DevSecOps Wine

2021-06-16 09:57:53 Siloscape: First Known Malware Targeting Windows Containers to Compromise Cloud Environments

Разбор от Unit 42 (отдел исследований Palo Alto) вредоносного ПО Siloscape, которое использует Windows контейнеры для выходы за их пределы и эксплуатации мисконфигурации Kubernetes. Все это сопровождается коннектом до внешних C2-серверов через Tor-прокси. Инициализация вредоносного ПО предполагается через RCE веб-сервера.

Кстати, это не первая статья автора, которая посвящена безопасности Windows-контейнеров:
- Windows Server Containers Are Open, and Here's How You Can Break Out
- What I Learned from Reverse Engineering Windows Containers

Важно отметить, что Windows-контейнеры используют те же привилегии, что и хост, из-за чего не должны использоваться в качестве security boundary. Вместо этого рекомендуется использовать Hyper-V containers.

Обсудить можно здесь: @sec_devops_chat

#ops #attack #k8s Открыть/Комментировать

2021-06-15 09:59:31 Как топ-менеджеру относиться к ИБ-рискам, кроме подхода "либо случится, либо нет"?

На выходных наткнулся в FB на статью 2020 года от VP InfoWatch, которая затрагивает тему, как относится современный бизнес к информационной безопасности и по какому пути в безопасности развиваться не надо.

Основная идея состоит в том, что безопасность является ничем иным как очередным сервисом, а все риски, которыми безопасники привыкли пугать, вероятностны, при этом расходы абсолютны. Соответственно, убедить бизнес не принимать риски становится непростой задачей, однако гораздо чаще специалисты ИБ уходят в "технические игрушки", не вникая в суть и цели бизнеса, а также критерии его успешности.

Завершает статью правильная цитата, которую стоит записать всем, кто склонен топить ИТ жесткими требованиями ИБ:

"Переломить эту тенденцию может только инфобезопасник 2.0, который хорошо понимает объект защиты и принципы его функционирования, а не только методы и приёмы безопасности."

Очень рекомендую, если вы работаете на этой неделе и еще не успели морально выйти из выходных.

Обсудить можно в нашем чате: @sec_devops_chat

#talks Открыть/Комментировать

2021-06-11 11:11:37 Introducing the Open Source Insights Project

Google продолжают радовать своими открытыми продуктами, посвященными безопасности open-source. На этот раз они выпустили Open Source Insights Project. С самим сервисом можно поиграть здесь. Он позволяет анализировать сторонние зависимости для указанного компонента с помощью интерактивного графа, а если открыть описание компонента, то можно увидеть историю релизов и перечень тестов от OpenSSF Scorecards (было ли сканирование SAST для компонента, fuzzing, давно ли были релизы и так далее)

Другие интересные проекты от Google:
- Cosign
- Open Source Vulnerabilities (OSV)

Обсуждать можно в нашем чате: @sec_devops_chat

#sca #dev Открыть/Комментировать

2021-06-10 09:33:07 Mobsfscan - SAST for Android and iOS source code

mobsfscan - отдельный проект от MobSF, который направлен на поиск уязвимостей в исходном коде мобильных приложений (Java, Kotlin, Swift, Objective C). По факту это обертка вокруг правил semgrep и libsast, но результат может быть весьма полезным.

#mobile #sast #dev Открыть/Комментировать

2021-06-08 10:00:19 Hack Series: Is your Ansible Package Configuration Secure?

Хорошая статья, которая раскрывает аспекты безопасности Ansible: несколько простых рекомендаций и разбор уязвимости CVE-2020-14365, которая позволяет реализовать атаку через supply chain.

Основная проблема кроется в том, что ansible старых версий использует dnf-модуль, который позволяет скачивать внешние пакеты без проверки их целостности и организации безопасного соединения через HTTPS. Проблема актуальна и для новых версиях в тех случаях, когда используется force: true.

#ops #attack Открыть/Комментировать

2021-06-07 09:48:22 Ensure Content Trust on Kubernetes using Notary and Open Policy Agent

Реализация проверки подписи образа через OPA при деплое в Kubernetes с помощью интеграции с Notary-сервисом.

В рамках CI сборки формируется подпись к образу с помощью Notary сервиса. При формировании подписи, ее значение сохраняется в БД. Каждый раз, когда происходит попытка деплоя нового ворклоада, OPA с помощью ValidatingAdmissionWebhook проверяет наличие подписи (digest) к образу и идёт с ним в Notary, чтобы убедиться, что подпись была сформирована именно им. В случае, если образ был подменен злоумышленником или изменен за пределами security-проверок в CI, образ развернут быть не сможет.

Так как работа происходит с OPA, в данной схеме есть возможность применить и MutatingAdmissionWebhook. Например, прикреплять digest, если он отсутствует, но подпись для данного образа уже была сформирована и хранится в Notary.

Про альтернативные способы формирования Content Trust я писал ранее.

#opa #k8s #dev #ops Открыть/Комментировать

2021-06-04 10:13:37 Cigna/confectionery

Confectionery - набор правил Conftest для поиска мисконфигураций Terraform (AWS, Azure). Хочу отметить удобное разделение правила по доменам, например, EKS, EC2, KMS и так далее.

Кстати, внимательные читатели заметили, что в последнем сравнении инструментов сканирования Terraform, которое я публиковал, вышла новая версия, из-за чего сильно изменился баланс сил :) Там, кстати, нет Conftest, так как инструмент не предполагает встроенный набор правил.

#terraform #aws #azure #dev #ops Открыть/Комментировать

2021-06-03 10:29:19 Attacking Kubernetes Clusters Through Your Network Plumbing: Part 2

Вторая часть от CyberARK по атакам на сети Kubernetes (первая здесь). В этот раз речь пойдет об изменении маршрутизации (в частности BGP), что приводит к скрытой MiTM-атаке.

#attack #ops #k8s Открыть/Комментировать

2021-06-02 09:31:51 DevSecOps Series: Shifting Security Left

"Running a DevSecOps program as well as what some of the (hard) lessons I learned through the years."

Давно в этом канале не было статей из разряда "классика" - как должен выглядеть процесс DevSecOps, из чего он состоит и кто в этом должен участвовать - "DevSecOps Series: Shifting Security Left".

#dev #ops Открыть/Комментировать

2021-05-31 09:33:20 AI security risk assessment

История с AI/ML Ops стремительно набирает обороты в ИТ-комьюнити. Мы же сегодня начнем эту неделю с AI Security.

Microsoft выпустила статью "AI security risk assessment using Counterfit", в которой представила свой новый открытый инструмент Counterfit для оценки ML-систем на безопасность. Безопасность ML - на сегодняшний день супер-молодая ниша. Организация MITRE только полгода назад представила матрицу угроз "Adversarial ML Threat Matrix", которая пока еще не успела стать частью ATT&CK matrix.

Microsoft также рассказала про bug bar, где собираются различные атаки на ML-системы и набор вопросов, которые стоит задать для моделирования угроз ML. В статье также упоминаются другие инструменты безопасности: Adversarial Robustness Toolbox and TextAttack.

#ml Открыть/Комментировать