AWS Config & Security.
AWS Config - это сервис, который позволяет оценивать конфигурации ресурсов AWS в вашей учетной записи, непрерывно отслеживая и записывая изменения.
Нашел две неплохие свежие статьи из блога AWS про AWS Config и безопасность.
Enable automatic logging of web ACLs by using AWS Config -
Автоматическое логирование AWS WAF web ACL через AWS Config.
How to track changes to secrets stored in AWS Secrets Manager using AWS Config and AWS Config Rules -
Про отслеживание изменений в метаданных секретов (описание, ротация), а также описание новых правил, позволяющих оценивать настройки секретов на соотвтествие лучшим практикам безопасности.
#aws #ops
AWS Config - это сервис, который позволяет оценивать конфигурации ресурсов AWS в вашей учетной записи, непрерывно отслеживая и записывая изменения.
Нашел две неплохие свежие статьи из блога AWS про AWS Config и безопасность.
Enable automatic logging of web ACLs by using AWS Config -
Автоматическое логирование AWS WAF web ACL через AWS Config.
How to track changes to secrets stored in AWS Secrets Manager using AWS Config and AWS Config Rules -
Про отслеживание изменений в метаданных секретов (описание, ротация), а также описание новых правил, позволяющих оценивать настройки секретов на соотвтествие лучшим практикам безопасности.
#aws #ops
Forwarded from Технологический Болт Генона
Dependency-Track is an intelligent Supply Chain Component Analysis platform that allows organizations to identify and reduce risk from the use of third-party and open source components.
https://github.com/DependencyTrack/dependency-track
Два доклада про то как происходит интеграция в Jenkins pipeline
Find and Track the hidden vulnerabilities inside your dependencies
https://www.youtube.com/watch?v=d2WMONyBbTw
Dependency Track - Steve Springett (OWASP)
https://www.youtube.com/watch?v=IPWPISSk5rc
https://github.com/DependencyTrack/dependency-track
Два доклада про то как происходит интеграция в Jenkins pipeline
Find and Track the hidden vulnerabilities inside your dependencies
https://www.youtube.com/watch?v=d2WMONyBbTw
Dependency Track - Steve Springett (OWASP)
https://www.youtube.com/watch?v=IPWPISSk5rc
Automatic API Attack Tool
Automatic API Attack Tool от Imperva принимает спецификацию API в качестве входных данных, после чего генерирует и запускает фаззиннг-атаки основываясь на выходных данных. Инструмент также может быть расширен для запуска таких атак, как XSS, SLi, RFi и т.д. Может быть встроен в CI/CD.
#tool #fuzzing #web #dev #ops
Automatic API Attack Tool от Imperva принимает спецификацию API в качестве входных данных, после чего генерирует и запускает фаззиннг-атаки основываясь на выходных данных. Инструмент также может быть расширен для запуска таких атак, как XSS, SLi, RFi и т.д. Может быть встроен в CI/CD.
#tool #fuzzing #web #dev #ops
GitHub
GitHub - imperva/automatic-api-attack-tool: Imperva's customizable API attack tool takes an API specification as an input, generates…
Imperva's customizable API attack tool takes an API specification as an input, generates and runs attacks that are based on it as an output. - imperva/automatic-api-attack-tool
Archery - Centralize Vulnerability Assessment and Management system
Archery - еще одна open-source система управления уязвимостями. Есть поддержка Acuntetix, Nessus, Burp, Netsparker, WebInspect. В отличие от DefectDojo, о котором я упоминал ранее, решение позволяет запускать из консоли сканирование ZAP, Burp и OpenVAS. Из интересного то, что есть свое API и обработчик false positive. Ну и конечно же интеграция с CI/CD.
#tools #dev #ops
Archery - еще одна open-source система управления уязвимостями. Есть поддержка Acuntetix, Nessus, Burp, Netsparker, WebInspect. В отличие от DefectDojo, о котором я упоминал ранее, решение позволяет запускать из консоли сканирование ZAP, Burp и OpenVAS. Из интересного то, что есть свое API и обработчик false positive. Ну и конечно же интеграция с CI/CD.
#tools #dev #ops
ScoutSuite 5.8.0
Scout Suite - это инструмент аудита безопасности с открытым исходным кодом, который позволяет оценить состояние безопасности облачных сред (AWS, Azure, GCP, OCI). Используя API, предоставляемые облачными провайдерами, Scout Suite собирает данные о конфигурации и выделяет риски безопасности.
Cloud Security Suite - Installation and initiation of an AWS audit
Cloud Security - Implementing NCC ScoutSuite on my Azure Account
Относительно недавно вышла новая версия 5.8.0, поддерживающая KMS, Secrets Manager в AWS, App Service Web Apps, Security Center Compliance Results в Azure. Обещают, что сканирование в GCP должно выполняться быстрее.
#news #aws #azure #tools #gcp #ops
Scout Suite - это инструмент аудита безопасности с открытым исходным кодом, который позволяет оценить состояние безопасности облачных сред (AWS, Azure, GCP, OCI). Используя API, предоставляемые облачными провайдерами, Scout Suite собирает данные о конфигурации и выделяет риски безопасности.
Cloud Security Suite - Installation and initiation of an AWS audit
Cloud Security - Implementing NCC ScoutSuite on my Azure Account
Относительно недавно вышла новая версия 5.8.0, поддерживающая KMS, Secrets Manager в AWS, App Service Web Apps, Security Center Compliance Results в Azure. Обещают, что сканирование в GCP должно выполняться быстрее.
#news #aws #azure #tools #gcp #ops
Forwarded from Cybershit
GitHub на своей онлайн-конференции Satellite анонсировали несколько интересных нововведений.
1. Функции сканирования кода на базе CodeQL теперь может быть включена по-умолчанию, но только для открытых репозиториев.
2. Сканирование секретов (чувствительной информации) стало доступно для частных репозиториев.
3. Анонсировали GitHub Private Instances, сервис для корпоративных клиентов, позволяющий запускать инстансы GitHub у себя в частном облаке, включающие расширенные требования безопасности и комплайнса. Цен еще нет.
4. Показали бета-версию своей IDE для совместной разработки, основанную на Visual Studio Code Online - GitHub Codespaces. Пока бесплатно.
5. Анонсировали новый раздел GitHub Discussions.
Описание всех фич: https://github.blog/2020-05-06-new-from-satellite-2020-github-codespaces-github-discussions-securing-code-in-private-repositories-and-more/
Полная запись выступлений: https://githubsatellite.com/
1. Функции сканирования кода на базе CodeQL теперь может быть включена по-умолчанию, но только для открытых репозиториев.
2. Сканирование секретов (чувствительной информации) стало доступно для частных репозиториев.
3. Анонсировали GitHub Private Instances, сервис для корпоративных клиентов, позволяющий запускать инстансы GitHub у себя в частном облаке, включающие расширенные требования безопасности и комплайнса. Цен еще нет.
4. Показали бета-версию своей IDE для совместной разработки, основанную на Visual Studio Code Online - GitHub Codespaces. Пока бесплатно.
5. Анонсировали новый раздел GitHub Discussions.
Описание всех фич: https://github.blog/2020-05-06-new-from-satellite-2020-github-codespaces-github-discussions-securing-code-in-private-repositories-and-more/
Полная запись выступлений: https://githubsatellite.com/
Terraform Foundational Policies Library
HashiCorp объявила, что выпускает библиотеку на базе правил Santinel для Terraform Cloud and Enterprise из более чем 40 элементов управления, основанных на CIS Benchmarks, для защиты облачных сервисов, включая сети, базы данных, хранилища и вычислительные сервисы.
#terraform #aws #azure #gcp #ops
HashiCorp объявила, что выпускает библиотеку на базе правил Santinel для Terraform Cloud and Enterprise из более чем 40 элементов управления, основанных на CIS Benchmarks, для защиты облачных сервисов, включая сети, базы данных, хранилища и вычислительные сервисы.
#terraform #aws #azure #gcp #ops
This media is not supported in your browser
VIEW IN TELEGRAM
InQL Scanner - tool to ease testing of GraphQL
InQL - инструмент для тестирования GraphQL, доступный как CLI, так и в виде расширения Burp Suite.
GraphQL - это синтаксис, который описывает как запрашивать данные, и, в основном, используется клиентом для загрузки данных с сервера. Набирающий популярность GraphQL предоставляет единую "умную" точку входа в виде конечного сервера, решая недостатки традиционного REST.
InQL, в свою очередь, позволяет получить информацию о запросах, мутациях, полях, аргументах и объектах за счет сгенерированного запроса introspection к целевой конечной точке GraphQL. Инструмент проверяет результаты запроса и генерирует документацию в различных форматах (HTML, JSON). В связке с Burp Suite можно также искать открытые консоли, использовать генерацию шаблонов в Repeater и специальную новую вкладку для GraphQL в каждом HTTP-запросе.
#tool #web #dev #ops #attack
InQL - инструмент для тестирования GraphQL, доступный как CLI, так и в виде расширения Burp Suite.
GraphQL - это синтаксис, который описывает как запрашивать данные, и, в основном, используется клиентом для загрузки данных с сервера. Набирающий популярность GraphQL предоставляет единую "умную" точку входа в виде конечного сервера, решая недостатки традиционного REST.
InQL, в свою очередь, позволяет получить информацию о запросах, мутациях, полях, аргументах и объектах за счет сгенерированного запроса introspection к целевой конечной точке GraphQL. Инструмент проверяет результаты запроса и генерирует документацию в различных форматах (HTML, JSON). В связке с Burp Suite можно также искать открытые консоли, использовать генерацию шаблонов в Repeater и специальную новую вкладку для GraphQL в каждом HTTP-запросе.
#tool #web #dev #ops #attack
IAM Privilege Escalation in AWS.
Повышение привилегий IAM остается одной из самых распространенных проблем, с которой сталкиваются команды пентеста при аудите AWS. В этих статьях можно познакомиться с тем как это происходит.
Part 1.AWS IAM Privilege Escalation – Methods and Mitigation.
Part 2.AWS IAM Privilege Escalation – Methods and Mitigation
Обо всех методах повышения привилегий можно найти здесь.
Сами авторы для выявления уязвимостей рекомендуют для тестирования собственный скрипт. Я от себя советую взлянуть также на инструмент Cloudsplaining и вот эту подборку.
#aws #ops #attack
Повышение привилегий IAM остается одной из самых распространенных проблем, с которой сталкиваются команды пентеста при аудите AWS. В этих статьях можно познакомиться с тем как это происходит.
Part 1.AWS IAM Privilege Escalation – Methods and Mitigation.
Part 2.AWS IAM Privilege Escalation – Methods and Mitigation
Обо всех методах повышения привилегий можно найти здесь.
Сами авторы для выявления уязвимостей рекомендуют для тестирования собственный скрипт. Я от себя советую взлянуть также на инструмент Cloudsplaining и вот эту подборку.
#aws #ops #attack
IAM Privilege Escalation in GCP.
Кажется, что AWS не должен оставаться в центре внимания канала, поэтому представляю вам повышение привилегий в GCP через Cloud Build. А вот PoC скрипт.
RCE to IAM Privilege Escalation in GCP Cloud Build
Вывод статьи: следить за разрешениями, выдаваемыми учетной записи службы Cloud Build, и быть осторожным, предоставляя
#gcp #ops #attack
Кажется, что AWS не должен оставаться в центре внимания канала, поэтому представляю вам повышение привилегий в GCP через Cloud Build. А вот PoC скрипт.
RCE to IAM Privilege Escalation in GCP Cloud Build
Вывод статьи: следить за разрешениями, выдаваемыми учетной записи службы Cloud Build, и быть осторожным, предоставляя
cloudbuild.builds.create разрешение всем пользователям в вашей организации. #gcp #ops #attack
Security Chaos Engineering
В связи с увеличением числа упоминаний темы Chaos Engineering на просторах Интернета в последнее время, грех не поговорить о Security Chaos Engineering.
Сама по себе концепция хаос-инжиниринга основана на нескольких гипотезах - определение "стабильного" состояния, создания гипотезы о последующем состоянии, введение переменных, осуществление попыток "сломать" гипотезу. После серии тестов инфраструктура оценивается на предмет доступности, безопасности и производительности. Как итог цель всего этого - получить систему, способную выдерживать экстремальные условия.
Security Chaos Engineering выделяется лишь гипотезами, касающимися безопасности. Тесты могут состоять, например, из отключения правил Security Groups, изменение файлов случайным образом, прослушивание портов, внедрение вредоносного трафика в VPC, случайное убийство процессов. При этом все это должно быть автоматизированно, а состояния системы должны непрерывно отслеживаться.
А теперь, где можно познакомиться подробнее:
Security Chaos Engineering for Cloud Services - про эксперименты, результаты и опыт взаимодействия с CloudStrike для реализации экспериментов
Building Secure Systems using Security Chaos Engineering and Immunity - Yury Niño Roa - за ссылку спасибо @tech_b0lt_Genona, у него же можете почитать в целом про chaos engineering
Security Precognition: Chaos Engineering in Incident Response - неплохой вводный доклад с RSA Conference
Инструменты для тестирования и контроля состояний среды в процессе тестирования:
ChaoSlingr, Security Monkey
#ops #tools
В связи с увеличением числа упоминаний темы Chaos Engineering на просторах Интернета в последнее время, грех не поговорить о Security Chaos Engineering.
Сама по себе концепция хаос-инжиниринга основана на нескольких гипотезах - определение "стабильного" состояния, создания гипотезы о последующем состоянии, введение переменных, осуществление попыток "сломать" гипотезу. После серии тестов инфраструктура оценивается на предмет доступности, безопасности и производительности. Как итог цель всего этого - получить систему, способную выдерживать экстремальные условия.
Security Chaos Engineering выделяется лишь гипотезами, касающимися безопасности. Тесты могут состоять, например, из отключения правил Security Groups, изменение файлов случайным образом, прослушивание портов, внедрение вредоносного трафика в VPC, случайное убийство процессов. При этом все это должно быть автоматизированно, а состояния системы должны непрерывно отслеживаться.
А теперь, где можно познакомиться подробнее:
Security Chaos Engineering for Cloud Services - про эксперименты, результаты и опыт взаимодействия с CloudStrike для реализации экспериментов
Building Secure Systems using Security Chaos Engineering and Immunity - Yury Niño Roa - за ссылку спасибо @tech_b0lt_Genona, у него же можете почитать в целом про chaos engineering
Security Precognition: Chaos Engineering in Incident Response - неплохой вводный доклад с RSA Conference
Инструменты для тестирования и контроля состояний среды в процессе тестирования:
ChaoSlingr, Security Monkey
#ops #tools
Hacktory
Hacktory - образовательная онлайн платформа для всех, кто заинтересован в AppSec, Red и Blue Teams.
Сейчас там доступно два курса.
Первый, "Безопасность WEB", научит искать уязвимости и устранять их в различных аспектах и компонентах Web.
Второй, "Java Secure Programming", тоже основан на опыте пентестеров и призван научить делать ваши Java-приложения безопасными и надёжными. Этот курс продолжает развиваться и дополняться.
Внутри площадки можно поднимать лаборатории с виртуальными машинами, которые необходимо взламывать.
https://hacktory.ai/
#web #practice #dev #attack
Hacktory - образовательная онлайн платформа для всех, кто заинтересован в AppSec, Red и Blue Teams.
Сейчас там доступно два курса.
Первый, "Безопасность WEB", научит искать уязвимости и устранять их в различных аспектах и компонентах Web.
Второй, "Java Secure Programming", тоже основан на опыте пентестеров и призван научить делать ваши Java-приложения безопасными и надёжными. Этот курс продолжает развиваться и дополняться.
Внутри площадки можно поднимать лаборатории с виртуальными машинами, которые необходимо взламывать.
https://hacktory.ai/
#web #practice #dev #attack
hacktory.ai
Hacktory | Immersive cybersecurity educational platform
Hacktory are professional AppSec, Red and Blue Teams developing their online learning platform. Create an account to get started.
ProductSecurity Trends 2020
Доклады с мини-конференции "Продуктовая безопасность 2020"
https://www.youtube.com/playlist?list=PLxcvsYzLfaTDuwZU4MggEtL-pLMJNSaIS
#talks #dev #ops
Доклады с мини-конференции "Продуктовая безопасность 2020"
https://www.youtube.com/playlist?list=PLxcvsYzLfaTDuwZU4MggEtL-pLMJNSaIS
#talks #dev #ops
Forwarded from IT Meetups - анонсы мероприятий
Безопасность облачных решений
26 мая 17:00 МСК
https://wriketeam.timepad.ru/event/1303270/
26 мая 17:00 МСК
Программа и спикеры:Регистрация
1. Антон Жаболенко, Яндекс.Облако – Использование seccomp для защиты облачной инфраструктуры
В докладе мы поговорим про seccomp — механизм ядра Linux, который позволяет ограничивать доступные приложению системные вызовы. Мы наглядно покажем, как данный механизм позволяет сокращать поверхность атаки на систему, а также расскажем, как его можно использовать для защиты внутрненней инфраструктуры облака.
2. Вадим Шелест, Digital Security – Облачный пентест: Методики тестирования Amazon AWS
В настоящее время все больше компаний задумывается о переходе на использование облачной инфраструктуры. Некоторые хотят таким образом оптимизировать затраты на техническое обслуживание и персонал, другие считают, что облако более защищено от атак злоумышленников и безопасно по умолчанию.
3. Спикер из Wrike – TBA
4. Алмас Журтанов, Luxoft – BYOE на минималках
Проблема защиты персональных данных при использовании SaaS-решений уже долгое время беспокоит ИБ-специалистов по всему миру. Даже при максимальной защите от внешних нарушителей, возникает вопрос о степени контроля провоайдера SaaS-платформы над обрабатываемыми платформой данными. В этом докладе я хотчу рассказать о простом способе минимизировать доступ провайдера SaaS к данным клиентов путём внедрения прозрачного шифрования данных на стороне клиента и рассмотрим плюсы и минусы такого решения.
5. TBA
https://wriketeam.timepad.ru/event/1303270/
wriketeam.timepad.ru
Безопасность облачных решений / События на TimePad.ru
Продолжаем серию безопасных и бесконтактных митапов Wrike TechClub. На этот раз поговорим о безопасности облачных решений и сервисов. Коснемся вопросов защиты и контроля данных, которые хранятся в нескольких распределенных средах. Обсудим риски и способы…
MITRE ATT&CK for DevOps
MITRE ATT&CK - фреймворк для описания поведения злоумышленника на разных стадиях реализации атаки. Фреймворк позволяет описать, какие цели и способы реализации атаки есть у злоумышленника на ту или иную систему.
MITRE ATT&CK Cloud martix:
- AWS
- GCP
- Azure
- Azure AD
- SaaS
MITRE ATT&CK Kubernetes
Интересно то, что в блоге компании Sysdig можно найти пост с матрицей атак, направленных на контейнеры во время их исполнения (run-time). Кликнув на конкретный способ, сайт переводит на правила инструмента Falco на GitHub и конкретную строку кода, которая отвечает за защиту от этой атаки. -
MITRE ATT&CK Container Runtime
А еще есть такие инструменты как METTA, RTA, Atomic-red-team. Они позволяют выполнять тесты безопасности в формате MITRE ATT&CK. Пример для Linux.
#tools #threatmodeling #dev #ops #attack
MITRE ATT&CK - фреймворк для описания поведения злоумышленника на разных стадиях реализации атаки. Фреймворк позволяет описать, какие цели и способы реализации атаки есть у злоумышленника на ту или иную систему.
MITRE ATT&CK Cloud martix:
- AWS
- GCP
- Azure
- Azure AD
- SaaS
MITRE ATT&CK Kubernetes
Интересно то, что в блоге компании Sysdig можно найти пост с матрицей атак, направленных на контейнеры во время их исполнения (run-time). Кликнув на конкретный способ, сайт переводит на правила инструмента Falco на GitHub и конкретную строку кода, которая отвечает за защиту от этой атаки. -
MITRE ATT&CK Container Runtime
А еще есть такие инструменты как METTA, RTA, Atomic-red-team. Они позволяют выполнять тесты безопасности в формате MITRE ATT&CK. Пример для Linux.
#tools #threatmodeling #dev #ops #attack
Обучение (BSIMM - Governance, Training)
Завершил перевод первой части BSIMM, посвященой управлению процессом SSDLC, а именно разделу про обучение сотрудников.
BSIMM гласит, что даже незрелым организациям будет полезно иметь внутренние электронные ресурсы для обучения сотрудников безопасному коду с элементами геймификации. Для более зрелых организаций приемлемо проводить мероприятия с привлечением внешних спикеров, а также учитывать историю собственной компании в своих внутренних курсах. Наконец, для самых зрелых организаций полагается обучение внешних подрядчиков на уровне своих сотрудников, организация массовых мероприятий, ежегодное повышение квалификации и поиск спутников (чемпионов) через их заслуги.
О том, что такое BSIMM
Подробнее про обучение:
https://github.com/dvyakimov/BSIMM_ru/blob/master/Governance/Training.md
#bsimm #dev #ops
Завершил перевод первой части BSIMM, посвященой управлению процессом SSDLC, а именно разделу про обучение сотрудников.
BSIMM гласит, что даже незрелым организациям будет полезно иметь внутренние электронные ресурсы для обучения сотрудников безопасному коду с элементами геймификации. Для более зрелых организаций приемлемо проводить мероприятия с привлечением внешних спикеров, а также учитывать историю собственной компании в своих внутренних курсах. Наконец, для самых зрелых организаций полагается обучение внешних подрядчиков на уровне своих сотрудников, организация массовых мероприятий, ежегодное повышение квалификации и поиск спутников (чемпионов) через их заслуги.
О том, что такое BSIMM
Подробнее про обучение:
https://github.com/dvyakimov/BSIMM_ru/blob/master/Governance/Training.md
#bsimm #dev #ops
Telegram
DevSecOps Wine
BSIMM
Building Security In Maturity Model (BSIMM) - модель оценки безопасности жизненного цикла ПО, результат сбора лучших практик за несколько лет от более чем 100 различных организаций. Основная цель - количественная оценка действий, осуществляемых реальными…
Building Security In Maturity Model (BSIMM) - модель оценки безопасности жизненного цикла ПО, результат сбора лучших практик за несколько лет от более чем 100 различных организаций. Основная цель - количественная оценка действий, осуществляемых реальными…
OpenRASP - Runtime Application Self-Protection
OpenRASP - бесплатный open-source проект для защиты веб-приложений китайской компании Baidu Security, которая тесно сотрудничает с OWASP. В отличие от WAF, OpenRASP интегрируется напрямую с сервером приложения, отслеживая обращения к базе данных, файловые операции, сетевые запросы и тд. Инструмент регистрирует события в формате JSON.
#tools #web #ops
OpenRASP - бесплатный open-source проект для защиты веб-приложений китайской компании Baidu Security, которая тесно сотрудничает с OWASP. В отличие от WAF, OpenRASP интегрируется напрямую с сервером приложения, отслеживая обращения к базе данных, файловые операции, сетевые запросы и тд. Инструмент регистрирует события в формате JSON.
#tools #web #ops