов реализации поиска container drift.
Это может быть полезно не только ИБ, но и ИТ-специалистам при расследовании инцидентов и идентификации основной проблемы.
Medium
Adrift in the Cloud: A Forensic Dive into Container Drift
In this discussion, I’ll be diving into container drift detection, specifically, analyzing container drift from a forensics perspective
Идентификация угроз в Kubernetes
Всем привет!
Еще одна потрясающая статья от ребят из Exness! В ней Авторы делятся практиками, которые они используют для мониторинга и идентификации угроз, характерных для Kubernetes.
В первой части приводится описание используемых средств автоматизации. Выбор команды пал на Tetragon (в качестве агента) и Kubernetes Audit Log (для получения информации о том, что происходит с кластером).
Описываются плюсы и минусы использования open source, доработки, реализованные командой, а также Audit Policy, которую применяют в Exness.
Дальше – интересней! Поиск угроз:
🍭 System Binary Renaming
🍭 Privileged Container Detected
🍭 Suspicious Execution Activity Inside a Container
🍭 Cluster Admin Role Bound to the User и не только
Для каждой угрозы приводится ее классификация по MITRE и/или матрицей от Microsoft, краткое описание и возможные способы ее идентификации.
Очень и очень полезный материал для тех, кто работает с мониторингом ИБ сред контейнерной оркестрации. Рекомендуем! ☺️
Всем привет!
Еще одна потрясающая статья от ребят из Exness! В ней Авторы делятся практиками, которые они используют для мониторинга и идентификации угроз, характерных для Kubernetes.
В первой части приводится описание используемых средств автоматизации. Выбор команды пал на Tetragon (в качестве агента) и Kubernetes Audit Log (для получения информации о том, что происходит с кластером).
Описываются плюсы и минусы использования open source, доработки, реализованные командой, а также Audit Policy, которую применяют в Exness.
Дальше – интересней! Поиск угроз:
🍭 System Binary Renaming
🍭 Privileged Container Detected
🍭 Suspicious Execution Activity Inside a Container
🍭 Cluster Admin Role Bound to the User и не только
Для каждой угрозы приводится ее классификация по MITRE и/или матрицей от Microsoft, краткое описание и возможные способы ее идентификации.
Очень и очень полезный материал для тех, кто работает с мониторингом ИБ сред контейнерной оркестрации. Рекомендуем! ☺️
Medium
Threat Detection in the K8s Environment
Discover what tools our SOC team uses to detect malicious activity on our clusters
Атаки на JSON Web Tokens (JWT)
Всем привет!
JWT повсеместно используются в современном мире для решения значимых задач – аутентификация, авторизация, безопасный обмен данными в приложениях.
Поэтому их защита – крайне важная задача. Если вам интересна эта тема, то рекомендуем прочесть статью.
После минималистичной вводной (что такое JWT, из каких «частей» состоит, какие они бывают и т.д.) Автор переходит к самому интересному – атакам и уязвимостям, связанным с технологией!
Рассматриваются:
🍭 Signature Not Verified
🍭 None Algorithm Attack
🍭 Trivial Secret
🍭 Algorithm Confusion и не только
Для каждой уязвимости описано в чем ее суть, какое может быть воздействие/ущерб (impact), как ее можно эксплуатировать и как можно защититься.
Коротко, ёмко, без воды и по делу! То, что надо!
Всем привет!
JWT повсеместно используются в современном мире для решения значимых задач – аутентификация, авторизация, безопасный обмен данными в приложениях.
Поэтому их защита – крайне важная задача. Если вам интересна эта тема, то рекомендуем прочесть статью.
После минималистичной вводной (что такое JWT, из каких «частей» состоит, какие они бывают и т.д.) Автор переходит к самому интересному – атакам и уязвимостям, связанным с технологией!
Рассматриваются:
🍭 Signature Not Verified
🍭 None Algorithm Attack
🍭 Trivial Secret
🍭 Algorithm Confusion и не только
Для каждой уязвимости описано в чем ее суть, какое может быть воздействие/ущерб (impact), как ее можно эксплуатировать и как можно защититься.
Коротко, ёмко, без воды и по делу! То, что надо!
Pentesterlab
The Ultimate Guide to JWT Vulnerabilities and Attacks (with Exploitation Examples)
Master JWT security with this in-depth guide to web hacking and AppSec. Learn how to exploit and defend against real-world JWT vulnerabilities like algorithm confusion, weak secrets, and kid injection — with hands-on labs from PentesterLab.