Резюме первого эфира с Денисом — с чего начать стартапам и компаниям, которых хотят выстроить процесс безопасной разработки
Вот несколько тезисов:
— Начать стоит с консалтинга, с поиска внешних экспертов, которые смогут оценить текущий уровень зрелости и построить дорожную карту по развитию процессов ИБ.
— Современный разработчик способен писать безопасный код, нужно лишь рассказать о возможных уязвимостях и инструментах, которые могут помочь в написании этого самого безопасного кода.
— Если еще не использовали сканеры кода, зависимостей, IaC, возможно стоит начать сперва с opensource.
— Не забывайте делать поиск секретов в коде, важно искать чувствительные данные не только в текущем коммите, но и по всей истории.
— Если у вас зрелая компания и встроены Security пайплайны, можно посмотреть в сторону фаззинга. Такой подход может помочь обнаружить ошибки в самых неожиданных местах.
Инструменты, которые были упомянуты (+ немного добавил от себя):
SAST:
- SonarQube
- Semgrep (более 20 языков)
- Gosec (Go)
- Bandit (Python)
- Security Code Scan (.NET)
- C++ (Flawfinder)
- JS (Eslint + security plugins)
SCA:
- Dependency track
- Dependency check
- Snyk
Container security:
- Trivy
Поиск секретов
- git-secrets
- Gitleaks
- TruffleHog
DAST:
- OWASP ZAP
- Nuclei
- Arachni
Вот несколько тезисов:
— Начать стоит с консалтинга, с поиска внешних экспертов, которые смогут оценить текущий уровень зрелости и построить дорожную карту по развитию процессов ИБ.
— Современный разработчик способен писать безопасный код, нужно лишь рассказать о возможных уязвимостях и инструментах, которые могут помочь в написании этого самого безопасного кода.
— Если еще не использовали сканеры кода, зависимостей, IaC, возможно стоит начать сперва с opensource.
— Не забывайте делать поиск секретов в коде, важно искать чувствительные данные не только в текущем коммите, но и по всей истории.
— Если у вас зрелая компания и встроены Security пайплайны, можно посмотреть в сторону фаззинга. Такой подход может помочь обнаружить ошибки в самых неожиданных местах.
Инструменты, которые были упомянуты (+ немного добавил от себя):
SAST:
- SonarQube
- Semgrep (более 20 языков)
- Gosec (Go)
- Bandit (Python)
- Security Code Scan (.NET)
- C++ (Flawfinder)
- JS (Eslint + security plugins)
SCA:
- Dependency track
- Dependency check
- Snyk
Container security:
- Trivy
Поиск секретов
- git-secrets
- Gitleaks
- TruffleHog
DAST:
- OWASP ZAP
- Nuclei
- Arachni
🔥6👍4
Как обещали продолжаем говорить о безопасной разработке в эфирах!
В следующий четверг, 11 августа в 18:00 зовем гостем Юрия Шабалина — ведущего архитектора Swordfish Security, автора канала @mobile_appsec_world и DevSecOps-евангелиста. А компанию составит специалист по безопасной разработке Awillix, эксперт в области внедрения и управления DevSecOps в организациях— Анастасия Худоярова.
Обсудим поиск секретов в коде, поиск уязвимостей и небезопасных конструкций.
До связи :)
Информационный партнер — https://t.me/secmedia
В следующий четверг, 11 августа в 18:00 зовем гостем Юрия Шабалина — ведущего архитектора Swordfish Security, автора канала @mobile_appsec_world и DevSecOps-евангелиста. А компанию составит специалист по безопасной разработке Awillix, эксперт в области внедрения и управления DevSecOps в организациях— Анастасия Худоярова.
Обсудим поиск секретов в коде, поиск уязвимостей и небезопасных конструкций.
До связи :)
Информационный партнер — https://t.me/secmedia
🔥9👍1
Записи проведенных эфиров) Инджой!
Но все равно приходите на лайв, мы иногда забываем нажать на запись 🙂🤓
Но все равно приходите на лайв, мы иногда забываем нажать на запись 🙂🤓
🔥6😁2
Следующий эфир будет про инструменты динамического сканирования. Что интереснее всего?
Anonymous Poll
41%
Фаззинг
12%
Несколько сред для разработки
53%
Как внедрить процесс безопасности на каждом этапе разработки
34%
Мониторинги, политики, контроли безопасности на этапе разработки
25 августа в 16:00 выступаю в AppSec.Zone на Оffzone
Расскажу про SAST Semgrep и его интеграции в CI/CD. Разберем основы написания собственных правил сканирования.
Semgrep стремительно развивается и поддерживает уже более 25 языков программирования, позволяет сканировать код с data flow, IaC, выявлять секреты и недостатки конфигурации.
Приходите послушать и увидеться :)
Расскажу про SAST Semgrep и его интеграции в CI/CD. Разберем основы написания собственных правил сканирования.
Semgrep стремительно развивается и поддерживает уже более 25 языков программирования, позволяет сканировать код с data flow, IaC, выявлять секреты и недостатки конфигурации.
Приходите послушать и увидеться :)
👍5
This media is not supported in your browser
VIEW IN TELEGRAM
#OFFZONE_2022
⠀
Несколько лет назад на OFFZONE я был модератором-сотрудником Bi.Zone, а вчера выступал на сцене AppSec и отвечал на вопросы из зала :)
⠀
Неизменным остается только высокий уровень организации конференции 🖤
⠀
Несколько лет назад на OFFZONE я был модератором-сотрудником Bi.Zone, а вчера выступал на сцене AppSec и отвечал на вопросы из зала :)
⠀
Неизменным остается только высокий уровень организации конференции 🖤
👍4❤3🏆3
Регулярный анализ защищенности помогает поддерживать безопасность. Но веб-, мобильные приложения и другие ИТ-продукты компаний не стоят на месте, они развиваются с учетом потребностей бизнеса, появляются новые функции, а значит и новые уязвимости. Уровень защищенности снова скатывается к низкому.
Чтобы исключить слепую зону между проверками существуют продукты, которые помогают поддерживать постоянно высокий уровень защищенности ИТ-инфраструктуры компании. Они автоматизируют действия специалистов и снижают затраты на безопасность.
О технических характеристиках, функциональных особенностях, достоинствах и недостатках таких продуктов, в том числе и нашего СVM, мы написали целый обзор на портале Cyber Media.
Чтобы исключить слепую зону между проверками существуют продукты, которые помогают поддерживать постоянно высокий уровень защищенности ИТ-инфраструктуры компании. Они автоматизируют действия специалистов и снижают затраты на безопасность.
О технических характеристиках, функциональных особенностях, достоинствах и недостатках таких продуктов, в том числе и нашего СVM, мы написали целый обзор на портале Cyber Media.
👍6❤1🔥1
Наткнулся на фишинговый интернет-магазин, который не только собирает данные, но и распространяет ВПО, твои действия:
Anonymous Quiz
20%
Найду управляющий сервер группировки и поломаю его
50%
Сообщу об инциденте в CERT
11%
Оставлю данные своей карточки для поддержки проекта
19%
Посоветую магазин своим друзьям
🔥3👍1
Фронтенд часть веб-сервиса совершает запрос к Goolge Maps API, в котором раскрывается API-ключ, что буду делать?
Anonymous Quiz
19%
Ничего, Google API бесплатный
60%
Проверю к каким API сервисам Google подходит данный ключ, некоторые сервисы могут быть платные
8%
Буду использовать этот ключ для своих нужд
14%
Посоветую разработчикам использовать Yandex
Видели, как вчера атаковали «Яндекс.Такси»?
Прокомментировал инцидент газете «Известия».
А вы, что думаете о причинах возникновения сбоя? Верите, что это конкурентная атака Wheely?
Прокомментировал инцидент газете «Известия».
А вы, что думаете о причинах возникновения сбоя? Верите, что это конкурентная атака Wheely?
😁1🤔1
Веб-сервис находится за Cloudlflare, как буду тестировать?
Anonymous Quiz
12%
Запущу Acunetix
4%
Попробую осуществить DoS атаку на CF
77%
Посмотрю историю изменения DNS и попробую отправить запрос напрямую в обход CF
7%
Не страшно, я и так обхожу любое СЗИ
👍4
Часто администраторы совершают ошибки конфигурации Cloudflare, например, допускают обращение к веб-сервису напрямую по IP-адресу. Таким образом, злоумышленник может посмотреть историю изменения DNS-записей и найти реальный IP-адрес, находящийся за CF и отправлять запросы напрямую. Если это не дает результатов, есть и другие техники определения реального адреса, например: собираем поддомены и определяем их IP-адреса, возможно какой-то из сервисов находится не за CF и расположен на одном адресе с сервисом за CF.
Немного ссылок:
Bypassing Cloudflare WAF with the origin server IP address
Allow Cloudflare IP addresses
Немного ссылок:
Bypassing Cloudflare WAF with the origin server IP address
Allow Cloudflare IP addresses
👍3🔥1
Привет всем секьюрити чемпионам!
Познакомились на конференции с Артемом Кадушко и теперь вместе выйдем в третий эфир про безопасность приложений.
📌В среду 14 сентября в 18:00.
Артем — Application Security Engineer, основатель белорусского сообщества по компьютерной безопасности Bulba Hackers. Занимается пентестами и делает разработку безопасной.
Анастасия — специалист по безопасной разработке Awillix, эксперт в области внедрения и управления DevSecOps в организациях.
Поговорим про основные проблемы при внедрении процесса SSDLC, про SCA и DAST-анализаторы, интересные кейсы и разные факапы.
Приходите поболтать, всех ждем :)
Информационный партнер — https://t.me/secmedia
Познакомились на конференции с Артемом Кадушко и теперь вместе выйдем в третий эфир про безопасность приложений.
📌В среду 14 сентября в 18:00.
Артем — Application Security Engineer, основатель белорусского сообщества по компьютерной безопасности Bulba Hackers. Занимается пентестами и делает разработку безопасной.
Анастасия — специалист по безопасной разработке Awillix, эксперт в области внедрения и управления DevSecOps в организациях.
Поговорим про основные проблемы при внедрении процесса SSDLC, про SCA и DAST-анализаторы, интересные кейсы и разные факапы.
Приходите поболтать, всех ждем :)
Информационный партнер — https://t.me/secmedia
👍7
Media is too big
VIEW IN TELEGRAM
Запись вчерашнего эфира, пожалуйста 🫴
Ставьте лайки, если формат прямых эфиров вам нравится.
Пишите комментарии, какие темы еще нужно обсудить)
Ставьте лайки, если формат прямых эфиров вам нравится.
Пишите комментарии, какие темы еще нужно обсудить)
👍15
Недавно у нас вышла колонка на Daily Moscow. Если хотите разбавить новостной контент чем-то нормальным, то прочитайте о том:
⠀
— Как зарождался этичный хакинг в России;
— Как ИБ-специалисты становятся белыми хакерами;
— Какие атаки существуют и как их имитация помогает бизнесу защититься;
— Проблемы и векторы развития сферы пентестов;
— И наш опыт того, как растить стартап в сфере кибербезопасности, когда тебе никто не доверяет :)
⠀
Ссылка → https://dailymoscow.ru/business-and-finance/biznes-na-vzlomah-kak-vyglyadit-industriya-etichnogo-hakinga-v-rossii
⠀
— Как зарождался этичный хакинг в России;
— Как ИБ-специалисты становятся белыми хакерами;
— Какие атаки существуют и как их имитация помогает бизнесу защититься;
— Проблемы и векторы развития сферы пентестов;
— И наш опыт того, как растить стартап в сфере кибербезопасности, когда тебе никто не доверяет :)
⠀
Ссылка → https://dailymoscow.ru/business-and-finance/biznes-na-vzlomah-kak-vyglyadit-industriya-etichnogo-hakinga-v-rossii
dailymoscow.ru
Бизнес на взломах: как выглядит индустрия этичного хакинга в России
С усилением участия технологий в бизнесе, растут и возможности для атаки. Ущерб российских компаний от кибератак в 2021 году составил 116 млрд. рублей. С февраля 2022 года объем хакерских атак на российские организации по разным оценкам увеличился от трех…
👍5👎1
Накопилось много историй про Red Team, и мы решили поделиться кейсами, про то, как проводятся такие проекты, в чем их особенность и кому они вообще нужны.
⠀
Читайте на Хабре — https://habr.com/ru/post/694064/
⠀
Читайте на Хабре — https://habr.com/ru/post/694064/
Хабр
Red team по-русски: как тренировать киберзащиту в новых реалиях
Аноним присылает вашей секретарше роскошный букет цветов с запиской и таинственным сюрпризом на флешке. 99,9% российских секретарш под властью эмоций и любопытства вставляют флешку в компьютер прямо...
👍5❤1
Познай свой Exchange сервер и OWA
Многие компании используют решение от Microsoft для организации отправки и получения писем, но мало кто знает, какие недостатки и уязвимости могут существовать в Exchange и OWA.
Общеизвестные уязвимости, некоторые из них:
▫️ ProxyLogon: позволяет злоумышленнику обойти аутентификацию и выдать себя за администратора.
▫️ ProxyShell: набор из трех уязвимостей, которые позволяют удаленное выполнение кода без аутентификации.
▫️ ProxyToken: позволяет злоумышленнику получить письма произвольных пользователей.
Многие их них — цепочки из нескольких уязвимостей, например, ProxyShell объединяет в себя CVE-2021-34473, CVE-2021-34523, CVE-2021-31207.
Чтобы проверить, уязвим ли сервер к подобным багам, можно воспользоваться сканерами, например, Nuclei или готовыми скриптами от сообщества.
Некоторые версии имеют недостатки, которые могут помочь в организации бушующих атак.
Известные недостатки:
▫️Перечисление имени пользователя на основе времени (Timing-Based Username Enumeration): атака заключается в том, что OWA отвечает с задержкой, если при аутентификации указана существующая учетная запись, даже если пароль неверный. Таким образом, злоумышленник может определить email-адреса сотрудников для последующих атак.
▫️Password Spraying: атака, при которой фиксируется пароль, а логин перебирается. Применяется, чтобы обойти механизм блокировки учетной записи при неправильно введенном пароле более N-раз за промежуток времени.
Как быть?
→ Держим свое ПО в актуальном состоянии и применяем обновления безопасности.
→ Используем строгую парольную политику и двухфакторную аутентификацию.
→ Если география легитимных пользователей известная, блокируем остальных по Гео-признакам.
→ Использование CAPTCHA (сложно для OWA, но возможно).
Кстати, у кого-то был опыт использования https://www.messageware.com/epg/? Поделитесь своим мнением)
Многие компании используют решение от Microsoft для организации отправки и получения писем, но мало кто знает, какие недостатки и уязвимости могут существовать в Exchange и OWA.
Общеизвестные уязвимости, некоторые из них:
▫️ ProxyLogon: позволяет злоумышленнику обойти аутентификацию и выдать себя за администратора.
▫️ ProxyShell: набор из трех уязвимостей, которые позволяют удаленное выполнение кода без аутентификации.
▫️ ProxyToken: позволяет злоумышленнику получить письма произвольных пользователей.
Многие их них — цепочки из нескольких уязвимостей, например, ProxyShell объединяет в себя CVE-2021-34473, CVE-2021-34523, CVE-2021-31207.
Чтобы проверить, уязвим ли сервер к подобным багам, можно воспользоваться сканерами, например, Nuclei или готовыми скриптами от сообщества.
Некоторые версии имеют недостатки, которые могут помочь в организации бушующих атак.
Известные недостатки:
▫️Перечисление имени пользователя на основе времени (Timing-Based Username Enumeration): атака заключается в том, что OWA отвечает с задержкой, если при аутентификации указана существующая учетная запись, даже если пароль неверный. Таким образом, злоумышленник может определить email-адреса сотрудников для последующих атак.
▫️Password Spraying: атака, при которой фиксируется пароль, а логин перебирается. Применяется, чтобы обойти механизм блокировки учетной записи при неправильно введенном пароле более N-раз за промежуток времени.
Как быть?
→ Держим свое ПО в актуальном состоянии и применяем обновления безопасности.
→ Используем строгую парольную политику и двухфакторную аутентификацию.
→ Если география легитимных пользователей известная, блокируем остальных по Гео-признакам.
→ Использование CAPTCHA (сложно для OWA, но возможно).
Кстати, у кого-то был опыт использования https://www.messageware.com/epg/? Поделитесь своим мнением)
❤🔥4
Запись моего доклада с #OFFZONE_2022
Разобрали SAST Semgrep, его интеграции в CI/CD и основы написания собственных правил сканирования.
Semgrep развивается и поддерживает уже более 25 языков программирования, позволяет сканировать код с data flow, IaC, выявлять секреты и недостатки конфигурации.
Инджой!
https://www.youtube.com/watch?v=MRSxQBTREec&list=PL0xCSYnG_iTt3mZRIpqq30bVIGezgAMIv&index=4
Разобрали SAST Semgrep, его интеграции в CI/CD и основы написания собственных правил сканирования.
Semgrep развивается и поддерживает уже более 25 языков программирования, позволяет сканировать код с data flow, IaC, выявлять секреты и недостатки конфигурации.
Инджой!
https://www.youtube.com/watch?v=MRSxQBTREec&list=PL0xCSYnG_iTt3mZRIpqq30bVIGezgAMIv&index=4
YouTube
Александр Герасимов. Open source SAST на максималках
В докладе спикер рассмотрит SAST Semgrep и его интеграции в CI/CD. Разберет основы написания собственных правил сканирования.
Semgrep стремительно развивается и поддерживает уже более 25 языков программирования, позволяет сканировать код с data flow, IaC…
Semgrep стремительно развивается и поддерживает уже более 25 языков программирования, позволяет сканировать код с data flow, IaC…
❤🔥5❤1
Аwillix теперь сертифицированный специалист по безопасности контейнеров (CCSE)!
Ну как, скорее опять Анастасия, наш ведущий специалист по безопасной разработке, прошла сертификацию.
Сертификация Certified Container Security Expert (CCSE) демонстрирует способность использовать инструменты, методы и тактики безопасности контейнеров для аудита, защиты и мониторинга контейнеров в производственных средах.
А так же:
- Глубинное понимание принципов работы Docker.
- Умение правильно конфигурировать Docker с точки зрения безопасности. Речь не только про ограничение ресурсов, конфигурирование сети, демона и тд, но ещё и про настройку SecComp, AppArmor.
- Конфигурирование хранилища docker образов в соответствии с требованиями безопасности.
- Снижение поверхности атаки на контейнеризованные приложение (атаки на образы, registry, контейнеры).
- Мониторинг инцидентов контейнеризованных приложений.
Еще один бонус в карму внедрения процессов, обеспечивающих безопасность на всех этапах разработки приложений. Помогаем создать DevSecOps, в том числе за счет правильно выстроенной работы с контейнеризованными приложениями 💪
Ну как, скорее опять Анастасия, наш ведущий специалист по безопасной разработке, прошла сертификацию.
Сертификация Certified Container Security Expert (CCSE) демонстрирует способность использовать инструменты, методы и тактики безопасности контейнеров для аудита, защиты и мониторинга контейнеров в производственных средах.
А так же:
- Глубинное понимание принципов работы Docker.
- Умение правильно конфигурировать Docker с точки зрения безопасности. Речь не только про ограничение ресурсов, конфигурирование сети, демона и тд, но ещё и про настройку SecComp, AppArmor.
- Конфигурирование хранилища docker образов в соответствии с требованиями безопасности.
- Снижение поверхности атаки на контейнеризованные приложение (атаки на образы, registry, контейнеры).
- Мониторинг инцидентов контейнеризованных приложений.
Еще один бонус в карму внедрения процессов, обеспечивающих безопасность на всех этапах разработки приложений. Помогаем создать DevSecOps, в том числе за счет правильно выстроенной работы с контейнеризованными приложениями 💪
🔥9❤🔥2❤1