Forwarded from AWS Notes
Безопасность EKS — лучшие практики:
https://aws.github.io/aws-eks-best-practices/
Сетевая безопасность, защита подов, инфраструктура, compliance и так далее. Рекомендации, ссылки на другие ресурсы и инструменты.
Отличный, комплексно и качественно выполненный документ. Безопасникам — однозначно в закладки.
#security #best_practices #EKS
https://aws.github.io/aws-eks-best-practices/
Сетевая безопасность, защита подов, инфраструктура, compliance и так далее. Рекомендации, ссылки на другие ресурсы и инструменты.
Отличный, комплексно и качественно выполненный документ. Безопасникам — однозначно в закладки.
#security #best_practices #EKS
Application Security - процедура взаимодействия
Наиболее частая проблема, с которой мы сталкиваемся при проведении аудита процессов разработки - непонимание того, как организовать процедуру взаимодействия между отделом разработки и безопасности.
Как следствие возникают следующие вопросы:
- Как должен проходить архитектурный контроль со стороны ИБ?
- В какой момент осуществлять моделирование угроз? Как?
- Кто должен отвечать за безопасность кода? Должны ли ответственные присутствовать на всех спринтах?
- Как учитывать ИБ в user stories ?
и тд.
При этом немало заказчиков понимают важность встраивания инструментов безопасности в свой CI/CD.
По этому поводу я прикрепил пример эскиза, который мы готовили в рамках написания концепции.
Из материалов, которые также могут помочь, мне нравится доклад Netflix:
A Pragmatic Approach for Internal Security Partnerships
Книга:
"Agile Application Security. Enabling Security in a CD pipeline"
#dev #ops #talks
Наиболее частая проблема, с которой мы сталкиваемся при проведении аудита процессов разработки - непонимание того, как организовать процедуру взаимодействия между отделом разработки и безопасности.
Как следствие возникают следующие вопросы:
- Как должен проходить архитектурный контроль со стороны ИБ?
- В какой момент осуществлять моделирование угроз? Как?
- Кто должен отвечать за безопасность кода? Должны ли ответственные присутствовать на всех спринтах?
- Как учитывать ИБ в user stories ?
и тд.
При этом немало заказчиков понимают важность встраивания инструментов безопасности в свой CI/CD.
По этому поводу я прикрепил пример эскиза, который мы готовили в рамках написания концепции.
Из материалов, которые также могут помочь, мне нравится доклад Netflix:
A Pragmatic Approach for Internal Security Partnerships
Книга:
"Agile Application Security. Enabling Security in a CD pipeline"
#dev #ops #talks
Друзья, по этому поводу хочу, чтобы вы также поделились тем, каким образом происходит взаимодействие AppSec и разрабов в вашей компании, какие процедуры выполняются по части безопасности приложения при разработке нового продукта и поддержания старого, какие документы вам в этом помогают. Это также могут быть и проблемы, и то, что вам кажется выстроено неправильно.
Пишите в лс, заодно познакомимся:
@dvyakimov
#talks
Пишите в лс, заодно познакомимся:
@dvyakimov
#talks
OWASP ASVS - Application Security Verification Standard
OWASP ASVS - открытый стандарт безопасности веб-приложений. Документ обеспечивает основу для проектирования, разработки и тестирования безопасности приложения, определяя требования для аутентификации, управления сессиями и доступом, защиты данных, коммуникации и так далее. Применимо ли требование или нет, зависит от уровня критичности приложения (всего их 3)
В фотографии прикрепил перечень open-source инструментов из книги Hands-On Security in DevOps, которые также могут помочь закрыть каждое из требований.
Последняя версия стандарта
#compliance #bestpractice #web #dev
OWASP ASVS - открытый стандарт безопасности веб-приложений. Документ обеспечивает основу для проектирования, разработки и тестирования безопасности приложения, определяя требования для аутентификации, управления сессиями и доступом, защиты данных, коммуникации и так далее. Применимо ли требование или нет, зависит от уровня критичности приложения (всего их 3)
В фотографии прикрепил перечень open-source инструментов из книги Hands-On Security in DevOps, которые также могут помочь закрыть каждое из требований.
Последняя версия стандарта
#compliance #bestpractice #web #dev
Metrics, KPIs, and Application Security
Вчера общался с Максимом Мошаровым (@httpnotonly), основателем компании WhiteSpots. Они занимаются аутсорсом безопасности приложений для зарубежных компаний. Основная цель разговора была обсудить лучшие практики, применяемые для организации процессов безопасной разработки.
Максим поделился довольно интересной статьей от HP -
"Magic Numbers . 5 Key Performance Indicators for Web Application Security"
Среди описываемых метрик довольно простой, но, кажется, что эффективной является WRT (Weighted Risk Trend).
#bestpractice #ops #dev
Вчера общался с Максимом Мошаровым (@httpnotonly), основателем компании WhiteSpots. Они занимаются аутсорсом безопасности приложений для зарубежных компаний. Основная цель разговора была обсудить лучшие практики, применяемые для организации процессов безопасной разработки.
Максим поделился довольно интересной статьей от HP -
"Magic Numbers . 5 Key Performance Indicators for Web Application Security"
Среди описываемых метрик довольно простой, но, кажется, что эффективной является WRT (Weighted Risk Trend).
WRT = [X(critical)*defects + X(high)*defects + X(medium)*defects + X(low)*defects]* Criticality(business)
Где critical/high/medium/low - метрики CVSS, а Criticality - коэффициент критичностти приложения для бизнеса. Метрики CVSS можно получить из результатов сканирования или дефект-трекера. Складывая WRT всех приложений и определяя ее граничное значение можно обозначить порог, при котором имеет смысл отправить алерт.#bestpractice #ops #dev
Secure the software development lifecycle with machine learning
Немного ML и математики.
В Microsoft 47 000 разработчиков генерируют около 30 тысяч ошибок в месяц. Информация о них хранится в более чем 100 хранилищах Azure DevOps и GitHub. При этом многие баг репорты ограничены только названием в силу содержания в них конфиденциальной информации. Команда Microsoft представила модель машинного обучения, которая различает ошибки в 99% случаев и точно определяет критические и высокоприоритетные ошибки в 97% случаев. Классификация происходит только на основе заголовков багов.
https://docs.microsoft.com/en-us/security/engineering/identifying-security-bug-reports
Для тех, кто заинтересовался ML в Security:
Книга "Machine Learning and Security: Protecting Systems with Data and Algorithms (2018)"
#dev #ops
Немного ML и математики.
В Microsoft 47 000 разработчиков генерируют около 30 тысяч ошибок в месяц. Информация о них хранится в более чем 100 хранилищах Azure DevOps и GitHub. При этом многие баг репорты ограничены только названием в силу содержания в них конфиденциальной информации. Команда Microsoft представила модель машинного обучения, которая различает ошибки в 99% случаев и точно определяет критические и высокоприоритетные ошибки в 97% случаев. Классификация происходит только на основе заголовков багов.
https://docs.microsoft.com/en-us/security/engineering/identifying-security-bug-reports
Для тех, кто заинтересовался ML в Security:
Книга "Machine Learning and Security: Protecting Systems with Data and Algorithms (2018)"
#dev #ops
Securing K8s Ingress Traffic with HashiCorp Vault PKIaaS and JetStack Cert-Manager
Статья о том, как автоматизировать создание и управление жизненным циклом сертификатов TLS в Kubernetes с помощью HashiCorp Vault и его механизма PKI, а также JetStack cert-manager.
https://medium.com/hashicorp-engineering/securing-k8s-ingress-traffic-with-hashicorp-vault-pkiaas-and-jetstack-cert-manager-cb46195742ca
#k8s #vault #ops
Статья о том, как автоматизировать создание и управление жизненным циклом сертификатов TLS в Kubernetes с помощью HashiCorp Vault и его механизма PKI, а также JetStack cert-manager.
https://medium.com/hashicorp-engineering/securing-k8s-ingress-traffic-with-hashicorp-vault-pkiaas-and-jetstack-cert-manager-cb46195742ca
#k8s #vault #ops
Continuous Secure Delivery - Secure code Box
SecureCodeBox - open-source фреймворк, объединяющий несколько бесплатных инсрументов сканирования (ZAP, NMAP, Nikto, Arachni), собранных вместе в docker-compose в связке с kibana и elasticsearch. В отличие от того же DefectDojo, здесь все инструменты развертываются вместе с решением, и репорты из сканеров подтягиваются сами (не нужно писать скрипты для автоматической отправки issue в сборщик). Также можно запускать сканирование всех заявленных инструментов из UI. На текущий момент инструменты направлены исключительно на тестирование веба.
Несмотря на кажущуюся простоту развертывания и работы, разработчики заявляют, что это не one-button-click-solution и требуется глубокое понимание для настройки сканеров.
#web #tools #ops #dev
SecureCodeBox - open-source фреймворк, объединяющий несколько бесплатных инсрументов сканирования (ZAP, NMAP, Nikto, Arachni), собранных вместе в docker-compose в связке с kibana и elasticsearch. В отличие от того же DefectDojo, здесь все инструменты развертываются вместе с решением, и репорты из сканеров подтягиваются сами (не нужно писать скрипты для автоматической отправки issue в сборщик). Также можно запускать сканирование всех заявленных инструментов из UI. На текущий момент инструменты направлены исключительно на тестирование веба.
Несмотря на кажущуюся простоту развертывания и работы, разработчики заявляют, что это не one-button-click-solution и требуется глубокое понимание для настройки сканеров.
#web #tools #ops #dev
Authentication Token Obtain and Replace (ATOR) Burp Plugin
ATOR - полезный плагин для Burp, позволяющий прорабатывать сценарии атак, задействующие CSRF токены, API, использующие токены аутентификации, JWT, чего как правило не умеют делать автоматизированные сканеры веб-приложений.
Подробнее про работу плагина и то, как им пользоваться.
Помимо RedTeam, Burp также активно применяется в качестве DAST для тестирования веб-приложений. Вот список других полезных для него плагинов (есть в том числе на проверку AWS):
Список полезных плагинов для BurpSuite
Интеграция Burp Suite в CI/CD (Jenkins)
#tools #dast #web #dev #attack
ATOR - полезный плагин для Burp, позволяющий прорабатывать сценарии атак, задействующие CSRF токены, API, использующие токены аутентификации, JWT, чего как правило не умеют делать автоматизированные сканеры веб-приложений.
Подробнее про работу плагина и то, как им пользоваться.
Помимо RedTeam, Burp также активно применяется в качестве DAST для тестирования веб-приложений. Вот список других полезных для него плагинов (есть в том числе на проверку AWS):
Список полезных плагинов для BurpSuite
Интеграция Burp Suite в CI/CD (Jenkins)
#tools #dast #web #dev #attack
Salus (Security Automation as a Lightweight Universal Scanner)
Salus - инструмент для централизованного управления статическими сканерами и инструментами проверки зависимостей. В число интегрированного open-source ПО: Bandit, BundleAudit, Brakeman, npm audit, yarn audit, semgrep, PatternSearch, gosec. Таким образом, Salus позволяет проверять проекты, написанные на Ruby, Node, Python и Go.
Сам Salus поставляется в виде единого контейнера (а еще он имеет интеграцию с Circle CI и может запускаться как Github Action)
#tools #sast #sca #dev
Salus - инструмент для централизованного управления статическими сканерами и инструментами проверки зависимостей. В число интегрированного open-source ПО: Bandit, BundleAudit, Brakeman, npm audit, yarn audit, semgrep, PatternSearch, gosec. Таким образом, Salus позволяет проверять проекты, написанные на Ruby, Node, Python и Go.
Сам Salus поставляется в виде единого контейнера (а еще он имеет интеграцию с Circle CI и может запускаться как Github Action)
#tools #sast #sca #dev
GitHub
GitHub - coinbase/salus: We would like to request that all contributors please clone a *fresh copy* of this repository since the…
We would like to request that all contributors please clone a *fresh copy* of this repository since the September 21st maintenance. - coinbase/salus
Forwarded from Технологический Болт Генона
Container Security 101 — Scanning images for Vulnerabilities
Part 1 — Introduction and AWS Native Image Scanning
https://medium.com/faun/container-security-101-scanning-images-for-vulnerabilities-d25c9a7d02f5
Part 2 — Docker Trusted Registry Scanning
https://medium.com/faun/container-security-101-scanning-images-for-vulnerabilities-28391ee7170e
Part 3 — Scanning Images for Vulnerabilities with Trivy.
https://medium.com/faun/container-security-101-scanning-images-for-vulnerabilities-8030af2441ba
Part 1 — Introduction and AWS Native Image Scanning
https://medium.com/faun/container-security-101-scanning-images-for-vulnerabilities-d25c9a7d02f5
Part 2 — Docker Trusted Registry Scanning
https://medium.com/faun/container-security-101-scanning-images-for-vulnerabilities-28391ee7170e
Part 3 — Scanning Images for Vulnerabilities with Trivy.
https://medium.com/faun/container-security-101-scanning-images-for-vulnerabilities-8030af2441ba
Medium
Container Security 101 — Scanning images for Vulnerabilities
This article series will cover how to secure your container (docker) images using various image scanning solutions and how they can be…
OAuth: Security
Краткий обзор OAuth 2.0 и то, как его можно неправильно реализовать с точки зрения безопасности. Обзор следующих типовых ошибок: слабая redirect_uri конфигурация, неправильная обработка параметра состояния, назначение УЗ на основе e-mail и раскрытие секретов (client_secret)
https://medium.com/a-bugz-life/the-wondeful-world-of-oauth-bug-bounty-edition-af3073b354c1
Обзор атаки Mix-Up Attack на OAuth. Это атака, при которой злоумышленник может убедить клиента отправить учетные данные (код или токен) на сервер злоумышленника. Статья также поможет докрутить принудительные запросы для обеспечения защиты.
https://danielfett.de/2020/05/04/mix-up-revisited/
Все, что нужно знать об OAuth с точки зрения ИБ:
https://maxfieldchen.com/posts/2020-05-17-penetration-testers-guide-oauth-2.html
#bestpractice #dev #attack
Краткий обзор OAuth 2.0 и то, как его можно неправильно реализовать с точки зрения безопасности. Обзор следующих типовых ошибок: слабая redirect_uri конфигурация, неправильная обработка параметра состояния, назначение УЗ на основе e-mail и раскрытие секретов (client_secret)
https://medium.com/a-bugz-life/the-wondeful-world-of-oauth-bug-bounty-edition-af3073b354c1
Обзор атаки Mix-Up Attack на OAuth. Это атака, при которой злоумышленник может убедить клиента отправить учетные данные (код или токен) на сервер злоумышленника. Статья также поможет докрутить принудительные запросы для обеспечения защиты.
https://danielfett.de/2020/05/04/mix-up-revisited/
Все, что нужно знать об OAuth с точки зрения ИБ:
https://maxfieldchen.com/posts/2020-05-17-penetration-testers-guide-oauth-2.html
#bestpractice #dev #attack
Finding secrets in repositories
truffleHog - open-source инструмент для поиска открытых секретов в репозиториях на GitHub. Инструмент просматривает всю история коммитов каждой ветки, проверяя каждый diff из каждого коммита на наличие секретов. Кстати, truffleHog для поиска секретов использует анализ энтропии Шеннона.
Среди его аналогов - defect-secrets, GitGuardian, о котором я писал ранее.
Дополнительно:
Раскрытие секретов на GitHub: что делать после утечки учетных данных и ключей API
LeakLooker - скрипт + веб-интерфейс для постоянного поиска утечки открытых баз данных и сервисов.
#secret #dev
truffleHog - open-source инструмент для поиска открытых секретов в репозиториях на GitHub. Инструмент просматривает всю история коммитов каждой ветки, проверяя каждый diff из каждого коммита на наличие секретов. Кстати, truffleHog для поиска секретов использует анализ энтропии Шеннона.
Среди его аналогов - defect-secrets, GitGuardian, о котором я писал ранее.
Дополнительно:
Раскрытие секретов на GitHub: что делать после утечки учетных данных и ключей API
LeakLooker - скрипт + веб-интерфейс для постоянного поиска утечки открытых баз данных и сервисов.
#secret #dev
Dagda
Dagda - инструмент для анализа уязвимостей, троянов, вирусов, вредоносного ПО в образах и контейнерах Docker, а также для выявления аномальной активности контейнеров.
При инициализации загружает базу уязвимостей (CVE, BIG, RHSA, RHBA) в базу MongoDB, с которой в дальнейшем сравнивает версии пакетов, установленные в образе. В качестве антивирусного ядра использует ClamAV, а для поиска аномальной активности Falco. Для анализа зависимостей используются DependencyCheck и Retire.js
#tool #docker #k8s #ops
Dagda - инструмент для анализа уязвимостей, троянов, вирусов, вредоносного ПО в образах и контейнерах Docker, а также для выявления аномальной активности контейнеров.
При инициализации загружает базу уязвимостей (CVE, BIG, RHSA, RHBA) в базу MongoDB, с которой в дальнейшем сравнивает версии пакетов, установленные в образе. В качестве антивирусного ядра использует ClamAV, а для поиска аномальной активности Falco. Для анализа зависимостей используются DependencyCheck и Retire.js
#tool #docker #k8s #ops
IAST and hybrid analysis
SAST и DAST - два основных инструмента для поиска уязвимостей в приложении. Как правило SAST из коробки - это большое количество ложных срабатываний, а DAST - это неполный набор уязвимостей, выявленных на ограниченном множестве запросов к развернутому серверу (либо такое же большое количество ложных срабатываний)
IAST (Interactive AST) должен сочетать в себе SAST и DAST, но, что из себя в конечном итоге представляет класс решений, до конца сообщество и вендоры не определились. Попробуем внести некоторую ясность и разобраться в текущих наработках.
Версии:
1) IAST - агент, отслеживающий работу приложения и сопутствующего компилятора и интерпретатора, что позволяет определить уязвимость в развернутом приложении с указанием на строчку в коде. В случае с предварительно скомпилированными ПО IAST может точно определить проблему в байт-коде, что ускоряет его поиск в исходном коде. (Acunetix source)
2) IAST - инструмент, который использует SAST для формирования наборов входных данных и шаблонов ожидаемых результатов, а DAST выполняет тестирование системы на этих наборах, опционально привлекая к процессу человека-оператора в неоднозначных ситуациях (PT Blog)
3) IAST - инструмент, выполняющий тесты безопасности, для развернутого приложения основываясь на запросы-ответы в рамках функциональных тестов, проверяя, таким образом, не все приложение, а только часть (Пример ПО: Wallarm FAST)
Наиболее зрелые представители IAST на рынке - Checkmarx, Veracode, Synopsys
Из бесплатных IAST есть Contrast (не open-source, но free)
За ссылку спасибо @tech_b0lt_Genona
Вообще задача с совмещением результатов SAST и DAST сама по себе довольно интересная.
Вот некоторые мысли о создании гибридного SAST/DAST с Google Patents:
Method of correlation Static and Dynamic AST Results For A Web Application
Из блога Veracode:
A Dose of Reality on Automated Static-Dynamic Hybrid Analysis
Пример из какого-то неизвестного мне инструмента:
Examples of hybrid analysis
#iast #tools #sast #dast #dev
SAST и DAST - два основных инструмента для поиска уязвимостей в приложении. Как правило SAST из коробки - это большое количество ложных срабатываний, а DAST - это неполный набор уязвимостей, выявленных на ограниченном множестве запросов к развернутому серверу (либо такое же большое количество ложных срабатываний)
IAST (Interactive AST) должен сочетать в себе SAST и DAST, но, что из себя в конечном итоге представляет класс решений, до конца сообщество и вендоры не определились. Попробуем внести некоторую ясность и разобраться в текущих наработках.
Версии:
1) IAST - агент, отслеживающий работу приложения и сопутствующего компилятора и интерпретатора, что позволяет определить уязвимость в развернутом приложении с указанием на строчку в коде. В случае с предварительно скомпилированными ПО IAST может точно определить проблему в байт-коде, что ускоряет его поиск в исходном коде. (Acunetix source)
2) IAST - инструмент, который использует SAST для формирования наборов входных данных и шаблонов ожидаемых результатов, а DAST выполняет тестирование системы на этих наборах, опционально привлекая к процессу человека-оператора в неоднозначных ситуациях (PT Blog)
3) IAST - инструмент, выполняющий тесты безопасности, для развернутого приложения основываясь на запросы-ответы в рамках функциональных тестов, проверяя, таким образом, не все приложение, а только часть (Пример ПО: Wallarm FAST)
Наиболее зрелые представители IAST на рынке - Checkmarx, Veracode, Synopsys
Из бесплатных IAST есть Contrast (не open-source, но free)
За ссылку спасибо @tech_b0lt_Genona
Вообще задача с совмещением результатов SAST и DAST сама по себе довольно интересная.
Вот некоторые мысли о создании гибридного SAST/DAST с Google Patents:
Method of correlation Static and Dynamic AST Results For A Web Application
Из блога Veracode:
A Dose of Reality on Automated Static-Dynamic Hybrid Analysis
Пример из какого-то неизвестного мне инструмента:
Examples of hybrid analysis
#iast #tools #sast #dast #dev
Acunetix
What Is IAST (Interactive Application Security Testing) | Acunetix
Interactive Application Security Testing (IAST) is a term for tools that combine the advantages of Static Application Security Testing (SAST) and Dynamic Application Security Testing (DAST).
Kubernetes - Open Policy Agent, Gatekeeper and Pod Security Policies
Open Policy Agent (GitHub) предоставляет высокоуровневый декларативный язык для создания и применения политик в вашем облачном стеке технологий.
С помощью OPA можно определить правила, задающие поведение вашей системы. Эти правила существуют для ответа на такие вопросы, как:
- Может ли пользователь X вызвать операцию Y на ресурсе Z?
- В каких кластерах должна быть развернута рабочая нагрузка?
- Какие теги должны быть установлены на ресурсе R перед его созданием?
Например, в случае использования простой авторизации API:
- Вы пишете правила, которые разрешают (или запрещают) доступ к API вашего сервиса.
- Ваш сервис запрашивает OPA, когда получает запросы API.
- OPA возвращает разрешенные (или отклоняющие) решения к вашим услугам.
- Ваша служба обеспечивает выполнение решений, соответственно принимая или отклоняя запросы.
Статья на русском про OPA и SPIFFE от Флант
Gatekeeper - инструмент, позволяющий задавать политики OPA в качестве Custom Resource Definitions (CRDs) и управлять ими как ресурсами Kubernetes. Также есть функционал аудита этих политик.
Использование Gatekeeper в Kubernetes
Настройка Pod Security Policy через OPA:
Kubernetes Pod Security Policies with Open Policy Agent
#k8s #toos #ops #opa
Open Policy Agent (GitHub) предоставляет высокоуровневый декларативный язык для создания и применения политик в вашем облачном стеке технологий.
С помощью OPA можно определить правила, задающие поведение вашей системы. Эти правила существуют для ответа на такие вопросы, как:
- Может ли пользователь X вызвать операцию Y на ресурсе Z?
- В каких кластерах должна быть развернута рабочая нагрузка?
- Какие теги должны быть установлены на ресурсе R перед его созданием?
Например, в случае использования простой авторизации API:
- Вы пишете правила, которые разрешают (или запрещают) доступ к API вашего сервиса.
- Ваш сервис запрашивает OPA, когда получает запросы API.
- OPA возвращает разрешенные (или отклоняющие) решения к вашим услугам.
- Ваша служба обеспечивает выполнение решений, соответственно принимая или отклоняя запросы.
Статья на русском про OPA и SPIFFE от Флант
Gatekeeper - инструмент, позволяющий задавать политики OPA в качестве Custom Resource Definitions (CRDs) и управлять ими как ресурсами Kubernetes. Также есть функционал аудита этих политик.
Использование Gatekeeper в Kubernetes
Настройка Pod Security Policy через OPA:
Kubernetes Pod Security Policies with Open Policy Agent
#k8s #toos #ops #opa