Kubernetes Built-in Controls Workshop
Набор заданий по безопасности Kubernetes через встроенные средства (оставшиеся с воркшопа BSidesSF 2020)
https://securek8s.dev/exercise/
#practise #ops
Набор заданий по безопасности Kubernetes через встроенные средства (оставшиеся с воркшопа BSidesSF 2020)
https://securek8s.dev/exercise/
#practise #ops
Dispatch
Dispatch - бесплатный фреймворк для работы с инцидентами от Netflix. Интегрируется с G Suite, Jira, Slack, Jira и т. д. Через dispatch можно заводить инциденты, отслеживать задачи, собирать участников, оказываать пост-инцидент проверки.
Про Dispatch из Netflix Technology Blog
Исходники
#tools #dev #ops
Dispatch - бесплатный фреймворк для работы с инцидентами от Netflix. Интегрируется с G Suite, Jira, Slack, Jira и т. д. Через dispatch можно заводить инциденты, отслеживать задачи, собирать участников, оказываать пост-инцидент проверки.
Про Dispatch из Netflix Technology Blog
Исходники
#tools #dev #ops
OFFZONE 2020
16-17 апреля 2020 года пройдет ежегодная конференция по информационной безопасности - OFFZONE, и сейчас организаторы ищут крутых докладчиков в секцию AppSec.
У вас есть исследование на тему построения безопасной архитектуры для приложений?
Вы разрабатывали процессы, интегрировали механизмы или внедряли инструменты для построения SDLC?
Вы находили секьюрити-особенности в библиотеках языков программирования или клевые баги во время bug bounty?
Если есть, что рассказать по упомянутым выше темам, и, как итог, вы хотите попасть в материалы моего канала, присылайте заявки )
Не уверены, подойдет ли ваша тема? Посмотрите, какие доклады были в 2019 году (http://bit.ly/2VrozKF).
Заявки направляйте:
- в адрес akz@offzone.moscow
- через форму на https://appsec.zone/cfp
- или напрямую @tr3ska или @Mr_R1p
Подробнее:
https://offzone.moscow/ru/appsec-zone/
https://appsec.zone/
16-17 апреля 2020 года пройдет ежегодная конференция по информационной безопасности - OFFZONE, и сейчас организаторы ищут крутых докладчиков в секцию AppSec.
У вас есть исследование на тему построения безопасной архитектуры для приложений?
Вы разрабатывали процессы, интегрировали механизмы или внедряли инструменты для построения SDLC?
Вы находили секьюрити-особенности в библиотеках языков программирования или клевые баги во время bug bounty?
Если есть, что рассказать по упомянутым выше темам, и, как итог, вы хотите попасть в материалы моего канала, присылайте заявки )
Не уверены, подойдет ли ваша тема? Посмотрите, какие доклады были в 2019 году (http://bit.ly/2VrozKF).
Заявки направляйте:
- в адрес akz@offzone.moscow
- через форму на https://appsec.zone/cfp
- или напрямую @tr3ska или @Mr_R1p
Подробнее:
https://offzone.moscow/ru/appsec-zone/
https://appsec.zone/
appsec.zone
Заявка на участие в AppSec.Zone 2023
Форма заявки на выступление в программе AppSec.Zone 2022
FuzzBench: Fuzzer Benchmarking As a Service
FuzzBench - автоматизированный бесплатный сервис от команды Google OSS-Fuzz, созданный для оценки работы подключенных фазеров. Чтобы использовать FuzzBench, достаточно интегрировать фаззер, и FuzzBench проведет эксперимент в течение 24 часов со многими испытаниями и реальными тестами. На основе данных этого эксперимента FuzzBench создаст отчет, сравнивающий производительность фаззера с другими, и даст представление о сильных и слабых сторонах каждого фаззера. Это должно позволить исследователям сосредоточить больше своего времени на совершенствовании методов и меньше времени на настройку оценок и работу с существующими фаззерами.
FuzzBench может использовать любой из OSS-Fuzz проектов.
#tools #dast #fuzzing #dev
FuzzBench - автоматизированный бесплатный сервис от команды Google OSS-Fuzz, созданный для оценки работы подключенных фазеров. Чтобы использовать FuzzBench, достаточно интегрировать фаззер, и FuzzBench проведет эксперимент в течение 24 часов со многими испытаниями и реальными тестами. На основе данных этого эксперимента FuzzBench создаст отчет, сравнивающий производительность фаззера с другими, и даст представление о сильных и слабых сторонах каждого фаззера. Это должно позволить исследователям сосредоточить больше своего времени на совершенствовании методов и меньше времени на настройку оценок и работу с существующими фаззерами.
FuzzBench может использовать любой из OSS-Fuzz проектов.
#tools #dast #fuzzing #dev
F5Day_devsecops_waf.pdf
2.1 MB
Shift WAF left
F5 Days - конференция, которая проходит под эгидой F5 Networks, на которой наш ведущий инженер Александр Бутенко должен был выступать с докладом по встраиванию F5 в CI/CD на этапах тестов. К сожалению, так получилось, что конференция была отменена из-за небезызвестного вируса. Я решил, что материалу надо дать шанс на ознакомление, поэтому прикладываю его к посту.
Основные тезисы:
- прорабатываем и публикуем политики защиты WAF на этапах test фокус-группами или специалистами ИБ
- формируем эффективные политики за счет усечения фокус-группами веб-запросов, генерируемых dev-тестами + обучение WAF
#WAF #bestpractice #dev #ops
F5 Days - конференция, которая проходит под эгидой F5 Networks, на которой наш ведущий инженер Александр Бутенко должен был выступать с докладом по встраиванию F5 в CI/CD на этапах тестов. К сожалению, так получилось, что конференция была отменена из-за небезызвестного вируса. Я решил, что материалу надо дать шанс на ознакомление, поэтому прикладываю его к посту.
Основные тезисы:
- прорабатываем и публикуем политики защиты WAF на этапах test фокус-группами или специалистами ИБ
- формируем эффективные политики за счет усечения фокус-группами веб-запросов, генерируемых dev-тестами + обучение WAF
#WAF #bestpractice #dev #ops
"A Survey of Istio's Network Security Features"
Очень полезная статья про аспекты безопасности Istio. Статья охватывает следующее: что из себя представляет самый популярный service mesh, развертывание, анализ безопасности, а именно IPv6, Matual TLS, Engress restrictions.
https://research.nccgroup.com/2020/03/04/a-survey-of-istios-network-security-features/
#article #k8s #ops
Очень полезная статья про аспекты безопасности Istio. Статья охватывает следующее: что из себя представляет самый популярный service mesh, развертывание, анализ безопасности, а именно IPv6, Matual TLS, Engress restrictions.
https://research.nccgroup.com/2020/03/04/a-survey-of-istios-network-security-features/
#article #k8s #ops
Information Security Management through Reflexive Security.pdf
315.2 KB
"Information Security
Management through
Reflexive Security" by CSA
Документ определяет понятие рефлексивной безопасности (Reflexive Security) как новый подход к управлению ИБ, основанный на принципах Agile и DevOps. Reflexive Security подчеркивает безопасность между организационными ролями, которая реагирует на внешние и внутренние угрозы гибким и динамичным способом. Reflexive Security призван стать новой стратегией управления информационной безопасностью, которая является динамичной, интерактивной, эффективной и целостной по сравнению с традиционными (СУИБ)
#law #report #dev #ops
Management through
Reflexive Security" by CSA
Документ определяет понятие рефлексивной безопасности (Reflexive Security) как новый подход к управлению ИБ, основанный на принципах Agile и DevOps. Reflexive Security подчеркивает безопасность между организационными ролями, которая реагирует на внешние и внутренние угрозы гибким и динамичным способом. Reflexive Security призван стать новой стратегией управления информационной безопасностью, которая является динамичной, интерактивной, эффективной и целостной по сравнению с традиционными (СУИБ)
#law #report #dev #ops
SAMM v2
Не так давно вышла новая версия модели оценки зрелости безопасности ПО от OWASP - SAMM (Software Assurance Maturity Model). До этого я писал, что этой моделью пользуется большое количество зрелых компаний, в том числе Тинькофф, но что означает выход новой версии?
Что входит в SAMM v2:
1) Важные изменение в самой модели SAMM: появились новые этапы Implementation, Operations с упором на современные практики безопасного DevOps. Construction стал этапом Design.
2) Небольшой quick-start guide для того, чтобы поверхностно познакомиться с фреймворком
3) OWASP SAMM Toolbox. Это эксель-файл, который позволяет выполнить самооценку компании. Выполнив самооценку, можно будет перейти к установке целей для улучшения (согласно фрейморвку) и приступить к отслеживанию дорожной карты. Версия тулбокса есть еще в онлайн.
4) Новая система SAMM Benchmark для сравнения вашей зрелости со схожими организациями.
Модель OWASP SAMM онлайн
Модель OWASP SAMM PDF
Все что нужно знать про SAMM v2 - видео
#bestpractice #checklist #dev #ops
Не так давно вышла новая версия модели оценки зрелости безопасности ПО от OWASP - SAMM (Software Assurance Maturity Model). До этого я писал, что этой моделью пользуется большое количество зрелых компаний, в том числе Тинькофф, но что означает выход новой версии?
Что входит в SAMM v2:
1) Важные изменение в самой модели SAMM: появились новые этапы Implementation, Operations с упором на современные практики безопасного DevOps. Construction стал этапом Design.
2) Небольшой quick-start guide для того, чтобы поверхностно познакомиться с фреймворком
3) OWASP SAMM Toolbox. Это эксель-файл, который позволяет выполнить самооценку компании. Выполнив самооценку, можно будет перейти к установке целей для улучшения (согласно фрейморвку) и приступить к отслеживанию дорожной карты. Версия тулбокса есть еще в онлайн.
4) Новая система SAMM Benchmark для сравнения вашей зрелости со схожими организациями.
Модель OWASP SAMM онлайн
Модель OWASP SAMM PDF
Все что нужно знать про SAMM v2 - видео
#bestpractice #checklist #dev #ops
owaspsamm.org
OWASP SAMM version 2 - public release
After three years of preparation, our SAMM project team has delivered version 2 of SAMM! OWASP SAMM (Software Assurance Maturity Model) is the OWASP framework to help organizations assess, formulate, and implement, through our self-assessment model, a strategy…
Personal Security Checklist
Тут @oleg_log поделился чек-листом по обеспечению безопасности себя и своих данных - почта, персональный компьютер, смартфон, умный дом, работа в сети и т.д.
Оффтоп какой он должен быть...
https://github.com/Lissy93/personal-security-checklist
#checklist
Тут @oleg_log поделился чек-листом по обеспечению безопасности себя и своих данных - почта, персональный компьютер, смартфон, умный дом, работа в сети и т.д.
Оффтоп какой он должен быть...
https://github.com/Lissy93/personal-security-checklist
#checklist
GitHub
GitHub - Lissy93/personal-security-checklist: 🔒 A compiled checklist of 300+ tips for protecting digital security and privacy in…
🔒 A compiled checklist of 300+ tips for protecting digital security and privacy in 2024 - Lissy93/personal-security-checklist
Kubernetes_Security_Operating_Kubernetes_Clusters_and_Applications.pdf
5.7 MB
"Kubernetes Security" by Liz Rise, Michael Hausenblas
В книге разбираются концепции безопасности k8s, включая глубокую защиту, минимальные привилегии и ограничение поверхности атаки. Обзор того, как защитить кластер, как Kubernetes использует аутентификацию и авторизацию. Книга научит, как защищать образы контейнеров от известных уязвимостей и злоупотреблений со стороны третьих лиц, применять политики на уровне времени выполнения контейнеров, а также на уровне сети, даст краткое изложение того, как обрабатывать конфиденциальную информацию.
В дополнение от себя вот классный ресурс для тех кто хочет побольше узнать о безопасности k8s:
https://kubernetes-security.info/
#literature #k8s #ops
В книге разбираются концепции безопасности k8s, включая глубокую защиту, минимальные привилегии и ограничение поверхности атаки. Обзор того, как защитить кластер, как Kubernetes использует аутентификацию и авторизацию. Книга научит, как защищать образы контейнеров от известных уязвимостей и злоупотреблений со стороны третьих лиц, применять политики на уровне времени выполнения контейнеров, а также на уровне сети, даст краткое изложение того, как обрабатывать конфиденциальную информацию.
В дополнение от себя вот классный ресурс для тех кто хочет побольше узнать о безопасности k8s:
https://kubernetes-security.info/
#literature #k8s #ops
Как автоматизировать безопасность контейнеров в стиле Policy as Code с помощью CRD
Внедрение Kubernetes custom resource definitions (CRDs) позволит решить вопросы с определением политик безопасности как кода на первоначальном этапе сборки и выкатки приложений, автоматизировать их применение при выкатке приложений в продакшен-среду.
CRD можно использовать для внедрения глобальных политик безопасности, которые определяют поведение приложений и настраивают безопасность нескольких используемых кластеров Kubernetes
https://habr.com/ru/company/mailru/blog/490796/
#k8s #article #ops
Внедрение Kubernetes custom resource definitions (CRDs) позволит решить вопросы с определением политик безопасности как кода на первоначальном этапе сборки и выкатки приложений, автоматизировать их применение при выкатке приложений в продакшен-среду.
CRD можно использовать для внедрения глобальных политик безопасности, которые определяют поведение приложений и настраивают безопасность нескольких используемых кластеров Kubernetes
https://habr.com/ru/company/mailru/blog/490796/
#k8s #article #ops
Security along the Container-based SDLC
Большая подборка из 71 open-source инструментов, встраиваемых в Container-based SDLC: SAST, DAST, WAF, IAM, всевозможные сканнеры кофигураций, PKI (даже sandboxing есть). Заслуживает того, чтобы сохранить себе.
https://holisticsecurity.io/2020/02/10/security-along-the-container-based-sdlc
#tools #ops #dev
Большая подборка из 71 open-source инструментов, встраиваемых в Container-based SDLC: SAST, DAST, WAF, IAM, всевозможные сканнеры кофигураций, PKI (даже sandboxing есть). Заслуживает того, чтобы сохранить себе.
https://holisticsecurity.io/2020/02/10/security-along-the-container-based-sdlc
#tools #ops #dev
BSIMM
Building Security In Maturity Model (BSIMM) - модель оценки безопасности жизненного цикла ПО, результат сбора лучших практик за несколько лет от более чем 100 различных организаций. Основная цель - количественная оценка действий, осуществляемых реальными инициативами в области безопасности программного обеспечения, чтобы помочь более широкому сообществу разработчиков программного обеспечения безопасности планировать, осуществлять и оценивать собственные инициативы.
Модель включает 119 видов деятельности, сгруппированных в четыре области: Управление (Governance) , Сведения (Intelligence), Точки взаимодействия SSDL (SSDL Touchpoints) и Развертывание (Deployment). Каждая область разделена на 3 уровня в зависимости от степени зрелости организации.
В силу того, что на текущий момент BSIMM не переведен на русский, но представляет большую ценность для грамотного выстраивания процессов, я решил взяться за перевод фреймворка. Об этом в следующем посте.
#bsimm #bestpractice #checklist #dev #ops
Building Security In Maturity Model (BSIMM) - модель оценки безопасности жизненного цикла ПО, результат сбора лучших практик за несколько лет от более чем 100 различных организаций. Основная цель - количественная оценка действий, осуществляемых реальными инициативами в области безопасности программного обеспечения, чтобы помочь более широкому сообществу разработчиков программного обеспечения безопасности планировать, осуществлять и оценивать собственные инициативы.
Модель включает 119 видов деятельности, сгруппированных в четыре области: Управление (Governance) , Сведения (Intelligence), Точки взаимодействия SSDL (SSDL Touchpoints) и Развертывание (Deployment). Каждая область разделена на 3 уровня в зависимости от степени зрелости организации.
В силу того, что на текущий момент BSIMM не переведен на русский, но представляет большую ценность для грамотного выстраивания процессов, я решил взяться за перевод фреймворка. Об этом в следующем посте.
#bsimm #bestpractice #checklist #dev #ops
Стратегия и метрики (BSIMM - Governane, Strategy & Metrics)
Первый блок в Governance посвящен практике «Стратегия и метрики» и включает планирование, распределение ролей и обязанностей, определение целей безопасности программного обеспечения, определение бюджетов, а также определение метрик и гейтов.
Выложил перевод первого блока на Github. У меня не стояла цель сделать максимально дословный перевод. Первостепенно я хотел предоставить возможность быстро ориентировоться во фреймворке, чтобы, в случае чего, оперативно найти нужный тезис в оригинале. По этой причине в репозитории вы можете найти майнд-карту Xmind для удобства использования, и по этой же причине вы не найдете некоторых предложений, которые есть в первоисточнике.
https://github.com/dvyakimov/BSIMM_ru
#bsimm #dev #ops
Первый блок в Governance посвящен практике «Стратегия и метрики» и включает планирование, распределение ролей и обязанностей, определение целей безопасности программного обеспечения, определение бюджетов, а также определение метрик и гейтов.
Выложил перевод первого блока на Github. У меня не стояла цель сделать максимально дословный перевод. Первостепенно я хотел предоставить возможность быстро ориентировоться во фреймворке, чтобы, в случае чего, оперативно найти нужный тезис в оригинале. По этой причине в репозитории вы можете найти майнд-карту Xmind для удобства использования, и по этой же причине вы не найдете некоторых предложений, которые есть в первоисточнике.
https://github.com/dvyakimov/BSIMM_ru
#bsimm #dev #ops
GitHub
GitHub - dvyakimov/BSIMM_ru: Перевод BSIMM (https://www.bsimm.com) на русский язык
Перевод BSIMM (https://www.bsimm.com) на русский язык - dvyakimov/BSIMM_ru
Command and KubeCTL: Real-World Kubernetes Security for Pentesters - Mark Manning (Shmoocon 2020)
Тактика, методы и инструменты для анализа и взлома кластеров Kubernetes, перехват трафика service mesh, обход фильтров системных вызовов во время выполнения, цепные атаки, которые идут от компрометации среды сборки до взлома продуктивных приложений. Здесь же практические советы и рекомендации от NCC Group.
https://youtu.be/cRbHILH4f0A
#k8s #video #ops #attack
Тактика, методы и инструменты для анализа и взлома кластеров Kubernetes, перехват трафика service mesh, обход фильтров системных вызовов во время выполнения, цепные атаки, которые идут от компрометации среды сборки до взлома продуктивных приложений. Здесь же практические советы и рекомендации от NCC Group.
https://youtu.be/cRbHILH4f0A
#k8s #video #ops #attack
YouTube
Command and KubeCTL: Real-World Kubernetes Security for Pentesters - Mark Manning (Shmoocon 2020)
Kubernetes is a security challenge that many organizations need to take on, and we as pentesters, developers, security practitioners, and the technically curious need to adapt to these challenges. In this talk we will look at tactics, techniques, and tools…
HashiTalks 2020
Shifting Terraform Configuration Security Left - про безопасную конфигурацию, проблемы статического анализа Terraform, инструменты с открытым исходным кодом, которые могут помочь в тестировании
Vault Response Wrapping Makes The "Secret Zero" Challenge A Piece Of Cake - что такое "Secret Zero" в разрезе Vault, о методе Vault AppRole и как настроить и использовать функцию переноса wrapped-токенов
Moving Security and Sanity Left by Testing Terraform with InSpec - как проверить корректность деплоя с помощью InSpec, как не испортить нервишки и добавить тесты в уже существующую инфраструктуру
Securing AWS Accounts With HashiCorp Vault - как создавать разрешения с помощью AWS и использовать HashiCorp Vault вместе с динамическими секретами для генерации доступа и секретных ключей
Using an Image Release Process for Security Wins - создание защищенных образов машин Amazon с помощью HashiCorp Packer.
Полная программа следующим постом (лучше поздно, чем никогда)
#talks #aws #vault #ops
Shifting Terraform Configuration Security Left - про безопасную конфигурацию, проблемы статического анализа Terraform, инструменты с открытым исходным кодом, которые могут помочь в тестировании
Vault Response Wrapping Makes The "Secret Zero" Challenge A Piece Of Cake - что такое "Secret Zero" в разрезе Vault, о методе Vault AppRole и как настроить и использовать функцию переноса wrapped-токенов
Moving Security and Sanity Left by Testing Terraform with InSpec - как проверить корректность деплоя с помощью InSpec, как не испортить нервишки и добавить тесты в уже существующую инфраструктуру
Securing AWS Accounts With HashiCorp Vault - как создавать разрешения с помощью AWS и использовать HashiCorp Vault вместе с динамическими секретами для генерации доступа и секретных ключей
Using an Image Release Process for Security Wins - создание защищенных образов машин Amazon с помощью HashiCorp Packer.
Полная программа следующим постом (лучше поздно, чем никогда)
#talks #aws #vault #ops
HashiCorp
Shifting Terraform Configuration Security Left
How do you know if the HCL you're writing will result in secure infrastructure? How can you write tests to catch common problems?
Forwarded from Технологический Болт Генона
Выложены доклады с HashiTalks 2020
https://www.youtube.com/playlist?list=PL81sUbsFNc5bf0uoD1DwDh8O5K6DZurhT
Программа тут
https://events.hashicorp.com/hashitalks2020
https://www.youtube.com/playlist?list=PL81sUbsFNc5bf0uoD1DwDh8O5K6DZurhT
Программа тут
https://events.hashicorp.com/hashitalks2020