#blueteam #redteam #pentest
MITRE ATT&CK
Kill chain хорошо подходит для моделирования угроз, но все этапы жизненного цикла необходимо наполнять какими-то действиями. Т. е. речь идет о систематизации имеющейся информации о всех методах атак, используемых злоумышленниками.
В этом нам может помочь матрица Mitre Att&ck (Adversarial Tactics, Techniques & Common Knowledge — «тактики, техники и общеизвестные факты о злоумышленниках»). Она основана на реальных наблюдениях компании Mitre и содержит описание тактик, приемов и методов, используемых злоумышленниками.
Базу Mitre Att&ck компания Mitre создала в 2013 году. Цель проекта — составление структурированной матрицы используемых злоумышленниками приемов, чтобы упростить задачу реагирования на киберинциденты.
Каждая матрица представляет собой таблицу, в которой заголовки столбцов соответствуют тактикам злоумышленников (основные этапы кибератаки или подготовки к ней), а содержимое ячеек — методикам реализации этих тактик, или техникам. Так, если сбор данных согласно Mitre Att&ck — это тактика атаки, то способы сбора, например автоматический сбор или сбор данных со съемных носителей, — это техники.
Матрицы Mitre Att&ck объединены в следующие группы:
- PRE-ATT&CK — тактики и техники, которые злоумышленники используют на этапе подготовки к кибератаке.
- Enterprise — тактики и техники, которые злоумышленники применяют в ходе атаки на организации.
- Mobile — тактики и техники, которые злоумышленники используют в ходе атаки на мобильные устройства под управлением iOS и Android.
- ATT&CK for ICS — тактики и техники, которые используются в кибератаках на промышленные системы управления.
Стоит отметить, что данная матрица не заменяет kill chain, а всего лишь уточняет, что скрывается за последними тремя этапами. Подробности в прикрепленной картинке.
MITRE ATT&CK
Kill chain хорошо подходит для моделирования угроз, но все этапы жизненного цикла необходимо наполнять какими-то действиями. Т. е. речь идет о систематизации имеющейся информации о всех методах атак, используемых злоумышленниками.
В этом нам может помочь матрица Mitre Att&ck (Adversarial Tactics, Techniques & Common Knowledge — «тактики, техники и общеизвестные факты о злоумышленниках»). Она основана на реальных наблюдениях компании Mitre и содержит описание тактик, приемов и методов, используемых злоумышленниками.
Базу Mitre Att&ck компания Mitre создала в 2013 году. Цель проекта — составление структурированной матрицы используемых злоумышленниками приемов, чтобы упростить задачу реагирования на киберинциденты.
Каждая матрица представляет собой таблицу, в которой заголовки столбцов соответствуют тактикам злоумышленников (основные этапы кибератаки или подготовки к ней), а содержимое ячеек — методикам реализации этих тактик, или техникам. Так, если сбор данных согласно Mitre Att&ck — это тактика атаки, то способы сбора, например автоматический сбор или сбор данных со съемных носителей, — это техники.
Матрицы Mitre Att&ck объединены в следующие группы:
- PRE-ATT&CK — тактики и техники, которые злоумышленники используют на этапе подготовки к кибератаке.
- Enterprise — тактики и техники, которые злоумышленники применяют в ходе атаки на организации.
- Mobile — тактики и техники, которые злоумышленники используют в ходе атаки на мобильные устройства под управлением iOS и Android.
- ATT&CK for ICS — тактики и техники, которые используются в кибератаках на промышленные системы управления.
Стоит отметить, что данная матрица не заменяет kill chain, а всего лишь уточняет, что скрывается за последними тремя этапами. Подробности в прикрепленной картинке.
#writeup #poc #CVE
CVE-2020–25213: wp-file-manager wordpress plugin (<6.9) for unauthenticated arbitrary file upload
Wordpress является одной из самых популярных CMS в мире, поэтому не исключено, что и вы имеете или имели с ней дело.
Недавно выявленная уязвимость в плагине File Manager (wp-file-manager) позволяет неавторизованному пользователю загружать и выполнять произвольный код PHP, что приводит к сами пониманиете к каким последствиям.
Чтобы исправить уязвимость, просто обновите плагин до версии 6.9. А нам, как исследователям безопасности веб-приложений, следует остановиться на данном writeup'е подробнее, ведь его автор создал эксплойт только после анализа описания, доступного в различных блогах (wordfence и seravo) с девизом, позволяющим читателям понять, как создать POC (Proof of Concept), просто проанализировав описание уязвимости.
https://proglib.io/w/103f52aa
CVE-2020–25213: wp-file-manager wordpress plugin (<6.9) for unauthenticated arbitrary file upload
Wordpress является одной из самых популярных CMS в мире, поэтому не исключено, что и вы имеете или имели с ней дело.
Недавно выявленная уязвимость в плагине File Manager (wp-file-manager) позволяет неавторизованному пользователю загружать и выполнять произвольный код PHP, что приводит к сами пониманиете к каким последствиям.
Чтобы исправить уязвимость, просто обновите плагин до версии 6.9. А нам, как исследователям безопасности веб-приложений, следует остановиться на данном writeup'е подробнее, ведь его автор создал эксплойт только после анализа описания, доступного в различных блогах (wordfence и seravo) с девизом, позволяющим читателям понять, как создать POC (Proof of Concept), просто проанализировав описание уязвимости.
https://proglib.io/w/103f52aa
Wordfence
700,000 WordPress Users Affected by Zero-Day Vulnerability in File Manager Plugin
This morning, on September 1, 2020, the Wordfence Threat Intelligence team was alerted to the presence of a vulnerability being actively exploited in File Manager, a WordPress plugin with over 700,000 active installations. This vulnerability allowed unauthenticated…
Analiticheskij-obzor.-Metadannye_Digital-Security.pdf
1.9 MB
#pentest #recon
Ранее на канале упоминалась важность анализа метаданных в ходе разведки. Это подтверждают аналитические исследования, проводимые многими компаниями.
Зачастую при создании нового документа цифровые следы остаются незамеченными (для рядового пользователя). Так или иначе, метаданные используются не только из добрых побуждений и могут представлять угрозу конфиденциальности.
Так, специалисты из Digital Security подготовили аналитический обзор по проблеме использования метаданных, для того чтобы узнать, как различные интернет-ресурсы относятся к метаданным передаваемых или загружаемых пользователями файлов. Авторы пользовались информацией из открытых источников.
Ранее на канале упоминалась важность анализа метаданных в ходе разведки. Это подтверждают аналитические исследования, проводимые многими компаниями.
Зачастую при создании нового документа цифровые следы остаются незамеченными (для рядового пользователя). Так или иначе, метаданные используются не только из добрых побуждений и могут представлять угрозу конфиденциальности.
Так, специалисты из Digital Security подготовили аналитический обзор по проблеме использования метаданных, для того чтобы узнать, как различные интернет-ресурсы относятся к метаданным передаваемых или загружаемых пользователями файлов. Авторы пользовались информацией из открытых источников.
#pentest #bugbounty #tools
Burp Suite — это швейцарский нож для тестирования безопасности веб-приложений. Если посмотреть репорты Bug Bounty программ, то практически везде на скриншотах можно встретить использование этого инструмента. Альтернативой является OWASP ZAP, который тоже не стоит списывать со счетов.
Но вернемся к Burp Suite. Данная интегрированная платформа предназначена для проведения аудита веб-приложения, как в ручном, так и в автоматических режимах, если речь идет о профессиональной (платной) версии. Для начала работы вам будет достаточно бесплатной версии.
Суть работы Burp Suite заключается в проксирующем механизме, который перехватывает и обрабатывает все поступающие от браузера запросы.
Burp Suite содержит следующие ключевые компоненты:
✔️Proxy — перехватывающий прокси-сервер. Находясь между браузером и целевым веб-приложением он позволит вам перехватывать, изучать и изменять запросы.
✔️Spider — паук, позволяющий в автоматическом режиме собирать информацию о об архитектуре веб-приложения, переходить по ссылкам и составлять карту целевого веб-приложения.
✔️Scanner — автоматический сканер уязвимостей (профессиональная версия).
✔️Intruder — утилита, позволяющая в автоматическом режиме производить атаки различного вида, такие как подбор пароля, перебор идентификаторов, фаззинг и так далее.
✔️Repeater — утилита для модифицирования и повторной отправки отдельных HTTP-запросов и анализа ответов целевого веб-приложения.
✔️Sequencer — утилита для анализа генерации случайных данных приложения и выявления алгоритма генерации.
✔️Decoder — утилита для ручного или автоматического преобразования данных целевого веб-приложения.
✔️Comparer — утилита для запросов и ответов.
✔️Extender — расширения в BurpSuite. Можно добавлять как готовые из BApp store, так и собственной разработки.
Ряд деталей было опущено для упрощения, но с ними вы можете ознакомиться в статьях на Хабре (описание возможностей и полезные приемы по использованию Burp Suite более эффективно).
Цикл полезных видеороков по работе с Burp Suite для новичков: https://proglib.io/w/8960652f
Скачать Burp Suite: https://proglib.io/w/123cd3a9
Burp Suite — это швейцарский нож для тестирования безопасности веб-приложений. Если посмотреть репорты Bug Bounty программ, то практически везде на скриншотах можно встретить использование этого инструмента. Альтернативой является OWASP ZAP, который тоже не стоит списывать со счетов.
Но вернемся к Burp Suite. Данная интегрированная платформа предназначена для проведения аудита веб-приложения, как в ручном, так и в автоматических режимах, если речь идет о профессиональной (платной) версии. Для начала работы вам будет достаточно бесплатной версии.
Суть работы Burp Suite заключается в проксирующем механизме, который перехватывает и обрабатывает все поступающие от браузера запросы.
Burp Suite содержит следующие ключевые компоненты:
✔️Proxy — перехватывающий прокси-сервер. Находясь между браузером и целевым веб-приложением он позволит вам перехватывать, изучать и изменять запросы.
✔️Spider — паук, позволяющий в автоматическом режиме собирать информацию о об архитектуре веб-приложения, переходить по ссылкам и составлять карту целевого веб-приложения.
✔️Scanner — автоматический сканер уязвимостей (профессиональная версия).
✔️Intruder — утилита, позволяющая в автоматическом режиме производить атаки различного вида, такие как подбор пароля, перебор идентификаторов, фаззинг и так далее.
✔️Repeater — утилита для модифицирования и повторной отправки отдельных HTTP-запросов и анализа ответов целевого веб-приложения.
✔️Sequencer — утилита для анализа генерации случайных данных приложения и выявления алгоритма генерации.
✔️Decoder — утилита для ручного или автоматического преобразования данных целевого веб-приложения.
✔️Comparer — утилита для запросов и ответов.
✔️Extender — расширения в BurpSuite. Можно добавлять как готовые из BApp store, так и собственной разработки.
Ряд деталей было опущено для упрощения, но с ними вы можете ознакомиться в статьях на Хабре (описание возможностей и полезные приемы по использованию Burp Suite более эффективно).
Цикл полезных видеороков по работе с Burp Suite для новичков: https://proglib.io/w/8960652f
Скачать Burp Suite: https://proglib.io/w/123cd3a9
#pentest #bugbounty #tools
Об инструментах для анализа безопасности веб-приложений можно говорить бесконечно. Но правильный выбор инструментария может уменьшить количество рутинных операций и сократить время поиска уязвимостей.
Итак, вернемся к Burp Suite. Чтобы во вчерашнем посте не нагромождать количество ссылок, несколько особо интересных ссылок и мыслей было оставлено на сегодня.
В следующей серии статей вы увидите набор практических советов по работе с Burp Suite, которые упростят поиск уязвимостей:
- часть 1
- часть 2
Следующая статья того же автора о связке Burp Suite и Aquatone, а именно об использовании данных инструментов для автоматического выполнения скриншотов. На входе список ссылок из Burp Suite — на выходе скриншот каждой ссылки и заголовки ответа веб-сервера.
Aquatone также можно и нужно применять вкупе с инструментами для поиска поддоменов. Но это другая и не менее важная история, о которой мы поговорим в другой раз.
Напоследок оставлю ссылку на канал, в котором можно увидеть множество интересного о Burp Suite: https://t.me/burpsuite
Об инструментах для анализа безопасности веб-приложений можно говорить бесконечно. Но правильный выбор инструментария может уменьшить количество рутинных операций и сократить время поиска уязвимостей.
Итак, вернемся к Burp Suite. Чтобы во вчерашнем посте не нагромождать количество ссылок, несколько особо интересных ссылок и мыслей было оставлено на сегодня.
В следующей серии статей вы увидите набор практических советов по работе с Burp Suite, которые упростят поиск уязвимостей:
- часть 1
- часть 2
Следующая статья того же автора о связке Burp Suite и Aquatone, а именно об использовании данных инструментов для автоматического выполнения скриншотов. На входе список ссылок из Burp Suite — на выходе скриншот каждой ссылки и заголовки ответа веб-сервера.
Aquatone также можно и нужно применять вкупе с инструментами для поиска поддоменов. Но это другая и не менее важная история, о которой мы поговорим в другой раз.
Напоследок оставлю ссылку на канал, в котором можно увидеть множество интересного о Burp Suite: https://t.me/burpsuite
Medium
Burp Suite Tips — Volume 1
Compilation of basic Burp Suite tips to utilize when assessing the security posture of web applications.
The Red Team Guide.pdf
12.1 MB
#book
The Red Team Guide
A practical guide for Red Teams and Offensive Security
Ранее мы с вами разбирались с понятием Red Team и рассматривали матрицы Mitre Att&ck, которые описывают тактики, техники и процедуры атакующих.
Red Teaming — это процесс использования тактик, методов и процедур для имитации реальных угроз с целью обучения и измерения эффективности сотрудников, процессов и технологий, используемых для защиты корпоративной инфраструктуры.
Процесс Red Teaming использует методы и техники наступательной (offensive) безопасности и позволяет получить представление об общей безопасности организации (способность обнаруживать атаки, реагировать на них и восстанавливаться после них).
Данная книга является очередной фундаментальной книгой, которая должна попасть в вашу библиотеку. Она научит вас управлять командой Red Team, проводить соответствующие мероприятия и понимать ее роль и важность в тестировании безопасности.
Кроме того, авторы книги на практике проведут вас по всем этапам kill chain.
The Red Team Guide
A practical guide for Red Teams and Offensive Security
Ранее мы с вами разбирались с понятием Red Team и рассматривали матрицы Mitre Att&ck, которые описывают тактики, техники и процедуры атакующих.
Red Teaming — это процесс использования тактик, методов и процедур для имитации реальных угроз с целью обучения и измерения эффективности сотрудников, процессов и технологий, используемых для защиты корпоративной инфраструктуры.
Процесс Red Teaming использует методы и техники наступательной (offensive) безопасности и позволяет получить представление об общей безопасности организации (способность обнаруживать атаки, реагировать на них и восстанавливаться после них).
Данная книга является очередной фундаментальной книгой, которая должна попасть в вашу библиотеку. Она научит вас управлять командой Red Team, проводить соответствующие мероприятия и понимать ее роль и важность в тестировании безопасности.
Кроме того, авторы книги на практике проведут вас по всем этапам kill chain.
Опрос показал, что в аудитории канала преобладают разработчики. Вероятнее всего, вам интереснее читать о следующих темах: разработка безопасных приложений, DevOps, CI / CD, безопасность в DevOps.
Anonymous Poll
35%
Да
5%
Нет
40%
Лучше чередовать предыдущие темы и эти
20%
Оставить все как есть
4%
Я не знаю что это
11%
Посмотреть результаты
#devops #devsecops
Темы DevOps и безопасного DevOps (DevSecOps) стремительно развиваются последнее время. Связано это с тем, что нынешняя конкуренция вынуждает организации брать на себя риски хранения большого количества конфиденциальных данных, что является идеальным условием для катастрофы. Поэтому с увеличением количества онлайн-сервисов растет частота обнаружения проблем в безопасности.
Так вот, DevSecOps показывает, как можно помочь организациям безопасно работать с данными, доверенными пользователями, и защищать их.
Но, прежде чем переходить к DevSecOps, необходимо разобраться с процессом DevOps. Простыми словами, DevOps представляет собой процесс непрерывного совершенствования программных продуктов с помощью ускорения циклов релизов, автоматизации конвейеров (интеграционных и разверточных) и тесного взаимодействия между командами.
Цель DevOps — сокращение времени и стоимости воплощения идеи в продукте, которым пользуются клиенты.
Как вы уже поняли, главной составляющей в DevOps является полностью автоматизированный процесс от отправки разработчиком модификации программы до развертывания сервиса в среде эксплуатации (production).
1. Автоматизированная интеграция нового функционала в программный продукт называется непрерывной интеграцией (Continuous Integration, CI). CI определяет рабочие процессы для внедрения, тестирования и слияния функциональностей в программном продукте. Ключевыми составляющими на данном этапе являются автоматизированные тесты, которые позволяют ответить на следующий вопрос: «Не спровоцировали ли изменения появления ошибок в существующем функционале и сохранился ли уровень качества?». Изменения сливаются с основным репозиторием после проверки изменений.
2. Автоматизацию развертывания программных продуктов в сервисах, доступных для пользователей, называют непрерывной поставкой (Continuous Delivery, CD). Вместо управления компонентами инфраструктуры вручную DevOps предполагает программирование инфраструктуры для быстрой обработки изменений. Когда разработчики выполняют слияние кода с изменениями в программе, специалисты по эксплуатации запускают развертывание обновленной программы из СD-конвейера, который автоматически извлекает последнюю версию исходного кода, упаковывает ее и создает для нее новую инфраструктуру.
3. Следующим ключевым компонентом DevOps является Инфраструктура как сервис (Infrastructure-as-a-Service, IaaS), которая может быть представлена в виде облака или может быть развернута штатно, например с помощью Kubernetes.
Вышеперечисленные концепции лежат в основе процесса DevSecOps, который еще можно назвать непрерывной безопасностью. Непрерывная безопасность в свою очередь охватывает следующие области:
- Безопасность на основе тестирования (Test-Driven Security, TDS),
- Мониторинг и реагирование на атаки,
- Оценка рисков и усиление безопасности.
Темы DevOps и безопасного DevOps (DevSecOps) стремительно развиваются последнее время. Связано это с тем, что нынешняя конкуренция вынуждает организации брать на себя риски хранения большого количества конфиденциальных данных, что является идеальным условием для катастрофы. Поэтому с увеличением количества онлайн-сервисов растет частота обнаружения проблем в безопасности.
Так вот, DevSecOps показывает, как можно помочь организациям безопасно работать с данными, доверенными пользователями, и защищать их.
Но, прежде чем переходить к DevSecOps, необходимо разобраться с процессом DevOps. Простыми словами, DevOps представляет собой процесс непрерывного совершенствования программных продуктов с помощью ускорения циклов релизов, автоматизации конвейеров (интеграционных и разверточных) и тесного взаимодействия между командами.
Цель DevOps — сокращение времени и стоимости воплощения идеи в продукте, которым пользуются клиенты.
Как вы уже поняли, главной составляющей в DevOps является полностью автоматизированный процесс от отправки разработчиком модификации программы до развертывания сервиса в среде эксплуатации (production).
1. Автоматизированная интеграция нового функционала в программный продукт называется непрерывной интеграцией (Continuous Integration, CI). CI определяет рабочие процессы для внедрения, тестирования и слияния функциональностей в программном продукте. Ключевыми составляющими на данном этапе являются автоматизированные тесты, которые позволяют ответить на следующий вопрос: «Не спровоцировали ли изменения появления ошибок в существующем функционале и сохранился ли уровень качества?». Изменения сливаются с основным репозиторием после проверки изменений.
2. Автоматизацию развертывания программных продуктов в сервисах, доступных для пользователей, называют непрерывной поставкой (Continuous Delivery, CD). Вместо управления компонентами инфраструктуры вручную DevOps предполагает программирование инфраструктуры для быстрой обработки изменений. Когда разработчики выполняют слияние кода с изменениями в программе, специалисты по эксплуатации запускают развертывание обновленной программы из СD-конвейера, который автоматически извлекает последнюю версию исходного кода, упаковывает ее и создает для нее новую инфраструктуру.
3. Следующим ключевым компонентом DevOps является Инфраструктура как сервис (Infrastructure-as-a-Service, IaaS), которая может быть представлена в виде облака или может быть развернута штатно, например с помощью Kubernetes.
Вышеперечисленные концепции лежат в основе процесса DevSecOps, который еще можно назвать непрерывной безопасностью. Непрерывная безопасность в свою очередь охватывает следующие области:
- Безопасность на основе тестирования (Test-Driven Security, TDS),
- Мониторинг и реагирование на атаки,
- Оценка рисков и усиление безопасности.
#bugbounty
Bug Bounty: как заработать на взломе
Статья, в которой вы увидите много интересного относительно участия в программах Bug Bounty, а именно: обзор платформ для взаимодействия хакеров и компаний, виды программ Bug Bounty, виды и примеры условий при участии в программах Bug Bounty и многое другое.
https://proglib.io/sh/3TOy0rBskY
Bug Bounty: как заработать на взломе
Статья, в которой вы увидите много интересного относительно участия в программах Bug Bounty, а именно: обзор платформ для взаимодействия хакеров и компаний, виды программ Bug Bounty, виды и примеры условий при участии в программах Bug Bounty и многое другое.
https://proglib.io/sh/3TOy0rBskY
Библиотека программиста
? Bug Bounty: как заработать на взломе
Белый хакер на фрилансе может заработать $200 за 5 минут, но не спешите сразу ломать все подряд. Мы расскажем, как делать это легально с программами Bug Bounty.
#CVE
Если вы или ваша компания пользуетесь Google Chrome под Windows, Mac или Linux, то вам в срочном порядке следует обновиться до актуальной версии, которая включает целых 5 исправлений безопасности.
Одним из фиксов является исравление zero-day уязвимости CVE-2020-15999, существующей в функции FreeType «LoadSBitPng», которая обрабатывает встроенные в шрифты изображения PNG.
Злоумышленники могут использовать этот баг для выполнения произвольного кода, просто используя специально созданные шрифты со встроенными изображениями PNG.
Подробности: https://proglib.io/w/78c38d2a
Если вы или ваша компания пользуетесь Google Chrome под Windows, Mac или Linux, то вам в срочном порядке следует обновиться до актуальной версии, которая включает целых 5 исправлений безопасности.
Одним из фиксов является исравление zero-day уязвимости CVE-2020-15999, существующей в функции FreeType «LoadSBitPng», которая обрабатывает встроенные в шрифты изображения PNG.
Злоумышленники могут использовать этот баг для выполнения произвольного кода, просто используя специально созданные шрифты со встроенными изображениями PNG.
Подробности: https://proglib.io/w/78c38d2a
Chrome Releases
Stable Channel Update for Desktop
The stable channel has been updated to 86.0.4240.111 for Windows, Mac & Linux which will roll out over the coming days/weeks. A list of all...
#devsecops
Ранее мы определились, что непрерывная безопасность среди прочего включает такую область, как безопасность на основе тестирования (TDS).
Первыми шагами к безопасности программных продуктов являются определение, реализация и тестирование управления безопасностью.
Необходимого уровня безопасности можно добиться последовательной реализацией основных мер безопасности и их тестированием на точность, поэтому случаи ручного тестирования должны быть исключением. Тестировать безопасность следует так же, как и все приложения в CI- и СО-конвейерах: автоматически и повсеместно.
Что из себя представляет TDS?
Подход TDS похож на метод разработки через тестирование (TDD), при котором разработчики сначала пишут тесты, представляющие желаемое поведение, а затем код, реализующий сами тесты. TDS предлагает сначала писать тесты безопасности, представляющие ожидаемое состояние, а затем реализовывать меры безопасности, которым предстоит проходить эти тесты.
Данный подход предоставляет следующие преимущества:
✔️Необходимость создание тестов -> глубокое понимание и документирование ожидаемого результата со стороны инженеров по безопасности.
✔️Меры безопасности представляют собой не абстрактные требования, а конкретные операции.
✔️Недостатки в безопасности обнаруживаются до развертывания кода в боевой среде.
Подход TDS кратко и понятно представлен на прикрепленной схеме, из которой видно, что TDS внедряется в CI/CD для выполнения тестов безопасности перед развертыванием в боевой среде.
Ранее мы определились, что непрерывная безопасность среди прочего включает такую область, как безопасность на основе тестирования (TDS).
Первыми шагами к безопасности программных продуктов являются определение, реализация и тестирование управления безопасностью.
Необходимого уровня безопасности можно добиться последовательной реализацией основных мер безопасности и их тестированием на точность, поэтому случаи ручного тестирования должны быть исключением. Тестировать безопасность следует так же, как и все приложения в CI- и СО-конвейерах: автоматически и повсеместно.
Что из себя представляет TDS?
Подход TDS похож на метод разработки через тестирование (TDD), при котором разработчики сначала пишут тесты, представляющие желаемое поведение, а затем код, реализующий сами тесты. TDS предлагает сначала писать тесты безопасности, представляющие ожидаемое состояние, а затем реализовывать меры безопасности, которым предстоит проходить эти тесты.
Данный подход предоставляет следующие преимущества:
✔️Необходимость создание тестов -> глубокое понимание и документирование ожидаемого результата со стороны инженеров по безопасности.
✔️Меры безопасности представляют собой не абстрактные требования, а конкретные операции.
✔️Недостатки в безопасности обнаруживаются до развертывания кода в боевой среде.
Подход TDS кратко и понятно представлен на прикрепленной схеме, из которой видно, что TDS внедряется в CI/CD для выполнения тестов безопасности перед развертыванием в боевой среде.
#redteam #pentest
Ребята из отдела безопасности Positive Technologies (PT Security Weakness Advanced Research and Modeling — PT SWARM) делятся информацией из первых рук, полученной на практике. В приведенных репортах вы увидите яркий пример того, как настоящие безопасники могут из одной подконтрольной точки получить контроль над всей сетью:
- Attacking MS Exchange Web Interfaces
- IDA Pro Tips to Add to Your Bag of Tricks
- Grafana 6.4.3 Arbitrary File Read
- Kerberoasting without SPNs
- Vulnerabilities in the Openfire Admin Console
Ребята из отдела безопасности Positive Technologies (PT Security Weakness Advanced Research and Modeling — PT SWARM) делятся информацией из первых рук, полученной на практике. В приведенных репортах вы увидите яркий пример того, как настоящие безопасники могут из одной подконтрольной точки получить контроль над всей сетью:
- Attacking MS Exchange Web Interfaces
- IDA Pro Tips to Add to Your Bag of Tricks
- Grafana 6.4.3 Arbitrary File Read
- Kerberoasting without SPNs
- Vulnerabilities in the Openfire Admin Console
PT SWARM
Attacking MS Exchange Web Interfaces
Describing all the techniques for attacking MS Exchange in Q2 2020 and introducing a new one: the LDAP via Exchange attack
#devops #devsecops
2 статьи, которые помогут погрузиться в тему DevOps:
- Как и зачем становиться DevOps-инженером?
- Повседневные задачи в DevOps: мнения инженеров
Первый материал более общий и посвящён основам DevOps и методам освоения данной профессии. Во второй статье корреспондент Proglib выяснил у инженеров DevOps, с какими задачами они сталкиваются ежедневно и какими инструментами пользуются.
Кстати, одним из опрашиваемых является Андрей Сидоров, который в настоящее время занимает должность DevSecOps Architech в компании ARRIVAL.
2 статьи, которые помогут погрузиться в тему DevOps:
- Как и зачем становиться DevOps-инженером?
- Повседневные задачи в DevOps: мнения инженеров
Первый материал более общий и посвящён основам DevOps и методам освоения данной профессии. Во второй статье корреспондент Proglib выяснил у инженеров DevOps, с какими задачами они сталкиваются ежедневно и какими инструментами пользуются.
Кстати, одним из опрашиваемых является Андрей Сидоров, который в настоящее время занимает должность DevSecOps Architech в компании ARRIVAL.
Библиотека программиста
👨🔧️ Как и зачем становиться DevOps-инженером?
Хотите узнать, зачем в современном IT нужны DevOps-инженеры и почему такой должности не было раньше? Объясняем максимально просто.
#devsecops
Второй концептуальной сферой непрерывной безопасности является мониторинг и реагирование на атаки.
Вы знаете, что все без исключения системы, имеющие выход в интернет, в конечном счете будут взломаны или как минимум атакованы. Поэтому оптимальный подход к мониторингу и реагированию на атаки должен состоять из трех компонентов:
✔️журналирования и выявления нарушений,
✔️обнаружения вторжений,
✔️реагирования на инциденты.
Остановимся на первом компоненте. С точки зрения безопасности журналирование и выявление нарушений преследует две цели:
- обнаружение аномалий в безопасности;
- предоставление возможностей для проведения экспертизы при расследовании
инцидентов.
За счет чего это реализуется?
За счет концепции конвейера журналирования, предназначенной для создания единого канала обработки и концентрации событий журналов из различных источников, в котором можно обнаруживать аномалии.
Конвейер журналирования включает следующие уровни:
✔️уровень сбора для фиксирования событий журналов из различных компонентов инфраструктуры;
✔️уровень потоковой передачи для захвата и перенаправления событий журналов;
✔️уровень анализа, с помощью которого можно изучить содержимое журналов,
обнаружить вторжения и своевременно на них отреагировать;
✔️уровень хранения;
✔️уровень доступа, позволяющий предоставлять специалистам по эксплуатации (DevOps-специалистам) и разработчикам доступ к журналам.
Компоненты конвейера журналирования представлены на прикрепленной схеме. Остальные компоненты мониторинга и реагирования на атаки рассмотрим далее.
Второй концептуальной сферой непрерывной безопасности является мониторинг и реагирование на атаки.
Вы знаете, что все без исключения системы, имеющие выход в интернет, в конечном счете будут взломаны или как минимум атакованы. Поэтому оптимальный подход к мониторингу и реагированию на атаки должен состоять из трех компонентов:
✔️журналирования и выявления нарушений,
✔️обнаружения вторжений,
✔️реагирования на инциденты.
Остановимся на первом компоненте. С точки зрения безопасности журналирование и выявление нарушений преследует две цели:
- обнаружение аномалий в безопасности;
- предоставление возможностей для проведения экспертизы при расследовании
инцидентов.
За счет чего это реализуется?
За счет концепции конвейера журналирования, предназначенной для создания единого канала обработки и концентрации событий журналов из различных источников, в котором можно обнаруживать аномалии.
Конвейер журналирования включает следующие уровни:
✔️уровень сбора для фиксирования событий журналов из различных компонентов инфраструктуры;
✔️уровень потоковой передачи для захвата и перенаправления событий журналов;
✔️уровень анализа, с помощью которого можно изучить содержимое журналов,
обнаружить вторжения и своевременно на них отреагировать;
✔️уровень хранения;
✔️уровень доступа, позволяющий предоставлять специалистам по эксплуатации (DevOps-специалистам) и разработчикам доступ к журналам.
Компоненты конвейера журналирования представлены на прикрепленной схеме. Остальные компоненты мониторинга и реагирования на атаки рассмотрим далее.
Вебинар для Python-разработчиков с опытом.
Покажем на примере рабочих историй, как выбирать архитектуру для продукта:
🔺Расскажем про реальные задачи и ошибки из рабочей практики.
🔺Разберём архитектуры различных систем.
🔺Поговорим про развитие от стартапа до корпорации.
🔺Проведём анализ архитектуры больших продуктов в IT.
🔺Расскажем, как выбрать оптимальную архитектуру для своего продукта.
• 12 ноября в 19:00 (МСК)
• 60 минут практики + 20 минут ответов на вопросы
• Бесперебойная онлайн-трансляция
Покажем на примере рабочих историй, как выбирать архитектуру для продукта:
🔺Расскажем про реальные задачи и ошибки из рабочей практики.
🔺Разберём архитектуры различных систем.
🔺Поговорим про развитие от стартапа до корпорации.
🔺Проведём анализ архитектуры больших продуктов в IT.
🔺Расскажем, как выбрать оптимальную архитектуру для своего продукта.
• 12 ноября в 19:00 (МСК)
• 60 минут практики + 20 минут ответов на вопросы
• Бесперебойная онлайн-трансляция
Black Hat Go.pdf
22.6 MB
#book #pentest #bugbounty
Black Hat Go
Go Programming for Hackers and Pentesters (2020)
Авторы: Tom Steele, Chris Patten, Dan Kottmann
Как и бестселлер Black Hat Python, Black Hat Go исследует темную сторону популярного языка программирования Go.
Книга предоставляет арсенал практических приемов с точки зрения специалистов по безопасности и хакеров. С помощью материалов книги вы можете протестировать ваши системы на безопасность или улучшить свой набор навыков наступательной безопасности, используя всю мощь языка Go.
Вы узнаете, как: создавать инструменты, которые взаимодействуют с удаленными API; очищать произвольные данные HTML; использовать стандартные пакеты и библиотеки для создания HTTP-серверов; написать DNS- и прокси-сервер; использовать DNS-туннелирование для установления канала с C2 из сети; создавать фаззеры уязвимостей, чтобы обнаружить слабые места в безопасности приложения и многое другое.
Black Hat Go
Go Programming for Hackers and Pentesters (2020)
Авторы: Tom Steele, Chris Patten, Dan Kottmann
Как и бестселлер Black Hat Python, Black Hat Go исследует темную сторону популярного языка программирования Go.
Книга предоставляет арсенал практических приемов с точки зрения специалистов по безопасности и хакеров. С помощью материалов книги вы можете протестировать ваши системы на безопасность или улучшить свой набор навыков наступательной безопасности, используя всю мощь языка Go.
Вы узнаете, как: создавать инструменты, которые взаимодействуют с удаленными API; очищать произвольные данные HTML; использовать стандартные пакеты и библиотеки для создания HTTP-серверов; написать DNS- и прокси-сервер; использовать DNS-туннелирование для установления канала с C2 из сети; создавать фаззеры уязвимостей, чтобы обнаружить слабые места в безопасности приложения и многое другое.
«Библиотека программиста» приглашает разбирающихся в ИТ авторов присоединиться к проекту. Мы предлагаем удаленную работу, интересные темы и 💰гонорары с выплатой 📅2 раза в месяц.
Прошедшие отбор соискателям сразу даем тему статьи и гонорар, если текст будет качественным. Оплата составляет 500 рублей за 1000 знаков (объем — до 10 тысяч знаков). Если материал больше/сложнее — 10 000 рублей (оговаривается заранее).
Напишите несколько слов о себе на адрес job@proglib.io. Ссылки на публикации будут плюсом.
Прошедшие отбор соискателям сразу даем тему статьи и гонорар, если текст будет качественным. Оплата составляет 500 рублей за 1000 знаков (объем — до 10 тысяч знаков). Если материал больше/сложнее — 10 000 рублей (оговаривается заранее).
Напишите несколько слов о себе на адрес job@proglib.io. Ссылки на публикации будут плюсом.
#tip #burpsuite
При работе с Burp Suite иногда удобно просматривать журналы запросов и ответов, но не те, которые отображаются в Proxy -> HTTP history, а те, которые выполняет Repeater, Intruder, Scanner и т. д.
В решении этой проблемы может помочь расширение Logger++, которое предназначено для многопоточного ведения журнала для Burp Suite. Помимо регистрации запросов и ответов от всех инструментов Burp Suite, оно позволяет определять расширенные фильтры для выделения интересных записей и гибко фильтровать журналы.
https://proglib.io/w/02f3742e
При работе с Burp Suite иногда удобно просматривать журналы запросов и ответов, но не те, которые отображаются в Proxy -> HTTP history, а те, которые выполняет Repeater, Intruder, Scanner и т. д.
В решении этой проблемы может помочь расширение Logger++, которое предназначено для многопоточного ведения журнала для Burp Suite. Помимо регистрации запросов и ответов от всех инструментов Burp Suite, оно позволяет определять расширенные фильтры для выделения интересных записей и гибко фильтровать журналы.
https://proglib.io/w/02f3742e
portswigger.net
Logger++
Logs requests and responses for all Burp tools in a sortable table.
#devsecops #tools
Объемная статья со всеми практиками DevSecOps и необходимыми инструментами с открытым исходным кодом. Автор описывает более 50 инструментов, распределенных по 16 практикам, включая моделирование угроз, SAST (Статический анализ приложений на уязвимости), DAST (Динамический анализ приложений на уязвимости), SCA (Проверка open-source компонент), защиту Docker и Kubernetes, фреймворки BDD (Behaviour Driven Development), проверку IaC и даже Security Chaos Engineering.
https://proglib.io/w/26441b2a
Объемная статья со всеми практиками DevSecOps и необходимыми инструментами с открытым исходным кодом. Автор описывает более 50 инструментов, распределенных по 16 практикам, включая моделирование угроз, SAST (Статический анализ приложений на уязвимости), DAST (Динамический анализ приложений на уязвимости), SCA (Проверка open-source компонент), защиту Docker и Kubernetes, фреймворки BDD (Behaviour Driven Development), проверку IaC и даже Security Chaos Engineering.
https://proglib.io/w/26441b2a
#devsecops
Мы с вами ознакомились с тем, что такое безопасность на основе тестирования и начали погружаться в мониторинг и реагирование на атаки, в частности разобрались с журналированием и выявлением нарушений. Давайте продолжим и разберемся с обнаружением вторжений и реагированием на инциденты.
Этап обнаружения вторжений является одним из самых важных, т. к. именно в ходе проникновения включается данный этап и потенциальный злоумышленник больше всего взаимодействует с инфраструктурой жертвы. То есть мы говорим именно о мониторинге и анализе сетевого трафика / событий системы, которые, как правило, реализуются посредством следующих инструментов:
- системы обнаружения вторжений (intrusion detection system, IDS) для выявления нелегитимной активности со стороны злоумышленника;
- контроля за соединениями с помощью NetFlow — формата, который используется маршрутизаторами и сетевыми устройствами для журналирования сетевых соединений (это эффективный способ контролировать активность сетевого уровня в среде IaaS, когда невозможно предоставить низкоуровневый доступ);
- контроля систем для отслеживания того, что происходит в инфраструктуре.
О реагировании на инциденты мы говорим в случае, когда проникновение уже произошло. «Спасибо, Кэп!» — скажете вы. Но это пожалуй самый сложный процесс и к нему обычно не готовятся. Для начала просто перечислим фазы реагирования на инциденты безопасности, а далее разберемся с ними подробнее:
✔️Подготовка — необходимо убедиться, что у вас имеется допустимый минимум процессов для реагирования на инциденты.
✔️Идентификация — определиться, является ли аномалия инцидентом нарушения безопасности.
✔️Изоляция — предотвратить дальнейшее проникновение.
✔️Искоренение — избавить организацию от угрозы.
✔️Восстановление — вернуть инфраструктуру в нормальное состояние.
✔️Извлечение уроков — повторно рассмотреть инцидент и сделать выводы.
Мы с вами ознакомились с тем, что такое безопасность на основе тестирования и начали погружаться в мониторинг и реагирование на атаки, в частности разобрались с журналированием и выявлением нарушений. Давайте продолжим и разберемся с обнаружением вторжений и реагированием на инциденты.
Этап обнаружения вторжений является одним из самых важных, т. к. именно в ходе проникновения включается данный этап и потенциальный злоумышленник больше всего взаимодействует с инфраструктурой жертвы. То есть мы говорим именно о мониторинге и анализе сетевого трафика / событий системы, которые, как правило, реализуются посредством следующих инструментов:
- системы обнаружения вторжений (intrusion detection system, IDS) для выявления нелегитимной активности со стороны злоумышленника;
- контроля за соединениями с помощью NetFlow — формата, который используется маршрутизаторами и сетевыми устройствами для журналирования сетевых соединений (это эффективный способ контролировать активность сетевого уровня в среде IaaS, когда невозможно предоставить низкоуровневый доступ);
- контроля систем для отслеживания того, что происходит в инфраструктуре.
О реагировании на инциденты мы говорим в случае, когда проникновение уже произошло. «Спасибо, Кэп!» — скажете вы. Но это пожалуй самый сложный процесс и к нему обычно не готовятся. Для начала просто перечислим фазы реагирования на инциденты безопасности, а далее разберемся с ними подробнее:
✔️Подготовка — необходимо убедиться, что у вас имеется допустимый минимум процессов для реагирования на инциденты.
✔️Идентификация — определиться, является ли аномалия инцидентом нарушения безопасности.
✔️Изоляция — предотвратить дальнейшее проникновение.
✔️Искоренение — избавить организацию от угрозы.
✔️Восстановление — вернуть инфраструктуру в нормальное состояние.
✔️Извлечение уроков — повторно рассмотреть инцидент и сделать выводы.
#devops
Дорожные карты помогают ИТ- и ИБ-специалистам задать вектор развития, особенно если их поддерживает сообщество.
Ранее мы рассматривали 2 статьи, которые помогут погрузиться в тему DevOps, а сегодня рассмотрим дорожную карту DevOps-инженера. В статье также перечислены некоторые советы, которые помогут разложить все по полкам.
https://proglib.io/sh/8YNkxq59yt
Дорожные карты помогают ИТ- и ИБ-специалистам задать вектор развития, особенно если их поддерживает сообщество.
Ранее мы рассматривали 2 статьи, которые помогут погрузиться в тему DevOps, а сегодня рассмотрим дорожную карту DevOps-инженера. В статье также перечислены некоторые советы, которые помогут разложить все по полкам.
https://proglib.io/sh/8YNkxq59yt
