DevSecOps Talks

2022-08-31 09:31:49 Kubernetes OWASP Top-10: примеры

Привет!

Проект Kubernetes OWASP Top 10 продолжает развиваться. Ранее пустые разделы постепенно наполняются описанием и примерами! Появляются статьи, которые разбирают описанные в нем риски.

Одна из таких статей разбирает первый и самый «популярный» - Insecure Workload Configurations. Автор описывает Security Context и что они могут/для чего они нужны.

Он разбирает не все, лишь самые интересные на его взгляд:
Privileged
Действия с Capabilities
runAsUser/Group
runAsNonRoot
readOnlyFileSystem

Приведены примеры, что это и зачем, почему это (не) стоит применять. А если Вы не успели ознакомиться с полной версией Kubernetes OWASP Top 10, то он доступен по ссылке. Открыть/Комментировать

2022-08-30 08:49:47 CyberCamp 2022!!!

Всем привет!

Материал не совсем по тематике канала (хотя, spoiler: в программе есть отличный доклад Сергея Канибора из Luntry!), но не поделиться им мы не можем!!!

Встречайте, CyberCamp 2022 !!!

Присоединяйтесь 14-16 сентября к онлайн-конференции! Практики по кибербезопасности расскажут, как обнаруживать, расследовать и отражать кибератаки.

Что будет?
20 докладов и мастер-классов от пентестеров, специалистов по мониторингу и расследованию инцидентов из Group-IB, «Лаборатории Касперского», «Инфосистемы Джет», Positive Technologies, Luntry, Синклит и Yandex Cloud
Задания для отработки практических навыков в формате игрового обучения

Забронируйте три дня на полезный контент:
Поиск низко висящих фруктов в ИТ-инфраструктуре
Раскладываем атаки по MITRE
Эффективный харденинг ИТ-инфраструктуры
Типовые сценарии Windows Persistence и их обнаружение
Инструменты пентестеров для BlueTeam
Автоматизация работы с инцидентами
Форензика и криминалистические артефакты
Безопасность АСУ ТП: угрозы, подходы, практики
Обогащение в SIEM: как забирать данные из AD, GeoIP, TI

Регистрация на сайте CyberCamp 2022! Открыть/Комментировать

2022-08-29 10:00:46 Устройство сети Kubernetes

Всем привет!

По ссылкам можно ознакомиться с циклом статей, посвященному устройству сети Kubernetes. Цикл разбит на три части, в каждой из которых уровень «погружения» увеличивается.

Первая статья рассказывает про namespaces (pid, mnt, utc, ipc, user, net). Что это такое, зачем оно нужно и какое отношение имеет к контейнерной сети.
Вторая раскрывает тему Pause Container. Если вы не знаете, что это такое и в чем суть его существования – очень рекомендуем прочесть, ответ достаточно интересный. Простой контейнер с одним бинарным файлом.
Третья уже вплотную подбирается к Kubernetes. Описывается как взаимодействуют компоненты между собой (на одной node, на разных node), что такое cbr0, примеры маршрутизации трафика.

Статьи отлично подойдут в качестве основы, если вам интересно разобраться в концептах устройства сети Kubernetes. Открыть/Комментировать

2022-08-25 09:46:13 Импорт результатов Trivy в PolicyReporter

Всем привет!

Frank Jogeleit подготовил интересный проект. Он взял результаты работы Trivy (Vulnerability Assessment, RBAC Analysis и не только) и «переложил» их в структуру v1alpha2.PolicyReportResult и v1alpha2.ClusterPolicyReportResult.

Указанные структуры представляют из себя CRD, прорабатываются Kubernetes Policy Working Group и набирают все большую популярность.

Именно в таком формате, например, предоставляет результаты и другой инструмент – Kyverno! А для визуализации подобных отчетов есть отдельное решение – PolicyReporter. Суть простая: данные из polr (PolicyReports) и cpolr (ClusterPolicyReports) отображаются в виде графиков, что упрощает дальнейший анализ.

Если объединить первое со вторым, то получится «единое» окно, в котором содержится графическое представление результатов работы сразу нескольких инструментов: Kyverno, KubeBench, Trivy. При желании можно дописать свой mapper или доработать существующие. Например, если вы не согласны с той логикой, что определил Автор.

Дополнительно настраивать ничего не надо. Данные по отчетам Trivy появятся в блоках PolicyReports и ClusterPolicyReports за счет того, что PolicyReporter «подписан» на соответствующие изменения. Открыть/Комментировать

2022-08-23 10:03:38 Обзор Kubernetes Services, LoadBalancers и Ingress

Привет!

Еще одна обзорная статья, посвященная базовым аспектам устройствам сети в Kubernetes, но при этом покрывающая очень важные аспекты.

Как организовать сетевое взаимодействие между pod внутри кластера? А как с «внешним миром»? Почему IP-адреса вроде, как и есть, а вроде как их нет? Ответы на эти вопросы и не только можно найти в статье.

Авторы рассматривают такие сущности как:
Services (ClusterIP, NodePort, LoadBalancer)
Ingress

Отдельно в статье упоминаются FAQ. Например: можно ли создать несколько Services с одинаковым именем? Можно ли «пинговать» Services? Можно ли взаимодействовать с pods из другого namespace? Что такое Headless Service и т.д.

Есть примеры, ссылки на материалы по теме. А в конце статьи приведена общая табличка с типами сетевых сущностей и разницей между ними, включая уровни модели ISO/OSI, на которых они работают. Открыть/Комментировать

2022-08-22 10:05:26 Использование Alpine в качестве base image

Всем привет!

Ivan Velichko поделился своими размышлениями об использовании Alpine в качестве базового образа.

Началось с того, что он задал вопрос в Twitter о том, используют ли компании Alpine. Большинство ответили, что «Да!». Следующий вопрос был более общий – что важнее при выборе «основы»: быстрая сборка, общее количество CVE, иное. Варианты «Сборка» и «Количество CVE» были практически идентичны! И, напоследок, Ivan подготовил еще один вопрос: «Я использую Alpine, потому что…». И вот тут вариант ответа «5 Mb!» выбился в лидеры со значительным отрывом.

На основе такого опроса можно попробовать сделать несколько выводов:
Размеры образа важны, т.к. это ускоряет процесс, сокращает количество CVE (спорно, но скорее всего в более минималистичных образах количество CVE меньше)
Alpine – не единственный, хоть и очень удобный, выбор в качестве base image. Есть и альтернативы – тот же distroless (про который мы писали тут) или использование DockerSlim (которые еще генерирует AppArmor и Seccomp профили по резлуьтатам работы)

Подробности – в статье от Ivan, крайне рекомендуем к прочтению, как и весть его блог. Множество ценной и полезной информации, подаваемой в простом и удобном для восприятия формате. Открыть/Комментировать

2022-08-19 10:15:45 X-AST: разновидности

Всем привет!

По ссылке доступна очень лаконичная статья от PVS-Studio, посвященная разновидностям Application Security Testing (AST).

Рассматриваются такие подходы и практики, как:
SAST: Static Application Security Testing
DAST: Dynamic Application Security Testing
IAST: Interactive Application Security Testing
MAST: Mobile Application Security Testing. В статье не рассматривается, но если Вам интересно узнать, что это такое, то рекомендуем прочитать про Stingray. Ссылка на документацию.

Если Вы уже все про это знаете, то ничего нового точно не найдете. С другой стороны, если Вы немного «путаетесь» в аббревиатурах – самое то! Автор отлично все описал, просто и понятно, указал на плюсы и минусы тех или иных подходов, а в заключении собрал все в единую и наглядную таблицу. Открыть/Комментировать

2022-08-18 09:56:59 И, как обещали, тот самый «Controlling the Source: Abusing Source Code Management Systems».

Документ состоит из следующих разделов:
Source code management systems
GitHub enterprise (Background / Attack Scenarios)
GitLab enterprise (Background / Attack Scenarios)
Bitbucket (Background / Attack Scenarios)
SCMKit (использование на различных этапах kill-chain)
Defensive considerations

Всего ~ 111 страниц текста. Открыть/Комментировать

2022-08-18 09:56:09 Безопасность Source Code Management (SCM) систем

Привет!

В статье приведена краткая выжимка из исследования «Controlling the Source: Abusing Source Code Management Systems», посвященная теме защиты SCM. Само исследование мы приложим в следующем посте.

Рассматриваются варианты компрометации наиболее популярных SCM-систем (GitHub, GitLab, Bitbucket). Например, для GitLab аналитика состоит из следующих разделов:
Reconnaissance
User Impersonation
Promoting User to Admin Role
Modifying CI/CD Pipeline
SSH Access

Отдельный раздел посвящен использованию утилиты SCMKit, которая может быть использована для воспроизведения и автоматизации рассмотренных сценариев. Рекомендуем обратить внимание и детально ознакомиться с ее возможностями, которые описаны в repo.

В завершении – общие рекомендации о том, как повысить уровень информационной безопасности SCM-систем. Открыть/Комментировать

2022-08-17 09:38:29 Supply Chain Awesome

Всем привет!

В repo собраны материалы, посвященные безопасности Supply Chain – от общих статей с практиками до конкретных инструментов, которые можно использовать.

Если не знакомы с термином "Supply Chain" - ничего страшного. Если упростить, то это цепочка поставки программного обеспечения, в том числе, использование внешних компонентов. Атаки на Supply Chain зачастую связаны с попыткой модифицировать/изменить/дополнить часто используемый компонент.

Подборка структурирована по следующим блокам:
Policy. Полезные статьи/книги
Incidents/Threats. Описание угроз, реальные примеры (включая Dependency Confusion и Log4j)
Solutions. Различные frameworks и средства автоматизации, которые можно использовать для повышения безопасности supply chain
Organizations. «Открытые» сообщества, которые занимаются тематикой
Reports and summaries. Отчеты и whitepapers

А если этого мало – рекомендуем обратить внимание на блог компании ChainGuard. В нем можно найти много интересного Открыть/Комментировать