IAM Privilege Escalation in GCP.

Кажется, что AWS не должен оставаться в центре внимания канала, поэтому представляю вам повышение привилегий в GCP через Cloud Build. А вот PoC скрипт.

RCE to IAM Privilege Escalation in GCP Cloud Build

Вывод статьи: следить за разрешениями, выдаваемыми учетной записи службы Cloud Build, и быть осторожным, предоставляя cloudbuild.builds.create разрешение всем пользователям в вашей организации.

#gcp #ops #attack

Security Chaos Engineering

В связи с увеличением числа упоминаний темы Chaos Engineering на просторах Интернета в последнее время, грех не поговорить о Security Chaos Engineering.

Сама по себе концепция хаос-инжиниринга основана на нескольких гипотезах - определение "стабильного" состояния, создания гипотезы о последующем состоянии, введение переменных, осуществление попыток "сломать" гипотезу. После серии тестов инфраструктура оценивается на предмет доступности, безопасности и производительности. Как итог цель всего этого - получить систему, способную выдерживать экстремальные условия.

Security Chaos Engineering выделяется лишь гипотезами, касающимися безопасности. Тесты могут состоять, например, из отключения правил Security Groups, изменение файлов случайным образом, прослушивание портов, внедрение вредоносного трафика в VPC, случайное убийство процессов. При этом все это должно быть автоматизированно, а состояния системы должны непрерывно отслеживаться.

А теперь, где можно познакомиться подробнее:
Security Chaos Engineering for Cloud Services - про эксперименты, результаты и опыт взаимодействия с CloudStrike для реализации экспериментов

Building Secure Systems using Security Chaos Engineering and Immunity - Yury Niño Roa - за ссылку спасибо @tech_b0lt_Genona, у него же можете почитать в целом про chaos engineering

Security Precognition: Chaos Engineering in Incident Response - неплохой вводный доклад с RSA Conference

Инструменты для тестирования и контроля состояний среды в процессе тестирования:
ChaoSlingr, Security Monkey

#ops #tools

Hacktory

Hacktory - образовательная онлайн платформа для всех, кто заинтересован в AppSec, Red и Blue Teams.

Сейчас там доступно два курса.

Первый, "Безопасность WEB", научит искать уязвимости и устранять их в различных аспектах и компонентах Web.

Второй, "Java Secure Programming", тоже основан на опыте пентестеров и призван научить делать ваши Java-приложения безопасными и надёжными. Этот курс продолжает развиваться и дополняться.

Внутри площадки можно поднимать лаборатории с виртуальными машинами, которые необходимо взламывать.

https://hacktory.ai/

#web #practice #dev #attack

ProductSecurity Trends 2020

Доклады с мини-конференции "Продуктовая безопасность 2020"

https://www.youtube.com/playlist?list=PLxcvsYzLfaTDuwZU4MggEtL-pLMJNSaIS

#talks #dev #ops

Безопасность облачных решений
26 мая 17:00 МСК

Программа и спикеры:

1. Антон Жаболенко, Яндекс.Облако – Использование seccomp для защиты облачной инфраструктуры
В докладе мы поговорим про seccomp — механизм ядра Linux, который позволяет ограничивать доступные приложению системные вызовы. Мы наглядно покажем, как данный механизм позволяет сокращать поверхность атаки на систему, а также расскажем, как его можно использовать для защиты внутрненней инфраструктуры облака.

2. Вадим Шелест, Digital Security –  Облачный пентест: Методики тестирования Amazon AWS
В настоящее время все больше компаний задумывается о переходе на использование облачной инфраструктуры. Некоторые хотят таким образом оптимизировать затраты на техническое обслуживание и персонал, другие считают, что облако более защищено от атак злоумышленников и безопасно по умолчанию.

3. Спикер из Wrike – TBA

4. Алмас Журтанов, Luxoft – BYOE на минималках
Проблема защиты персональных данных при использовании SaaS-решений уже долгое время беспокоит ИБ-специалистов по всему миру. Даже при максимальной защите от внешних нарушителей, возникает вопрос о степени контроля провоайдера SaaS-платформы над обрабатываемыми платформой данными. В этом докладе я хотчу рассказать о простом способе минимизировать доступ провайдера SaaS к данным клиентов путём внедрения прозрачного шифрования данных на стороне клиента и рассмотрим плюсы и минусы такого решения.

5. TBA 

Регистрация
https://wriketeam.timepad.ru/event/1303270/

MITRE ATT&CK for DevOps

MITRE ATT&CK - фреймворк для описания поведения злоумышленника на разных стадиях реализации атаки. Фреймворк позволяет описать, какие цели и способы реализации атаки есть у злоумышленника на ту или иную систему.

MITRE ATT&CK Cloud martix:
- AWS
- GCP
- Azure
- Azure AD
- SaaS

MITRE ATT&CK Kubernetes

Интересно то, что в блоге компании Sysdig можно найти пост с матрицей атак, направленных на контейнеры во время их исполнения (run-time). Кликнув на конкретный способ, сайт переводит на правила инструмента Falco на GitHub и конкретную строку кода, которая отвечает за защиту от этой атаки. -

MITRE ATT&CK Container Runtime

А еще есть такие инструменты как METTA, RTA, Atomic-red-team. Они позволяют выполнять тесты безопасности в формате MITRE ATT&CK. Пример для Linux.

#tools #threatmodeling #dev #ops #attack

Обучение (BSIMM - Governance, Training)

Завершил перевод первой части BSIMM, посвященой управлению процессом SSDLC, а именно разделу про обучение сотрудников.

BSIMM гласит, что даже незрелым организациям будет полезно иметь внутренние электронные ресурсы для обучения сотрудников безопасному коду с элементами геймификации. Для более зрелых организаций приемлемо проводить мероприятия с привлечением внешних спикеров, а также учитывать историю собственной компании в своих внутренних курсах. Наконец, для самых зрелых организаций полагается обучение внешних подрядчиков на уровне своих сотрудников, организация массовых мероприятий, ежегодное повышение квалификации и поиск спутников (чемпионов) через их заслуги.

О том, что такое BSIMM

Подробнее про обучение:
https://github.com/dvyakimov/BSIMM_ru/blob/master/Governance/Training.md

#bsimm #dev #ops

OpenRASP - Runtime Application Self-Protection

OpenRASP - бесплатный open-source проект для защиты веб-приложений китайской компании Baidu Security, которая тесно сотрудничает с OWASP. В отличие от WAF, OpenRASP интегрируется напрямую с сервером приложения, отслеживая обращения к базе данных, файловые операции, сетевые запросы и тд. Инструмент регистрирует события в формате JSON.

#tools #web #ops

​​Безопасность EKS — лучшие практики:

https://aws.github.io/aws-eks-best-practices/

Сетевая безопасность, защита подов, инфраструктура, compliance и так далее. Рекомендации, ссылки на другие ресурсы и инструменты.

Отличный, комплексно и качественно выполненный документ. Безопасникам — однозначно в закладки.

#security #best_practices #EKS

Application Security - процедура взаимодействия

Наиболее частая проблема, с которой мы сталкиваемся при проведении аудита процессов разработки - непонимание того, как организовать процедуру взаимодействия между отделом разработки и безопасности.
Как следствие возникают следующие вопросы:
- Как должен проходить архитектурный контроль со стороны ИБ?
- В какой момент осуществлять моделирование угроз? Как?
- Кто должен отвечать за безопасность кода? Должны ли ответственные присутствовать на всех спринтах?
- Как учитывать ИБ в user stories ?
и тд.

При этом немало заказчиков понимают важность встраивания инструментов безопасности в свой CI/CD.

По этому поводу я прикрепил пример эскиза, который мы готовили в рамках написания концепции.

Из материалов, которые также могут помочь, мне нравится доклад Netflix:
A Pragmatic Approach for Internal Security Partnerships

Книга:
"Agile Application Security. Enabling Security in a CD pipeline"

#dev #ops #talks

Друзья, по этому поводу хочу, чтобы вы также поделились тем, каким образом происходит взаимодействие AppSec и разрабов в вашей компании, какие процедуры выполняются по части безопасности приложения при разработке нового продукта и поддержания старого, какие документы вам в этом помогают. Это также могут быть и проблемы, и то, что вам кажется выстроено неправильно.

Пишите в лс, заодно познакомимся:
@dvyakimov

#talks

Metrics, KPIs, and Application Security

Вчера общался с Максимом Мошаровым (@httpnotonly), основателем компании WhiteSpots. Они занимаются аутсорсом безопасности приложений для зарубежных компаний. Основная цель разговора была обсудить лучшие практики, применяемые для организации процессов безопасной разработки.

Максим поделился довольно интересной статьей от HP -

"Magic Numbers . 5 Key Performance Indicators for Web Application Security"

Среди описываемых метрик довольно простой, но, кажется, что эффективной является WRT (Weighted Risk Trend).

WRT = [X(critical)*defects + X(high)*defects + X(medium)*defects + X(low)*defects]* Criticality(business)

Где critical/high/medium/low - метрики CVSS, а Criticality - коэффициент критичностти приложения для бизнеса. Метрики CVSS можно получить из результатов сканирования или дефект-трекера. Складывая WRT всех приложений и определяя ее граничное значение можно обозначить порог, при котором имеет смысл отправить алерт.

#bestpractice #ops #dev

Secure the software development lifecycle with machine learning

Немного ML и математики.

В Microsoft 47 000 разработчиков генерируют около 30 тысяч ошибок в месяц. Информация о них хранится в более чем 100 хранилищах Azure DevOps и GitHub. При этом многие баг репорты ограничены только названием в силу содержания в них конфиденциальной информации. Команда Microsoft представила модель машинного обучения, которая различает ошибки в 99% случаев и точно определяет критические и высокоприоритетные ошибки в 97% случаев. Классификация происходит только на основе заголовков багов.

https://docs.microsoft.com/en-us/security/engineering/identifying-security-bug-reports

Для тех, кто заинтересовался ML в Security:
Книга "Machine Learning and Security: Protecting Systems with Data and Algorithms (2018)"

#dev #ops

Securing K8s Ingress Traffic with HashiCorp Vault PKIaaS and JetStack Cert-Manager

Статья о том, как автоматизировать создание и управление жизненным циклом сертификатов TLS в Kubernetes с помощью HashiCorp Vault и его механизма PKI, а также JetStack cert-manager.

https://medium.com/hashicorp-engineering/securing-k8s-ingress-traffic-with-hashicorp-vault-pkiaas-and-jetstack-cert-manager-cb46195742ca

#k8s #vault #ops

Continuous Secure Delivery - Secure code Box

SecureCodeBox - open-source фреймворк, объединяющий несколько бесплатных инсрументов сканирования (ZAP, NMAP, Nikto, Arachni), собранных вместе в docker-compose в связке с kibana и elasticsearch. В отличие от того же DefectDojo, здесь все инструменты развертываются вместе с решением, и репорты из сканеров подтягиваются сами (не нужно писать скрипты для автоматической отправки issue в сборщик). Также можно запускать сканирование всех заявленных инструментов из UI. На текущий момент инструменты направлены исключительно на тестирование веба.

Несмотря на кажущуюся простоту развертывания и работы, разработчики заявляют, что это не one-button-click-solution и требуется глубокое понимание для настройки сканеров.

#web #tools #ops #dev

Authentication Token Obtain and Replace (ATOR) Burp Plugin

ATOR - полезный плагин для Burp, позволяющий прорабатывать сценарии атак, задействующие CSRF токены, API, использующие токены аутентификации, JWT, чего как правило не умеют делать автоматизированные сканеры веб-приложений.

Подробнее про работу плагина и то, как им пользоваться.

Помимо RedTeam, Burp также активно применяется в качестве DAST для тестирования веб-приложений. Вот список других полезных для него плагинов (есть в том числе на проверку AWS):

Список полезных плагинов для BurpSuite

Интеграция Burp Suite в CI/CD (Jenkins)

#tools #dast #web #dev #attack

Разбираемся с Threat Modelling вместе с Jim Gumbley и богом Мартина Фаулера

#security