🔹Cyber Security on Azure

Cyber Security on Azure explains how this 'security as a service' (SECaaS) business solution can help you better manage security risk and enable data security control using encryption options such as Advanced Encryption Standard (AES) cryptography. Discover best practices to support network security groups, web application firewalls, and database auditing for threat protection. Configure custom security notifications of potential cyberattack vectors to prevent unauthorized access by hackers, hacktivists, and industrial spies.

#azure #literature

Krane - Kubernetes RBAC static analysis tool

Krane - open source утилита, выполняющая статический анализ RBAC за счет индексации объектов RBAC в RedisGraph. Управление рисками RBAC происходит через настройку политик. Krane может работать как CLI, docker-контейнер или автономная служба для непрерывного анализа, а также быть встроенным в CI/CD. Также есть возможность построения отчетов, выполнения мониторинга и алертинга.

Кстати, лучшие практики по RBAC можно найти здесь: https://rbac.dev

#k8s #tools #ops

Secure Development Guidelines

Так как среди подписчиков не только люди из DevOps, но и из AppSec, решил сделать небольшую подборку гайдлайнов по secure coding, помимо уже упоминаемых ранее ASVS, MASVS.

- Coding Standars by CERT - набор стандартов по безопасному написанию кода для C, C++, Java и
Adnroid.

- Secure Coding Guidelines by Mozilla - гайдлайн по безопасной разработке веб-приложений

- Secure Coding Practices Quick Reference Guide by OWASP -очень полезный чек-лист с ссылками на пункты в известных стандартах, которые могут помочь закрыть то или иное требование (SP800, SAMM, MSSDL, NIST и так далее)

- Proactive Controls by OWASP - список из 10 основных элементов управления OWASP, которые должны быть реализованы в каждом проекте

#compliance #bestpractice #dev

Anchore Toolbox

Помимо известного Anchore Engine, в арсенале open source Anchore недавно появились такие инструменты как syft и grype.

Grype - сканер уязвимостей для образов контейнеров, пакетов операционных систем (Alpne, BusyBox, CentOS, Debian, Ubuntu), а также таких пакетов как Ruby Bundler, JARs, NPM, Egg/Wheel, Pip.

Syft - CLI, которая умеет создавать спецификации зависимостей (SBOM) из тех же образов контейнеров, дистрибутивов Linux (Apline, BusyBox, CentOS, Debian, Ubuntu), а также пакетов вроде APK, DEB, NPM, Go.

И из future plans Grype научится принимать в качестве входных параметров как SBOM от Syft, так и CycloneDX (!). Кажется, что скоро надо будет делать сравнение SCA от OWASP и Anchore...

#tools #sca #dev

Building a SIEM: combining ELK, Wazuh HIDS and Elastalert for optimal performance

Статья про построение SOC на 20 тысяч хостов на основе инструментов без дорогой единовременной лицензии. В статье рассматриваются минусы такой системы в сравнении с тем же Splunk, а также несколько мыслей по поводу того, что нужно иметь в виду при построении подобной архитектуры. Основной минус - тяжелая поддержка. Приходится отдельно настраивать правила для быстрого Wazuh, и медленного, но подробного Elastalert.

https://medium.com/bugbountywriteup/building-a-siem-combining-elk-wazuh-hids-and-elastalert-for-optimal-performance-f1706c2b73c6

#ops #tools

DevSecOps: принципы работы и сравнение SCA. Часть первая

Рад объявить о том, что мы запустили блог на Хабре и серию статей по DevSecOps на русском языке. Первая статья - "Принципы работы и сравнение SCA". В этой статье я рассказываю, что такое Software Composition Analysis, как он работает, при чем здесь BOM и что это такое, какие фолзы выдают SCA и как их выявлять, а также табличка с функциональным сравнением. Вся статья построена вокруг двух самых известных open source решений Dependency Check, Dependency Track и коммерческего решения Nexus IQ.

https://habr.com/ru/company/swordfish_security/blog/516660/

В следующих частях планируем написать о встраивании SCA в CI/CD, сравнении результатов различных DAST и многом другом.

#sca #tools #dev

Golang Security

В силу того, что все больше компаний начинают переписывать свои сервисы на golang, решил сделать подборку по аспектам безопасности этого языка.

Awesome golang security - подборка лучших практик, включая библиотеки, фреймворки для харденинга, статьи

OWASP Go-SCP - лучшие практики по написанию безопасного кода на Go от OWASP

Go-ing for an Evening Stroll: Golang Beasts & Where to Find Them - обсуждение 4х распространенных уязвимостей в Golang. Репо с расширенной версией доклада + слайды

Статические анализаторы: gosec, golangci-lint, safesql

Not-going -anywhere - набор уязвимых программ на Golang для выявления распространенных уязвимостей.

OnEdge - библиотека для обнаружения неправильного использования паттернов Defer, Panic, Recover.

#dev

Очень мощная подборка

(канал в числе моих рекомендаций, подписываемся)

#dev #mobile #literature

Большая подборка книг, курсов и статей по безопасности мобильных приложений

На день знаний не успел выложить, но хоть на 3-е сентября будет 😄

Собрал воедино все книги, которые у меня были и что мне присылали, гайды и курсы по анализу и безопасности мобильных приложений!

Что получилось в итоге:

Android Books
Android Application Pentest Guide (AAPG)
Android Forensics
Android binder
Android Task Hijacking
Android Hacker's Handbook
Android Malware and Analysis
Android Apps Security
Android Security Attacks and Defenses
Android Security Internals
Application Security for the Android Platform
Android Application Secure Design/Secure Coding Guidebook
Decompiling Android
Deep Dive into Android Binder IPC
DEF CON 24 Workshop Dinesh Shetty Practical Android Application
Embedded Android
Kotlin secure coding practices
Learning Android Forensics
Hacking Android
XDAs Android Hackers Toolkit
Xaker-254
Яндекс - как общаются Android приложения
Broken Fingers - On the Usage of the Fingerprint API in Android
What can you do to an apk without its private key except repacking
WhatsApp Forensics: Decryption of Encrypted WhatsApp Databases
Huawei Mate 9 Pro (LON AL00) PWN2OWN
Android Internals - A Confectioner's Cookbook (Volume I)

Android Cources
Android Part - Mobile Application Security and Penetration Testing v2
AndroidHackingCourse
Penetration Testing Apps for Android Devices

iOS Books
Apple Security Sandbox
iOS App Reverse Engineering
IOS FORENSICS COOKBOOK
IOS Hackers Handbook
Mac OS X and iOS Internals (1-е издание)
Mobile App Hackers Handbook
Hacking and Securing IOS Applications
Recreating an iOS 0day Jailbreak Out of Apple’s Security Updates
Revisiting iOS Kernel (In)Security: Attacking the early random() PRNG
Demystifying The Secure Enclave Processor

iOS Cources
iOS Part - Mobile Application Security and Penetration Testing v2

Книги включающие в себя и Android и iOS либо нечто общее про безопасность мобилок
MASTERING MOBILE FORENSICS
Mobile App Hackers Handbook
MOBILE FORENSICS ADVANCED INVESTIGATIVE STRATEGIES
DSEC - Анализ безопасности мобильных банковских приложений
DSEC - Анализ безопасности мобильных банковских приложений 2012
DSEC - SCADA и мобильники - оценка безопасности приложений, превращающих смартфон в пульт управления заводом
Secure mobile development best practices
OWASP Mobile App Security Checklist
OWASP Mobile AppSec Verification Standard RU
OWASP mobile security testing guide
Брюс Шнайдер - прикладная криптография :D

Смешанные курсы
Mobile Application Security and Penetration Testing v1

Все материалы доступны по ссылке. Можно как скачать отдельные материалы, так и все сразу.
По мере нахождения новых интересных материалов - буду обновлять и дополнять "библиотеку" 🤓

#Books #Education #Android #iOS

Когда забыл обновить фреймворк и решил его просканировать

#пятничное

Очень люблю подобные сравнения

#sca #docker #dev

OWASP in SDLC

На портале OWASP можно найти статью, которая показывает, как выглядят разные процессы SDLC с точки зрения зрелых и не зрелых организаций, ссылаясь на OWASP SAMM как основную модель оценки зрелости. Здесь также есть ссылки на разные статьи и инструменты, которые должны помочь. Есть, конечно, определенные вопросы к полезности многих инструментов (в том числе самих Dependency Check/Track, ZAP, Defect Dojo), но статья может стать хорошей отправной точкой для проведения самооценки старых и новых процессов.

https://owasp.org/www-project-integration-standards/writeups/owasp_in_sdlc/

https://owasp.org/www-project-integration-standards/

#dev #ops

Докладчик Александр Бутенко - очень крутой специалист по WAF, регистрируемся!

#talks

​​КРОК:
Вебинар "Практика обеспечения защиты критических бизнес-приложений"

Уровень защищенности веб-приложений продолжает постепенно расти, но все еще остается довольно низким. В 2019 году 19% киберинцидентов были связаны с наличием уязвимостей в веб-приложениях. О том, как крупному бизнесу эффективно организовать защиту веб-приложений и API на открытом вебинаре расскажет эксперт КРОК.

Программа выступления:
• Проблемы подходов DevOps / SDLC на примере CI/CD pipeline
• Общие проблемы классического DevOps с точки зрения ИБ
• Безопасная разработка DevSecOps / Secure SDLC: процессы + инструменты
• Как реализация принципа "Shift left" влияет на показатель Time to market на примере WAF
• WAF как элемент CI/CD pipeline
• Практика внедрения WAF и техническая экспертиза КРОК на примере реального кейса
• Экспертиза КРОК по формированию эффективных политик и усилению WAF
• Эволюция микросервисного подхода. Рост значимости API
• Кейс несанкционированного доступа к API крупной организации, предоставляющей сервис услуг
• Защита API средствами WAF
• Защита API средствами систем контроля аутентификации и авторизации
• Симбиоз WAF и механизмов контроля аутентификации как средство выполнения OWASP best practice по защите API

Дата проведения:
15 сентября 2020 г., | 11:00 (МСК)

Регистрация

#вебинар #сентябрь
@InfoBezEvents

Tracking Moving Clouds: How to continuously track cloud assets with Cartography

Непрерывный мониторинг облачных ассетов с помощью Catography (утилиты от Lyft для распределения ассетов публичных облаков на графе) и информирование о любых нелегитимных изменениях в среде AWS/GCP через Slack и Jira.

https://www.marcolancini.it/2020/blog-tracking-moving-clouds-with-cartography/

Другие статьи из этой же серии:

Mapping Moving Clouds:How to stay on top of your ephemeral environments with Cartography

Cross Account Auditing in AWS and GCP

#gcp #aws #ops

Организация фаззинга исходного кода

Вчера на Habr вышла статья от Digital Security, посвященная фаззинг-тестированию и встраивание ее в CI/CD. По сути это текстовая версия их же доклада, про который я писал ранее. Статья затрагивает определение фаззинга, чем это отличается от статического анализа, как устроена фаззинг-ферма у них, про continious fuzzing от google и почему данная схема подходит не всем.

https://habr.com/ru/company/dsec/blog/517596/

#fuzzing #dev

От Threat Modeling до безопасности AWS: 50+ open-source инструментов для выстраивания безопасности DevOps

Сделал то, что давно хотел - большая статья со всеми практиками DevSecOps с описанием open-source инструментов. В качестве формата была выбрана статья на Хабре в нашем корпоративном блоге. На мой взгляд получилось круто. Более 50 инструментов, распределенных по 16 практикам, включая моделирование угроз, SAST, DAST, SCA, защиту Docker и Kubernetes, фреймворки BDD, проверку IaC и даже Security Chaos Engineering. В результате не получилось охватить и половины всего того, что уже есть, поэтому постарался указать все ссылки на чужие подборки, которые я знаю. Приятного чтения, надеюсь это вам поможет на первых этапах построения DevSecOps.

https://habr.com/ru/company/swordfish_security/blog/518758/

#tools #dev #ops