OWASP Vulnerability Checks With Maven

How to introduce automatic security scans in your Java builds
https://itnext.io/owasp-dependency-check-maven-vulnerabilities-java-898a9cf99f5e

Azure Security Benchmark

Недавно был анонсирован Azure Security Benchmark v1 (ASB), содержащий более 90 рекоммендаций безоопасности, основанных на отраслевых стандартах и передовых практиках, таких как CIS. ASB интегрирован с Azure Security Center, что позволяет отслеживать, составлять отчеты и оценивать соответствие с эталонным тестом с помощью панели мониторинга Security Center.

#azure #ops

Пентест, Kubernetes. У многих отсутствует представление о том, как это вообще выглядит. Хотя это очень полезно и пентестерам (для них это становится актуальнее с каждым днем), и людям, обеспечивающим работоспособность и безопасность Kubernetes кластера. Для получения этого представления я могу порекомендовать совсем свежее выступление “Command and KubeCTL: Real-World Kubernetes Security for Pentesters” . В данном выступление автор рассматривает и сразу демонстрирует различные тактики, техники и инструменты для получения доступа и эксплотации Kubernetes кластера.
Все live demo идет на примере 3 компаний - трех различных инфраструктур: on-prem, multu-cloud и сервис со множеством, географически разнесенных групп разработчиков. То есть это разное использование Kubernetes и как следствие разная модель угроз.
Отдельно стоит отметить Attack Chain (на скриншоте), которая описывает все что будет делать пентестер/злоумышленник, пытающийся взломать Kubernetes кластер. Каждый этап демонстрируется шаг за шагом.

ElectricEye

ElectricEye - набор скриптов Python, которые позволяют непрерывно мониторить сервисы AWS на предмет конфигураций, которые могут привести к ухудшению конфиденциальности, целостности или доступности. Все результаты отправляются в Security Hub для дальнейшей агрегации и анализа. Есть поддержка CloudFormation, Terraform, а также интеграция с Config Recorder, Slack, ServiceNow, JIRA, DevOps Azure, Shodan.

#tools #aws #ops

On-Demand Container Scanning API

Прошлым летом ресечер Jerry Gamblin выложил на сайте vulnerablecontainers.org иформацию об уязвимостях 1000 самых популярных образов на Docker Hub. Не так давно по просьбе желающих он выпустил открытое API - scan.vulnerablecontainers.org на базе Trivy, Flask, Gunicorn и Nginx.

Как этим пользоваться можно почитать здесь:
https://jerrygamblin.com/2020/02/23/on-demand-container-scanning-api/

#tools #docker #dev #ops

​​Стал доступен анонсированный 4 месяца назад сервис Amazon Detective, пополнивший набор security сервисов Амазона:

https://onecloudplease.com/blog/amazon-detective-following-the-breadcrumbs

Функционал Detective, связанный с поиском и визуализацией возможных проблем с безопасностью (собственно - потому "Детектив") наверняка сделает его стандартным по части безопасности в дополнение к GuardDuty, Security Hub сотоварищи.

#Detective #security

Security Champions Playbook

Security Champions Playbook - проект, начатый в рамках подготовки к презентации «Security Champions 2.0» на OWASP Bucharest AppSec Conference 2017. В нем описываются основные этапы быстрого создания программы Security Champions независимо от размера компании и зрелости существующих процессов безопасности.

О том, кто такие Security Champions:
https://www.owasp.org/index.php/Security_Champions

#team #dev #ops

Csper Builder - Автоматическая генерация Content Security Policy

Csper Builder - расширение для Firefox, которое позволит автоматически сформировать CSP для вашего веб-ресурса, работая в фоновом режиме на базе ваших посещений различных страниц.

#web #tools #dev

Bug Bounty - how to

Интересное чтиво на выходные для менеджеров ИБ и ресерчеров, чей заработок напрямую зависит от щедрости компаний, на чьих ресурсах они находят уязвимости.

Six years of the GitHub Security Bug Bounty program
Про Bug Bounty от GitHub. Из интересного:
- Их программа недавно превысила 1 млн. долларов, более половина средств выплачена только за последний год,
- На H1-702 в Вегасе в августе прошлого года они выплатили исследователям более 155 000 долларов за одну ночь,
- Про обход OAuth с использованием HEAD-запросов

How we run our bug bounty program at Segment
Показательным является то, что Clint Gibler, директор по исследованиям в NCC Group и один из самых мощных людей, которые несли вклад в DevSecOps, назвал статью одной из лучших по части How to в Bug Bounty.

#bestpractice #dev #ops #attack

Top 10 security items to improve in your AWS account

Про каждый пункт можно найти в блоге AWS:
https://aws.amazon.com/ru/blogs/security/top-10-security-items-to-improve-in-your-aws-account/

#aws #bestpractice #ops

Inspektor Gadget’s Network Policy Advisor

Inspektor Gadget - это набор инструментов (или гаджетов) для разработчиков приложений Kubernetes. Не так давно вышла фича, позволяющая отслеживать и анализировать сетевой трафик на хостах, после чего автоматически генерировать политику. Все это с помощью BPF.

Подробнее:
https://kinvolk.io/blog/2020/03/writing-kubernetes-network-policies-with-inspektor-gadgets-network-policy-advisor/

#k8s #tools #ops

DevSecOps - Онлайн-мероприятия на апрель (не реклама)

С переходом на удаленную работу свободного времени больше не стало, но вдруг из вас есть машины, которые смогут успеть все посмотреть и поделиться интересным материалом...

Вечерняя школа Слёрм - вебинары по Kubernetes, начиная с 7 апреля по понедельникам и вторникам в 20:00. Курс дает основы Kubernetes с нуля, включая блок по Docker.

Cloud Security Online Meetup - 9 апреля 18:00 - Специалисты Яндекс.Облака будут говорить о том, как у них устроена разработка, какие проблемы возникают, как обеспечивается безопасный доступ к продуктивной среде

All The Talks – 15 апреля, бесплатная онлайн-конференция по DevOps с отдельным блоком Security при поддержке небезызвестных вендоров.

All Day DevOps– 17 апреля. Большая бесплатная конференция по DevOps будет проходить онлайн и включает в том числе блок DevSecOps.

DevOps 2020 - 21, 22 апреля, а в 14:05 - 21 числа в частности будут вещать парни из Unity - "Talk: Scaling DevSecOps to integrate security tooling for 100+ deployments per day", за ссылку спасибо @maximus169

Продуктовая безопасность: тренды 2020
21 апреля c 18:00 - про автоматизацию безопасной разработки и не только от Wrike, mail.ru, ЦИАН, Одноклассники

Если что пропустил, жду в лс.

#events

Service Control Policies Best Practices

Подробный пост с практическими рекомендациями Скотта Пайпера, посвященный тому, что такое Service Control Policies (SCP), распространенные ошибки, а также ряд примеров политик. Среди примеров - разрешение только утвержденных служб или регионов, запрет доступа root'а, отказ от возможности сделать VPC доступным из Интернета, защита security baseline.

https://summitroute.com/blog/2020/03/25/aws_scp_best_practices/

#aws #ops

Kissing Malware Attack

"Специалисты Aqua Security сообщают об атаках, начавшихся в последние несколько месяцев. Неизвестные злоумышленники сканируют сеть в поисках серверов Docker, использующих порты API, которые открыты для всех желающих, без паролей. Такие незащищенные хосты в итоге подвергаются компрометации: на них устанавливают майнинговую малварь под названием Kinsing."

Пост с Хакера.
Оригинальный пост с подробностями атаки

#docker #ops #attack

Безопасная разработка - подборка книг

Подписчиков за 3 месяца на канале стало заметно больше и уверен, что далеко не все успели отобрать для себя полезные книги отмеченные здесь как #literature. Самое время, чтобы вспомнить.

Безопасный DevOps. Эффективная эксплуатация систем - маст хэв для погружения в тему. Требует базовых знаний по DevOps и охватывает лишь небольшой стенд, но этого достаточно, чтобы повторить стенд у себя и разобраться, что к чему.

Agile Application Security. Enabling Security in a CD pipeline - отличная книга для погружения в организационные процессы. Можно заказать версию на русском языке.

DevOpsSec. Securing Software through Continuous Delivery - отличная вводная книга, где вы сможете прямо в PDF найти ссылки на различные инструменты и описание лучших практик

CSSLP - Certified Secure Software Lifecycle Profession - большой гайд для подготовки к экзамену от ISC2 по обеспечению безопасности SDLC.

Docker Security. Using Containers Safely in Production - обзор того, как защитить Docker

Kubernetes Security - обзор того, как защитить кластер

Epic Failures in DevSecOps. Volume 1 and 2 - если вы прочитали уже все книги, но у вас все равно куча вопросов, например, кто "вообще должен за все это отвечать", то книга может помочь ответить на некоторые вопросы

Building Web Apps that Respect a User’s Privacy and Security - про безопасность веба. Описание по ссылке.

#literature #dev #ops

"Building Secure & Reliable Systems. SRE and Security Best Practices"
Book Early Release
https://landing.google.com/sre/resources/foundationsandprinciples/srs-book/

HashiCorp Vault: Delivering Secrets with Kubernetes

Пример передачи учетных данных к базе данных из Vault в Kubernetes pod с помощью Vault Agent Side-car Injector. Демо-код.

https://medium.com/hashicorp-engineering/hashicorp-vault-delivering-secrets-with-kubernetes-1b358c03b2a3

#vault #k8s #ops

DoD Enterprise DevSecOps

Питер Рэнкс, заместитель ИТ-директора Министерства обороны по ИТ-предприятиям, сообщил, что DOD планирует представить сопроводительный документ к своему документу "DoD Enterprise DevSecOps
Reference Design," в котором будет изложено все - от концепций до инструментов, необходимых для выполнения современных практик разработки программного обеспечения.

С первой версией документа можете познакомиться во вложении.

#compliance #bestpractice #dev #ops