Обзор подходов к реализации аутентификации и авторизации в микросервисных системах
Контейнеризация, CI/CD, оркестрация, микросервисы и agile-процессы – это облако тегов, которое теперь находится в словаре security-инженеров. Микросервисная модель и сопутствующие технологии привели к многообразию подходов в реализации архитектуры безопасности современных решений, и единого подхода к ее построению пока еще не видно. Зато есть технологические лидеры в области микросервисной разработки, есть известные недостатки конфигурации и уязвимости в реализации разных архитектурных подходов, и есть огромное количество «лучших практик» для построения надежной архитектуры.
В этом исследовании мы разбираем типовые архитектурные подходы к реализации аутентификации и авторизации в микросервисных системах, их преимущества и недостатки. И делаем это для того, чтобы у архитекторов безопасности была возможность сфокусироваться на реализации требуемой модели, а не на многочасовых поисках нужной информации.
Материалы:
1. “Authentication and Authorization in Microservice-Based Systems: Survey of Architecture Patterns” - статья, опубликованная в научном издании «Вопросы Кибербезопасности» (включен в Российский Индекс Научного Цитирования);
2. “Microservices based Security Arch Doc Cheat Sheet” - шпаргалка для архитектора, которая включена в коллекцию OWASP Cheat Sheets Series;
3. “Справочник security-архитектора: обзор подходов к реализации аутентификации и авторизации в микросервисных системах” - перевод и адаптация материала на Хабре;
4. “Architect of threat landscape: How to secure your microservice-based system” - выступление Александра Барабанова на OWASP Israel по мотивам исследования.
Контейнеризация, CI/CD, оркестрация, микросервисы и agile-процессы – это облако тегов, которое теперь находится в словаре security-инженеров. Микросервисная модель и сопутствующие технологии привели к многообразию подходов в реализации архитектуры безопасности современных решений, и единого подхода к ее построению пока еще не видно. Зато есть технологические лидеры в области микросервисной разработки, есть известные недостатки конфигурации и уязвимости в реализации разных архитектурных подходов, и есть огромное количество «лучших практик» для построения надежной архитектуры.
В этом исследовании мы разбираем типовые архитектурные подходы к реализации аутентификации и авторизации в микросервисных системах, их преимущества и недостатки. И делаем это для того, чтобы у архитекторов безопасности была возможность сфокусироваться на реализации требуемой модели, а не на многочасовых поисках нужной информации.
Материалы:
1. “Authentication and Authorization in Microservice-Based Systems: Survey of Architecture Patterns” - статья, опубликованная в научном издании «Вопросы Кибербезопасности» (включен в Российский Индекс Научного Цитирования);
2. “Microservices based Security Arch Doc Cheat Sheet” - шпаргалка для архитектора, которая включена в коллекцию OWASP Cheat Sheets Series;
3. “Справочник security-архитектора: обзор подходов к реализации аутентификации и авторизации в микросервисных системах” - перевод и адаптация материала на Хабре;
4. “Architect of threat landscape: How to secure your microservice-based system” - выступление Александра Барабанова на OWASP Israel по мотивам исследования.
ResearchGate
(PDF) Authentication and Authorization in Microservice-Based Systems: Survey of Architecture Patterns
PDF | Objective. Service-oriented architecture and its microservice-based approach increase an attack surface of applications. Exposed microservices... | Find, read and cite all the research you need on ResearchGate
🔥9
Все, кто сегодня бежит московский полумарафон, ловите поддержку 🫶
Спойлер для тех, кто бежит свой первый забег: будет жарко! 🔥
Спойлер для тех, кто бежит свой первый забег: будет жарко! 🔥
👍14🔥11
Поздравляю CTF-команду dtl с первым местом в квалификационном этапе соревнования VolgaCTF 2023!
«Волга» регулярно собирает сотни команд со всего мира, а финал в Самаре собирает еще и исследователей с крутыми докладами.
Команда представляет кафедру «Криптология и кибербезопасность» НИЯУ МИФИ. Желаем мифистам успеха в финале!
«Волга» регулярно собирает сотни команд со всего мира, а финал в Самаре собирает еще и исследователей с крутыми докладами.
Команда представляет кафедру «Криптология и кибербезопасность» НИЯУ МИФИ. Желаем мифистам успеха в финале!
🔥12
Отладчик eBPF-программ
В процессе работы с подсистемой eBPF, когда программа вырастает от небольшого срипта до полноценного приложения, разработчик начинает тратить половину своего времени на отладку.
Александр Калинин из команды Advanced Security Research (Huawei) встретился с этой проблемой, не нашел подходящего отладчика, разработал сам и опубликовал.
Инструмент пригодится всем, кто разрабатывает приложения для обеспечения security и observability на основе eBPF.
В процессе работы с подсистемой eBPF, когда программа вырастает от небольшого срипта до полноценного приложения, разработчик начинает тратить половину своего времени на отладку.
Александр Калинин из команды Advanced Security Research (Huawei) встретился с этой проблемой, не нашел подходящего отладчика, разработал сам и опубликовал.
Инструмент пригодится всем, кто разрабатывает приложения для обеспечения security и observability на основе eBPF.
GitHub
GitHub - ph1048/ebpfdbg: eBPF verifier log viewer
eBPF verifier log viewer. Contribute to ph1048/ebpfdbg development by creating an account on GitHub.
🔥9🤝3❤2🎉1
Пять лет разницы на одном фото: первая презентация, проведенная в кампусе Самарского Аэрокосмического Университета на VolgaCTF - мероприятии "для студентов, от студентов", организованном группой энтузиастов. Спустя 5 лет, у VolgaCTF множество спонсоров и партнеров, конференц-залы и трансляция по всему миру. Но это по-прежнему мероприятие, организованное группой энтузиастов с тем же огнем в глазах.
Кстати, с огнем в глазах у нас тоже все в порядке: два года назад наши товарищи по команде заполнили программу докладов, а в прошлом году наши стажеры-джедаи заняли верхние строчки турнирной таблицы.
Кстати, с огнем в глазах у нас тоже все в порядке: два года назад наши товарищи по команде заполнили программу докладов, а в прошлом году наши стажеры-джедаи заняли верхние строчки турнирной таблицы.
👏11🔥2
Системный дизайн и архитектура ПО: заметки архитектора
Архитектор безопасности (security architect) – это роль в команде разработки ПО, которая отвечает за создание и внедрение механизмов безопасности в разрабатываемую систему с целью снижения рисков ИБ.
Невозможно создать что-то и затем внедрить в систему без понимания архитектуры этой системы и ее модели угроз. Поэтому security-архитектор должен разбираться в системном дизайне и понимать объект, с которым он работает (бизнес-процесс, отказоустойчивая платформа, облачное приложение и прочее). Например, выбрать подход аутентификации и авторизации в облачной среде, построенной на базе микросеврисов, невозможно без понимания принципов микросервисной архитектуры.
В комментариях к этому посту буду складывать свои заметки об архитектуре ПО и отказоустойчивой архитектуре, в частности. При этом, если захочешь углубиться в системный дизайн, то рекомендую изучить контент в плейлисте System Design Fundamentals.
Архитектор безопасности (security architect) – это роль в команде разработки ПО, которая отвечает за создание и внедрение механизмов безопасности в разрабатываемую систему с целью снижения рисков ИБ.
Невозможно создать что-то и затем внедрить в систему без понимания архитектуры этой системы и ее модели угроз. Поэтому security-архитектор должен разбираться в системном дизайне и понимать объект, с которым он работает (бизнес-процесс, отказоустойчивая платформа, облачное приложение и прочее). Например, выбрать подход аутентификации и авторизации в облачной среде, построенной на базе микросеврисов, невозможно без понимания принципов микросервисной архитектуры.
В комментариях к этому посту буду складывать свои заметки об архитектуре ПО и отказоустойчивой архитектуре, в частности. При этом, если захочешь углубиться в системный дизайн, то рекомендую изучить контент в плейлисте System Design Fundamentals.
Telegram
Makrushin
Обзор подходов к реализации аутентификации и авторизации в микросервисных системах
Контейнеризация, CI/CD, оркестрация, микросервисы и agile-процессы – это облако тегов, которое теперь находится в словаре security-инженеров. Микросервисная модель и сопутствующие…
Контейнеризация, CI/CD, оркестрация, микросервисы и agile-процессы – это облако тегов, которое теперь находится в словаре security-инженеров. Микросервисная модель и сопутствующие…
👍12🙈1
Media is too big
VIEW IN TELEGRAM
Зашел как-то в гости в НИЯУ МИФИ. Товарищи с кафедры встретили, поставили камеру и говорят: "Рассказывай, кто такой архитектор безопасности. И нет, вырезать из записи ничего не будем" 😄
🔥14
JavaScript prototype pollution: практика поиска и эксплуатации
«Если вы следите за отчетами исследователей, которые участвуют в bug bounty программах, то наверняка знаете про категорию уязвимостей JavaScript prototype pollution. А если не следите и встречаете это словосочетание впервые, то предлагаю вам закрыть этот пробел, ведь эта уязвимость может привести к полной компрометации сервера и клиента. Наверняка хотя бы один продуктов вашей (или не вашей) компании работает на JavaScript: клиентская часть веб-приложения, десктоп (Electron), сервер (NodeJS) или мобильное приложение.
Эта статья поможет вам погрузиться в тему prototype pollution (eng-версия статьи). В разделах “Особенности JavaScript” и “Что такое prototype pollution?” вы узнаете как работают объекты и прототипы JavaScript и как особенности их функционирования могут привести к уязвимостям. В разделах “Prototype pollution на сервере” и “Prototype pollution на клиенте” вы научитесь искать и эксплуатировать эту уязвимость на кейсах из реального мира. Наконец вы изучите способы защиты и почему самый распространенный способ защиты можно легко обойти.»
Исследование Никиты Ступина из команды Advanced Security Research (исследовательский центр Huawei), которое включено в «Top 10 web hacking techniques of 2021».
«Если вы следите за отчетами исследователей, которые участвуют в bug bounty программах, то наверняка знаете про категорию уязвимостей JavaScript prototype pollution. А если не следите и встречаете это словосочетание впервые, то предлагаю вам закрыть этот пробел, ведь эта уязвимость может привести к полной компрометации сервера и клиента. Наверняка хотя бы один продуктов вашей (или не вашей) компании работает на JavaScript: клиентская часть веб-приложения, десктоп (Electron), сервер (NodeJS) или мобильное приложение.
Эта статья поможет вам погрузиться в тему prototype pollution (eng-версия статьи). В разделах “Особенности JavaScript” и “Что такое prototype pollution?” вы узнаете как работают объекты и прототипы JavaScript и как особенности их функционирования могут привести к уязвимостям. В разделах “Prototype pollution на сервере” и “Prototype pollution на клиенте” вы научитесь искать и эксплуатировать эту уязвимость на кейсах из реального мира. Наконец вы изучите способы защиты и почему самый распространенный способ защиты можно легко обойти.»
Исследование Никиты Ступина из команды Advanced Security Research (исследовательский центр Huawei), которое включено в «Top 10 web hacking techniques of 2021».
Хабр
JavaScript prototype pollution: практика поиска и эксплуатации
Если вы следите за отчетами исследователей, которые участвуют в bug bounty программах, то наверняка знаете про категорию уязвимостей JavaScript prototype pollution. А если не следите и встречаете это...
👍7
JS PP + CVE = PHDays BHHub
С помощью описанного в исследовании алгоритма поиска уязвимости JS PP, Никита обнаружил 3 баги в парсере multi-ini и одну в npm-пакете merge-deep:
* CVE-2020-28449
* CVE-2020-28450
* CVE-2020-28460
С зарегистрированными CVE все прошло гладко, а вот с багой merge-deep вышла забавная ситуация. После отправки репорта мейнтейнер долго не выходил на связь, и в итоге эту же уязвимость нашли исследователи GitHub Security Lab, сумели выйти на мейнтейнера раньше и зарегистрировали GHSL-2020-160. И это был хороший урок для нашей команды: нельзя затягивать с подготовкой репорта.
Мы собрали три наших исследования (JS PP, обзор архитектурных паттернов, и введение в фаззинг бинарных приложений) и при поддержке Тимур Юнусова организовали Bug Hunting Village - выделенную секцию на PHDays, посвященную поиску и эксплуатации уязвимостей.
С помощью описанного в исследовании алгоритма поиска уязвимости JS PP, Никита обнаружил 3 баги в парсере multi-ini и одну в npm-пакете merge-deep:
* CVE-2020-28449
* CVE-2020-28450
* CVE-2020-28460
С зарегистрированными CVE все прошло гладко, а вот с багой merge-deep вышла забавная ситуация. После отправки репорта мейнтейнер долго не выходил на связь, и в итоге эту же уязвимость нашли исследователи GitHub Security Lab, сумели выйти на мейнтейнера раньше и зарегистрировали GHSL-2020-160. И это был хороший урок для нашей команды: нельзя затягивать с подготовкой репорта.
Мы собрали три наших исследования (JS PP, обзор архитектурных паттернов, и введение в фаззинг бинарных приложений) и при поддержке Тимур Юнусова организовали Bug Hunting Village - выделенную секцию на PHDays, посвященную поиску и эксплуатации уязвимостей.
🔥5
This media is not supported in your browser
VIEW IN TELEGRAM
⭐️
Оставлю эту сторис здесь. Пусть будет напоминалкой для тех, кто изучает новую область и берется за новое дело.
Оставлю эту сторис здесь. Пусть будет напоминалкой для тех, кто изучает новую область и берется за новое дело.
❤4🤩4
Итоги ПМЭФ 2023: второе место в финале Международного Киберчемпионата
Наша команда “You Shall Not Pass” защитила инфраструктуру виртуального города от атак и с отставанием в один балл заняла второе место в рейтинге.
Инфраструктура киберполигона интегрирована с настоящим оборудованием, которое используется в реальной инфраструктуре предприятий. Это значит, что сценарии атак в этой среде вполне реальные.
Наша статистика:
1. атакующий осуществил 0 успешных атак во внутренней части защищаемой инфраструктуры и не смог пробраться дальше DMZ;
2. мы написали примерно 100 строчек кода (несколько скриптов автоматизации и конфиг auditd);
3. съели 9 пицц.
Поздравляем победителей и крепко жмем руку организаторам соревнования! Поднимаем кружку чая на кухне нашего Security Operations Center и возвращаемся к работе.
Наша команда “You Shall Not Pass” защитила инфраструктуру виртуального города от атак и с отставанием в один балл заняла второе место в рейтинге.
Инфраструктура киберполигона интегрирована с настоящим оборудованием, которое используется в реальной инфраструктуре предприятий. Это значит, что сценарии атак в этой среде вполне реальные.
Наша статистика:
1. атакующий осуществил 0 успешных атак во внутренней части защищаемой инфраструктуры и не смог пробраться дальше DMZ;
2. мы написали примерно 100 строчек кода (несколько скриптов автоматизации и конфиг auditd);
3. съели 9 пицц.
Поздравляем победителей и крепко жмем руку организаторам соревнования! Поднимаем кружку чая на кухне нашего Security Operations Center и возвращаемся к работе.
👍16🔥9⚡1
В гостях у друзей из Kaspersky вместе с коллегами из Ozon и Avito обсуждаем тему поиска талантов в ИТ и ИБ. Записываем, монтируем и скоро выпустим.
Спасибо Владимиру Дащенко за приглашение, откровенные вопросы и футболку с того самого Defcon!
Спасибо Владимиру Дащенко за приглашение, откровенные вопросы и футболку с того самого Defcon!
👍10❤1
Media is too big
VIEW IN TELEGRAM
Где взять квалифицированных ИБ-специалистов?
Пятый выпуск подкаста ОБИБЭ посвящён острейшей теме кадрового голода и тому, как с этим вызовом справляются в МТС RED, «Лаборатории Касперского», Озоне и Авито.
Есть ли альтернатива релокации, какие основные сложности при найме, что нравится кандидатам, и надо ли готовить сотрудников со школьной скамьи?
Пятый выпуск подкаста ОБИБЭ посвящён острейшей теме кадрового голода и тому, как с этим вызовом справляются в МТС RED, «Лаборатории Касперского», Озоне и Авито.
Есть ли альтернатива релокации, какие основные сложности при найме, что нравится кандидатам, и надо ли готовить сотрудников со школьной скамьи?
🔥7👍2⚡1
«Наступательный ИИ» в руках атакующего
Концепция «наступательного ИИ» заключается в использовании технологий машинного обучения для осуществления вредоносных действий. Эти действия разделяются на два множества:
1. атаки на системы, использующие ИИ или «adversarial ML», которым мы с Иваном Капуниным посвятили отдельную лекцию;
2. атаки с использованием ИИ для совершенствования техник атакующего.
Авторы лаборатории Offensive AI подготовили интересный обзор сценариев применения ИИ в наступательных целях. Инсайты:
* авторы насчитали 33 техники, в которых атакующий может использовать ИИ, и разделили их на блоки: automation, campaign resilience, credential theft, exploit development, information gathering, social engineering, stealth;
* все сценарии атак могут быть разделены по следующим задачам: Предсказание, Генерация, Анализ, Извлечение, Принятие решения.
Для меня наиболее примечательными являются две задачи: Предсказание и Принятие решения. Посмотрим, какие исследования существуют в этом направлении.
Концепция «наступательного ИИ» заключается в использовании технологий машинного обучения для осуществления вредоносных действий. Эти действия разделяются на два множества:
1. атаки на системы, использующие ИИ или «adversarial ML», которым мы с Иваном Капуниным посвятили отдельную лекцию;
2. атаки с использованием ИИ для совершенствования техник атакующего.
Авторы лаборатории Offensive AI подготовили интересный обзор сценариев применения ИИ в наступательных целях. Инсайты:
* авторы насчитали 33 техники, в которых атакующий может использовать ИИ, и разделили их на блоки: automation, campaign resilience, credential theft, exploit development, information gathering, social engineering, stealth;
* все сценарии атак могут быть разделены по следующим задачам: Предсказание, Генерация, Анализ, Извлечение, Принятие решения.
Для меня наиболее примечательными являются две задачи: Предсказание и Принятие решения. Посмотрим, какие исследования существуют в этом направлении.
👍7🤔1