FWD: Cloudsec 2020
Выложены доклады с FWD: Cloudsec 2020 - конференции по облачной безопасности.
https://www.youtube.com/playlist?list=PLCPCP1pNWD7OBQvDY7vLCFhxWxok9DITl
#talks #ops
Выложены доклады с FWD: Cloudsec 2020 - конференции по облачной безопасности.
https://www.youtube.com/playlist?list=PLCPCP1pNWD7OBQvDY7vLCFhxWxok9DITl
#talks #ops
Reducing Our Attack Surface with AppSec Platform
Статья про то, как можно построить AppSec платформу на базе open-source и недорогих сервисов AWS, которая автоматически обнаруживает имеющиеся активы, делает легковесное сканирование для выявления рисков, после чего полученные данные поступают на центральную платформу для фильтрации ложных срабатываний и формирования алертов в Slack.
- Amass / Subfinder для поиска активов и отображения поверхности атаки
- Aquatone , Wappalyzer и nmap для захвата скриншота, снятия стека и сканирования портов. Данные собираются в MongoDB.
https://medium.com/ww-tech-blog/reducing-our-attack-surface-with-appsec-platform-4b6717a16709
#tools #aws #ops
Статья про то, как можно построить AppSec платформу на базе open-source и недорогих сервисов AWS, которая автоматически обнаруживает имеющиеся активы, делает легковесное сканирование для выявления рисков, после чего полученные данные поступают на центральную платформу для фильтрации ложных срабатываний и формирования алертов в Slack.
- Amass / Subfinder для поиска активов и отображения поверхности атаки
- Aquatone , Wappalyzer и nmap для захвата скриншота, снятия стека и сканирования портов. Данные собираются в MongoDB.
https://medium.com/ww-tech-blog/reducing-our-attack-surface-with-appsec-platform-4b6717a16709
#tools #aws #ops
FSecureLABS - Leonidas framework
Leonidas - фреймворк для эмуляции действий злоумышленника в облаке. Фреймворк предоставляет YAML-формат для определения действий злоумышленника и связанных с ними свойств обнаружения. Правила для обнаружения можно задавать с помощью Sigma rules.
#tools #aws #ops #attack
Leonidas - фреймворк для эмуляции действий злоумышленника в облаке. Фреймворк предоставляет YAML-формат для определения действий злоумышленника и связанных с ними свойств обнаружения. Правила для обнаружения можно задавать с помощью Sigma rules.
#tools #aws #ops #attack
DevSecOps: Фаззинг исходного кода — Борис Рютин и Павел Князев
Если не учитывать постоянное напрягающее ощущение от того, что докладчики считывают текст с экрана (тут кому как), доклад весьма интересен.
"С чем придется столкнуться разработчикам при подготовке своего продукта на С/С++ к фаззингу, какие подводные камни ожидают DevOps-инженеров, и как это в результате поможет сократить количество уязвимостей в вашем продукте еще на этапе разработки"
Доклад - https://www.youtube.com/watch?v=PbC63weJsDM
Презентация - https://bit.ly/2Nfb3Ep
#tools #fuzzing #dev
Если не учитывать постоянное напрягающее ощущение от того, что докладчики считывают текст с экрана (тут кому как), доклад весьма интересен.
"С чем придется столкнуться разработчикам при подготовке своего продукта на С/С++ к фаззингу, какие подводные камни ожидают DevOps-инженеров, и как это в результате поможет сократить количество уязвимостей в вашем продукте еще на этапе разработки"
Доклад - https://www.youtube.com/watch?v=PbC63weJsDM
Презентация - https://bit.ly/2Nfb3Ep
#tools #fuzzing #dev
Using SAFe to align cyber security and executive goals in an agile setting
Scaled Agile Framework® (SAFe®) - фреймворк, предназначенный для поддержания Agile-методологии внутри организации. В конце того года вышла 5-ая версия, в рамках которой безопасность считается non-functional requirment, то есть то, что относится к качеству.
В статье от F-Secure раскрывается то, как определить уровень безопасности на основе рисков, применимо к Agile, как оценить эти риски и как подтвердить проделанную работу для демонстрации соответствия нормативным требованиям. Основной упор в статье идет на встраивание моделирования угроз в SAFe.
https://www.f-secure.com/en/consulting/our-thinking/using-safe-to-align-cyber-security-and-executive-goals
#compliance #dev #ops
Scaled Agile Framework® (SAFe®) - фреймворк, предназначенный для поддержания Agile-методологии внутри организации. В конце того года вышла 5-ая версия, в рамках которой безопасность считается non-functional requirment, то есть то, что относится к качеству.
В статье от F-Secure раскрывается то, как определить уровень безопасности на основе рисков, применимо к Agile, как оценить эти риски и как подтвердить проделанную работу для демонстрации соответствия нормативным требованиям. Основной упор в статье идет на встраивание моделирования угроз в SAFe.
https://www.f-secure.com/en/consulting/our-thinking/using-safe-to-align-cyber-security-and-executive-goals
#compliance #dev #ops
Forwarded from Технологический Болт Генона
Abusing GitLab Runners
https://frichetten.com/blog/abusing-gitlab-runners/
https://frichetten.com/blog/abusing-gitlab-runners/
DevSecOps for .NET Core.epub
7.9 MB
DevSecOps for .NET Core
Еще одна книга в коллекцию "почитать на потом". На этот раз про безопасный DevOps около .NET Core нагрузок. Здесь же вы сможете прочитать про встраивание безопасности в pipeline, deploy на безопасный Docker, Kubernetes и публичные облака.
#literature #dev #ops
Еще одна книга в коллекцию "почитать на потом". На этот раз про безопасный DevOps около .NET Core нагрузок. Здесь же вы сможете прочитать про встраивание безопасности в pipeline, deploy на безопасный Docker, Kubernetes и публичные облака.
#literature #dev #ops
DevSecOps & Swordfish Security
Хочется поделиться несколькими новостями. Первая из них личная и состоит в том, что я стал частью очень крутого коллектива - команды Swordfish Security. Теперь я совместно с ними буду заниматься консалтингом процессов разработки защищенного ПО и внедрения DevSecOps. Это, в свою очередь, означает, что материал на канале будет глубже и проработаннее.
Вот несколько материалов от ребят из Swordfish Security на русском языке:
- Страх и ненависть DevSecOps / Юрий Шабалин
- DevSecOps: tips and tricks
- "AppSec как код" offzone 2018
- "Когда охотник становится жертвой" offzone2019
- AppSec, ключ на старт! / Юрий Сергеев
- DevSecOps или как встроить проверки информационной безопасности в микросервисы.
- Безопасность Docker
- Обзор утилит безопасности Docker
#bestpractice #tools #docker #talks #dev #ops
Хочется поделиться несколькими новостями. Первая из них личная и состоит в том, что я стал частью очень крутого коллектива - команды Swordfish Security. Теперь я совместно с ними буду заниматься консалтингом процессов разработки защищенного ПО и внедрения DevSecOps. Это, в свою очередь, означает, что материал на канале будет глубже и проработаннее.
Вот несколько материалов от ребят из Swordfish Security на русском языке:
- Страх и ненависть DevSecOps / Юрий Шабалин
- DevSecOps: tips and tricks
- "AppSec как код" offzone 2018
- "Когда охотник становится жертвой" offzone2019
- AppSec, ключ на старт! / Юрий Сергеев
- DevSecOps или как встроить проверки информационной безопасности в микросервисы.
- Безопасность Docker
- Обзор утилит безопасности Docker
#bestpractice #tools #docker #talks #dev #ops
Swordfish Security.
Swordfish Security
Помогаем компаниям выстраивать качественный и эффективный процесс безопасной разработки, позволяющий выявлять уязвимости, оперативно устранять проблемы и выпускать надежно защищенные продукты.
DevSecOps Leadership Forum Online
Вторая новость в продолжение этой - 30 июля в 15:30 по МСК пройдет конференция Sonatype при поддержке Swordfish Security "DevSecOps Leadership Forum Online" на русском языке.
15:30 - Вступительное слово Swordfish Security
15:45 - DevSecOps - чего нам не хватает, Сергей Белов, Acronis
16:15 - Соблюдай технику безопасности! Александр Киверин, Ak Bars Digital
17:15 - Разработчики, которые удовлетворены своей работой, пишут более безопасный код, Ирина Тишельман, Sonatype
Также будут выступать коллеги из ВТБ. Их доклад пока не заявлен.
#talks #dev #ops
Вторая новость в продолжение этой - 30 июля в 15:30 по МСК пройдет конференция Sonatype при поддержке Swordfish Security "DevSecOps Leadership Forum Online" на русском языке.
15:30 - Вступительное слово Swordfish Security
15:45 - DevSecOps - чего нам не хватает, Сергей Белов, Acronis
16:15 - Соблюдай технику безопасности! Александр Киверин, Ak Bars Digital
17:15 - Разработчики, которые удовлетворены своей работой, пишут более безопасный код, Ирина Тишельман, Sonatype
Также будут выступать коллеги из ВТБ. Их доклад пока не заявлен.
#talks #dev #ops
False Positive: Dependency Check, Dependency Track and Nexus IQ
Просканировал уязвимый java-проект dvja тремя инструментами SCA: open-source Dependency Check, Dependency Track и платным продуктом Nexus IQ. Для каждой выявленной CVE сделал ревью и вот что предварительно получилось - 65% фолзов для Dependency Check, 52% для Dependency Track и только 10 для Nexus IQ.
Казалось бы, откуда тут фолзы? Так как open source инструменты строят на базе выявленной компоненты CPE-строку, после чего лезут в NVD за CVE для этой компоненты, то могут возникать ошибки - несоответствие CVE к выявленной компоненте, несоответствие CVE к выявленной версии и дублирование CVE (отображение несколько CVE об одной и той же уязвимости). Nexus в данном случае выиграет за счет того, что Sonatype расширили каждую CVE, указав уязвимый класс, функцию и проведя дополнительные ресерчи.
Чуть попозже надеюсь, что оформим это все в статью, чтобы все могли познакомиться с ревью поглубже.
#sca #tools #dev
Просканировал уязвимый java-проект dvja тремя инструментами SCA: open-source Dependency Check, Dependency Track и платным продуктом Nexus IQ. Для каждой выявленной CVE сделал ревью и вот что предварительно получилось - 65% фолзов для Dependency Check, 52% для Dependency Track и только 10 для Nexus IQ.
Казалось бы, откуда тут фолзы? Так как open source инструменты строят на базе выявленной компоненты CPE-строку, после чего лезут в NVD за CVE для этой компоненты, то могут возникать ошибки - несоответствие CVE к выявленной компоненте, несоответствие CVE к выявленной версии и дублирование CVE (отображение несколько CVE об одной и той же уязвимости). Nexus в данном случае выиграет за счет того, что Sonatype расширили каждую CVE, указав уязвимый класс, функцию и проведя дополнительные ресерчи.
Чуть попозже надеюсь, что оформим это все в статью, чтобы все могли познакомиться с ревью поглубже.
#sca #tools #dev
sooss_2020_final_v2.pdf
9.7 MB
State of Open Source Security Report 2020
Кстати об SCA. Оказывается, у Snyk вышел ежгодный отчет State of Open Source
Security Report 2020. Много разных графиков, статистики и рекомендаций. Спасибо @mobile_appsec_world
#report #sca #dev
Кстати об SCA. Оказывается, у Snyk вышел ежгодный отчет State of Open Source
Security Report 2020. Много разных графиков, статистики и рекомендаций. Спасибо @mobile_appsec_world
#report #sca #dev
AWS Lambda Abuse
Описание того, как минимизировать ущерб от DDoS-атак на AWS Lambdas.
Тезисно:
- Убедиться, что код не зависает на неправильных данных (ReDoS или длинные пейлоады)
- Оповещать о превышении биллинга
- Сoncurrency level для каждой функции
- Использовать SQS в качестве брокера для функции Lambda для обработки нескольких событий одновременно
- Использовать CDN (например, CloudFront) или AWS WAF
- Требовать API ключ для доступа к API Gateway
- Присмотреться к «Token Bucket» моделям
https://luminousmen.com/post/aws-lambda-abuse
#aws #ops #attack
Описание того, как минимизировать ущерб от DDoS-атак на AWS Lambdas.
Тезисно:
- Убедиться, что код не зависает на неправильных данных (ReDoS или длинные пейлоады)
- Оповещать о превышении биллинга
- Сoncurrency level для каждой функции
- Использовать SQS в качестве брокера для функции Lambda для обработки нескольких событий одновременно
- Использовать CDN (например, CloudFront) или AWS WAF
- Требовать API ключ для доступа к API Gateway
- Присмотреться к «Token Bucket» моделям
https://luminousmen.com/post/aws-lambda-abuse
#aws #ops #attack
Microservices Security in Action.pdf
21.3 MB
Microservices Security in Action
Brief content:
- Microservices security landscape
- First steps in securing microservices
- Securing north/south traffic with an API gateway
- Accessing a secured microservice via a single-page application
- Engaging throttling, monitoring, and access control
- Securing east/west traffic with certificates
- Securing east/west traffic with JWT
- Securing east/west traffic over gRPC
- Securing reactive microservices
- Conquering container security with Docker
- Securing microservices on Kubernetes
- Securing microservices with Istio service mesh
- Secure coding practices and automation
#literature #k8s #docker #ops
Brief content:
- Microservices security landscape
- First steps in securing microservices
- Securing north/south traffic with an API gateway
- Accessing a secured microservice via a single-page application
- Engaging throttling, monitoring, and access control
- Securing east/west traffic with certificates
- Securing east/west traffic with JWT
- Securing east/west traffic over gRPC
- Securing reactive microservices
- Conquering container security with Docker
- Securing microservices on Kubernetes
- Securing microservices with Istio service mesh
- Secure coding practices and automation
#literature #k8s #docker #ops
Forwarded from CatOps
Sysdig подготовили 12 рекомендаций по поводу сканирования образов контейнеров.
Рассказывают о скане на этапе сборки, так и в реджистри. Ну и немного рекламируют свою платформу
#kubernetes #security
Рассказывают о скане на этапе сборки, так и в реджистри. Ну и немного рекламируют свою платформу
#kubernetes #security
Sysdig
12 container image scanning best practices
Don’t miss out on these 12 image scanning best practices, whether you are starting to run containers and Kubernetes in production, or want to embed more security into your current DevOps workflow.
“There’s something truly special happening in the static analysis world”
Daniel Cuthbert, соавтор OWASP ASVS, запустил трэд в твиттере, который начинается со слов о том, что современные SAST тяжелые, монолитные и весьма неуклюжие для встраивания в CI/CD за такую большую стоимость. По его мнению, чтобы "не тратить сотни тысяч на динозавров" стоит обратить внимание на LGTM и Semgrep, которые по его словам стали частью друг друга (подтверждению этому я не нашел). Далее он приводит несколько примеров использования Semgrep в проектах.
LGTM - облачная платформа для сканирования кода в GitHub от компании Semmle, которая в конце того года стала частью GitHub. Semmle также являются автором CodeQL, применение которого было анонисировано GitHub на своей онлайн-конференции Satellite.
Semgrep - CLI-инструмент для выполнения статического анализа за счет самописных правил. Semgrep совмещает в себе grep + Abstract Syntax Tree (AST) + dataflow, что делает его довольно удобным для поиска. К Semgrep есть также интерактивный редактор и встроенные правила от OWASP. Вот также статья про использование Semgrep.
#tools #sast #dev
Daniel Cuthbert, соавтор OWASP ASVS, запустил трэд в твиттере, который начинается со слов о том, что современные SAST тяжелые, монолитные и весьма неуклюжие для встраивания в CI/CD за такую большую стоимость. По его мнению, чтобы "не тратить сотни тысяч на динозавров" стоит обратить внимание на LGTM и Semgrep, которые по его словам стали частью друг друга (подтверждению этому я не нашел). Далее он приводит несколько примеров использования Semgrep в проектах.
LGTM - облачная платформа для сканирования кода в GitHub от компании Semmle, которая в конце того года стала частью GitHub. Semmle также являются автором CodeQL, применение которого было анонисировано GitHub на своей онлайн-конференции Satellite.
Semgrep - CLI-инструмент для выполнения статического анализа за счет самописных правил. Semgrep совмещает в себе grep + Abstract Syntax Tree (AST) + dataflow, что делает его довольно удобным для поиска. К Semgrep есть также интерактивный редактор и встроенные правила от OWASP. Вот также статья про использование Semgrep.
#tools #sast #dev
Telegram
DevSecOps Wine
OWASP ASVS - Application Security Verification Standard
OWASP ASVS - открытый стандарт безопасности веб-приложений. Документ обеспечивает основу для проектирования, разработки и тестирования безопасности приложения, определяя требования для аутентификации…
OWASP ASVS - открытый стандарт безопасности веб-приложений. Документ обеспечивает основу для проектирования, разработки и тестирования безопасности приложения, определяя требования для аутентификации…
GitHub Public Roadmap
Кстати, еще немного про GitHub. Недавно они опубликовали свой Roadmap в открытый доступ, с которым вы уже можете ознакомиться. По ссылке можно увидеть то, что относится к security.
https://github.com/github/roadmap/projects/1?card_filter_query=label%3A%22security+%26+compliance%22
#news #dev
Кстати, еще немного про GitHub. Недавно они опубликовали свой Roadmap в открытый доступ, с которым вы уже можете ознакомиться. По ссылке можно увидеть то, что относится к security.
https://github.com/github/roadmap/projects/1?card_filter_query=label%3A%22security+%26+compliance%22
#news #dev
Awesome DevSecOps
Большие подборки ресурсов по DevSecOps и AppSec. Здесь можно найти инструменты, доклады, все существующие конференции по каждой теме, подкасты, гайдлайны, фреймворки и так далее.
DevSecOps
Application Security
Web Security
Cybersecurity Blue Team
Fuzzing
Threat modeling
Static Analysis
Dynamic Analysis
А еще есть русская версия Awesome DevSecOps.
#tools #bestpractice #web #fuzzing #sast #dast #dev #ops
Большие подборки ресурсов по DevSecOps и AppSec. Здесь можно найти инструменты, доклады, все существующие конференции по каждой теме, подкасты, гайдлайны, фреймворки и так далее.
DevSecOps
Application Security
Web Security
Cybersecurity Blue Team
Fuzzing
Threat modeling
Static Analysis
Dynamic Analysis
А еще есть русская версия Awesome DevSecOps.
#tools #bestpractice #web #fuzzing #sast #dast #dev #ops
