DevSecOps Talks
Рассказываем об актуальном в мире DevSecOps. Канал DevSecOps-команды "Инфосистемы Джет"
Show more6 027
Subscribers
-124 hours
+147 days
+5530 days
- Subscribers
- Post coverage
- ER - engagement ratio
Data loading in progress...
Subscriber growth rate
Data loading in progress...
Vulnerability Management: ключевая проблематика и стоимость
Всем привет!
«Сколько, в среднем, стоит устранение уязвимостей в Компаниях?» - именно такой вопрос задала себе команда Chainguard (одним из направления деятельности, которых является создание минималистичных образов контейнеров, в которых уязвимостей значительно меньше, чем в «обычных»).
Для того, чтобы ответить на этот вопрос Команда провела небольшое исследование, результаты которого можно найти в приложении.
Если кратко, то:
🍭 Оценить время для tirage конкретной CVE затруднительно. Оно может варьироваться от 20 минут до нескольких недель
🍭 Большое количество действий при tirage. Обилие данных может привести к «открытию и чтению десятков вкладок» браузера, чтобы понять «что это есть на самом деле»
🍭 Shift Left не панацея. Уязвимости могут появляться ежедневно, поэтому управлять ими надо в «режиме реального времени»
🍭 Некоторые компании тратят тысячи часов на процесс управления уязвимостями. Грубо говоря, 1 и более сотрудников полноценно занимаются только этим в течение года
Для того, чтобы избежать этих проблем Chainguard предлагает свой подход. Суть его, хоть и похожа, но отличается в корне – не исправлять уязвимости в образах контейнеров, а использовать образы, в которых количество уязвимостей сведено к минимуму.
А что вы думаете по этому поводу? Имеет ли такой подход место быть и нужно ли стремиться к «zero tolerance»?
👍 7
БЕКОН: когда много «мяса»!
Всем привет!
Все именно так! Для тех, кто не знает, БЕКОН – конференция, посвященная безопасности контейнеров и всего, что с ними связано, созданная командой Luntry. В этом году она пройдет во второй раз!
Никакой воды, маркетинга, рекламы, product placement и всего такого. Только «мясо». Много «мяса» и технических подробностей реализации нетривиальных задач!
С полным описанием программы конференции можно ознакомиться на сайте. Мы лишь подсветим компании, которые представляют спикеры:
🍭 Tinkoff
🍭 Luntry
🍭 Samokat Tech
🍭 Сбертех
🍭 Флант
🍭 Яндекс Финтех
🍭 Лаборатория Числитель
Конференция пройдет 5-ого июня, в Москве (Loft Hall). Приходите, будет «вкусно», интересно и чрезвычайно полезно! И будем очень рады, если вы придете поддержать Алису Кириченко, которая выступит с докладом, посвященным работе с Audit Logs в Kubernetes 😊
Конференция БеКон
Ежегодная конференция по безопасности контейнеров и контейнерных сред, организованная компанией Luntry.
🔥 9❤ 2🥰 2🤡 2
Iptables и Kubernetes
Всем привет!
Есть много курсов по тому, как научиться работать с Kubernetes и, в любом случае нет-нет, да и придется изучать Linux 😊
Анализ трафика – не исключение. Для того, чтобы лучше понять то, как можно его фильтровать нет ничего лучше, чем старые добрые Iptables!
В эту рабочую субботу предлагаем обратить внимание на статью, в которой Автор (в достаточно шутливой манере) описывает что это и зачем оно нужно на простых аналогиях и примерах.
Рассматривается:
🍭 Описание правил
🍭 Работа с chains
🍭 Добавление правил в custom chain
🍭 Управление логами Iptables
🍭 Использование Iptables для защиты Kubernetes и не только
В статье очень много примеров, screenshots, пояснений к происходящему. Самое «то», чтобы рабочая суббота «пролетела» чуточку быстрее ☺️
Shielding Your Kubernetes Network: Mastering iptables for Enhanced Security
I. Introduction Would you like to hear the good news or the bad news first? Let's begin...
👍 9
OSV: автоматическое устранение уязвимостей в зависимостях
Всем привет!
В апреле open source сканер от Google – OSV – получил интересный функционал: помощь в устранении уязвимостей в зависимостях.
На текущий момент функционал находится в стадии [Experimental], поддерживается только
package.json и package-lock.json.
OSV предлагает следующее:
🍭 Анализ графа зависимостей с целью идентификации минимальных изменений, необходимых для устранения уязвимостей
🍭 Расстановка приоритетов в обновлении прямых зависимостей на основании количества устраненных уязвимостей в транзитивных
🍭 Расстановка приоритетов по устранению уязвимостей на основании «глубины/уровня» зависимости, уровня критичности и не только
OSV fix может не только помогать AppSec специалисту в анализе данных об уязвимостях, но и автоматически обновлять зависимости. Подробнее об использовании функционала можно прочесть в документации на решение.
P.S. Еще раз напоминаем, что эти возможности находятся в стадии [Experimental] и лучше не использовать это "в бою"Guided Remediation
Use OSV-Scanner to find existing vulnerabilities affecting your project’s dependencies.
👍 3🔥 1
📍 Онлайн-конференция «Российские системы контейнеризации»
🗓 26 апреля, 11:00
Уже завтра в эфире AM Live ведущие IT-эксперты сделают обзор российского рынка систем контейнерной виртуализации. Расскажут, зачем мигрировать на российские дистрибутивы Kubernetes и на какие критерии обращать внимание при выборе поставщика.
На мероприятии вы узнаете:
🔶 В чем преимущества контейнеров относительно серверной виртуализации?
🔶 Кто и зачем использует контейнеризацию в России?
🔶 Какие ограничения возникают при использовании российских дистрибутивов Kubernetes?
🔶 С чего начать создание собственной среды контейнеризации?
🔶 Что ожидает рынок в 2024 году и перспективе 2-3 лет?
От команды «Лаборатория Числитель» выступит Александр Краснов, технический директор платформы «Штурвал». Чтобы продуктивно провести утро пятницы и узнать больше о российских платформах контейнеризации, регистрируйтесь по ссылке.
🤡 6🔥 4👍 2❤🔥 2🥰 2❤ 1🤔 1🎉 1🖕 1
Повышение привилегий в Docker через Search Permissions
Всем привет!
Допустим, что у вас есть учетная запись с
UID = 1000. Она может перезагружать рабочую станцию, на которой есть Docker и какие-то контейнеры. Выглядит вполне безобидно, неправда ли?
Однако, это может быть не совсем так при соблюдении ряда условий. В статье демонстрируется возможность поднятия привилегий с простого пользователя до root
Например, можно реализовать вот такой сценарий:
🍭 Права на директорию /var/lib/docker - 711. Читать ничего нельзя, но можно search/execute
🍭 Допустим, что пользователь может пользоваться mount и монтирует данные контейнеров
🍭 Разведка! Ищем что-то с чем может работать наш пользователь
🍭 Модифицируем файлы контейнера, но теперь надо его перезапустить… Но по условиям, наш пользователь может перезапустить рабочую станцию 😊
🍭 Далее, используя «низкие» права на рабочей станции и «повышенные» в контейнере ищем пути поднятия привилегий, об этом можно прочесть в статье
На текущий момент этот способ действовать не будет, из-за обновления Docker 😊 Но, тем не менее, статья остается достаточно интересной, поэтому и захотелось поделиться с вами!Abusing search permissions on Docker directories for privilege escalation
During a recent engagement, we came across an unfamiliar configuration pertaining to /var/lib/docker permissions. This, combined with a number of other lower risk issues, resulted in an attack path that allowed privilege escalation to root from a low-privileged user. As this configuration was non-standard rare to see, we thought we'd share our observations and methods for leveraging this particular weakness to the wider community.
👍 1
Poutine! Анализ конфигурации CI
Всем привет!
Команда BoostSecurity выложила в открытый доступ инструмент по анализу конфигураций CI – Poutine.
На текущий момент реализовано 10 проверок, в основном для GitHub и 1 для GitLab (в качестве основы проверок, конечно же, OPA 😊).
Ознакомиться с ними можно по ссылке. Для каждой проверки описывается как надо делать, как делать не надо и приводятся ссылки на полезные материалы.
Помимо этого, Poutine позволяет собрать информацию о build time dependencies. Например, информацию о GitHub Actions, Gitlab pipeline imports, Docker-контейнерах.
Больше информации о проекте можно найти в статье или в описании repo. Надеемся, что количество проверок, поддерживаемых Poutine, будет только увеличиваться!
GitHub - boostsecurityio/poutine: boostsecurityio/poutine
boostsecurityio/poutine. Contribute to boostsecurityio/poutine development by creating an account on GitHub.
👍 4
SCALIBR: анализ open source от Google
Всем привет!
SCALIBR – расширяемый сканер файловой системы, который используется для извлечения данных об используемых пакетах (например, языков программирования) и дальнейшим анализом на уязвимости.
На текущий момент поддерживаются:
🍭 .NET (packages.lock.kson)
🍭 C++ (Conan packages)
🍭 Golang (Go binaries, go.mod)
🍭 JavaScript (package.json, lockfiles) и не только
С полным перечнем можно ознакомиться по ссылке. Из важного – скорее всего SCALIBR изменится, т.к. в настоящее время Google (Авторы утилиты) производит его слияние с другим проектом – OSV-Scanner (о котором мы писали тут).
Больше информации про запуск, сценарии использования, предоставляемые результаты – можно найти в repo проекта.
GitHub - google/osv-scalibr
Contribute to google/osv-scalibr development by creating an account on GitHub.
Использование Nuclei для поиска уязвимостей
Всем привет!
В статье команда Orca делится своим опытом использования Nuclei для поиска уязвимостей с использованием templates.
Рассматриваются сценарии:
🍭 Уязвимость в web-приложении. Неавторизованные запросы и получение метаданных сервиса
🍭 Уязвимость в CI/CD. Эксплуатация CVE-2024-2791: обход аутентификации в TeamCity
После небольшого описания того, что из себя представляет Nuclei и как он работает, Команда разбирает каждый вышеописанный сценарий.
Описывается логика атаки/уязвимости, принципы ее работы, используемый шаблон Nuclei (и то, где и как их можно делать/искать). Много комментариев и пояснений, может быть полезно для тех, кто еще не работал с Nuclei, но уже интересуется 😊
Leveraging Nuclei Templates to Identify Risks and Threats in Critical Cloud Applications
Are your cloud apps & APIs vulnerable? Learn how Nuclei templates can help with automated vulnerability detection to fortify your cloud security.
👍 3❤ 2
Kubernetes… это просто Linux!
Всем привет!
Согласны ли вы с таким утверждением? Предлагаем вам легкое пятничное чтиво с интересной мыслью, в котором приводятся аргументы «За» эту точку зрения.
В начале изучения Kubernetes Автор думал, что это мощная технология, созданная практически «с нуля», при этом обладая большим количество функций.
Но, чем дальше он «углублялся», тем больше понимал:
🍭 Использование
cgroups для управления ресурсами
🍭 Изоляция практически всего с использованием Linux namespaces
🍭 Фильтрация трафика с использованием iptables
🍭 Использование возможностей Linux для хранения данных и многое другое
Все это привело Автора к мысли, что Kubernetes – не что иное, как «супер-обертка» над и без того сильной функциональностью Linux. Да, слегка утрированно, но что-то интересное в этой мысли есть. А что вы думаете по этому поводу?Kubernetes is just Linux
I started working with Kubernetes a couple of years ago. In the beginning this software looks as a huge technology made from scratch and is…
👍 12🔥 1