DevSecOps Talks

Привет! Если вам интересно тестирование на проникновение (в частности – web приложения), но вы не знали с чего начать, то этот материал сможет помочь! Ребята из PortSwigger не только подготовили лабораторные работы, но и сделали собственный Learning Path – как на их взгляд лучше всего погружаться в тему. Рассматриваются такие вещи как: 🍭 Server side topics (SQL injection, Authorization, Directory Traversal…) 🍭 Client side topics (XSS, CSRF, WebSockets…) 🍭 Advanced topics (Insecured deserealiztion, HTTP request smuggling, OAuth authentication…) Для каждого раздела приводится текстовое описание, немного виде-материалов и, конечно же, лабораторные работы! Все «приправлено» небольшой геймификацией, чтобы было еще интереснее проходить секции и учиться ☺️

Привет! По ссылке можно найти полезную утилиту - Outdated, которая позволит идентифицировать устаревшие версии образов контейнеров. Работает она достаточно просто: 🍭 «Пробегает» по namespaces и pods, которые в них размещены 🍭 Для каждого pod собирается информация об image (включая image init-container’ов) 🍭 После происходит «чистка» полученного перечня за счет устранения дубликатов образов 🍭 Утилита собирает данные об image tags в registry 🍭 Сообщает о расхождениях в версиях Установка достаточно простая, требуется krew. Отдельно хочется отметить semver – подход к наименованию версий образов. Если Вы еще не решили, как это делать у себя, то semver может стать отличной отправной точкой! ☺️

Всем привет! Буквально на днях появился очередной Awesome! На этот раз посвященный тематике SCA. Скоро надо будет делать Awesome на Awesome’ы (хотя, такой, вероятно, уже есть). Все достаточно стандартно: 🍭 Статьи и книги для «почитать» 🍭 Немного курсов по тематике (free/paid) 🍭 Информация об инструментах (open source/enterprise) Надеемся, что repo будет развиваться (появился он совсем-совсем недавно) и материалов будет больше, т.к. тема supply chain attacks достаточно актуальна в последнее время

Всем привет! Достаточно провокационный заголовок под названием 47 ронинов «47 Things To Become a Kubernetes Expert» содержит в себе интересную статью, в которой кратко собрана информация об: 🍭 API 🍭 Implementing controllers 🍭 Components and their collaborations 🍭 Resources 🍭 Networking 🍭 Monitoring 🍭 Access control Каждый «домен» содержит перечень вопросов и небольшие, но емкие, ответы на них, а иногда и ссылки "на почитать". А что бы вы добавили/убрали из этого списка?

Всем утра! В конце апреля вышла новая версия container security комбайна Prisma Cloud Compute Edition. Из крупного: 🍏 Palo Alto добавили интеграцию со своим движком Wildfire для онлайн-проверки вредоносов; 🍏 значительно расширили функционал встроенного WAF — теперь есть интеграция с reCAPTCHA, возможность защиты API и написание собственных правил; 🍏 добавили маппинг событий безопасности на атаки из матрицы MITRE ATT&CK и отображение их на новом дэшборде. Помимо этого, добавили кастомизацию встроенных ролей, поддержку языка Go для скана репозиториев, заменили шрифты в интерфейсе и многое другое. Подробности по ссылке.

Привет! CNCF подготовил отличный материал по обеспечению ИБ в supply chain - Software Supply Chain Best Practices! В прилагаемой статье рассмотрены 5 областей, на которые стоит обратить внимание: 🍭 Securing the Source Code //Доступы к SCM, создание ролевых моделей, branching, тестирование исходного кода 🍭 Securing the Materials //Использование SCA, формирование SBOM, отслеживание и управление зависимостями, управление trusted package managers и repositories 🍭 Securing the Build Pipelines //Безопасность build workers, максимальная стандартизация pipeline между проектами, реализация принципа pipeline as code 🍭 Securing the Artefacts //Подпись артефактов, защита используемых registry, использование криптографии (если/где необходимо) 🍭 Securing Deployments //Контроль целостности используемых артефактов, контроль актуальности артефактов Материал получился обширный (45 страниц) и интересный. В статье есть как и общие рекомендации («Важно выстроить процесс управления доступом с соблюдением принципа least privilege»), так и вполне конкретные («Реализуйте commit sign»). Крайне рекомендуем к прочтению!

Всем привет! Еще один занятный пример того, как можно объединять Dev, Sec и Ops миры! Что будет, если взять CIS Benchmarks, Inspec (Sec-часть), Ansible (Ops-часть) и Allure (Dev-часть)? Получится отличный инструмент визуализации текущего состояния hardening элементов ИТ-инфраструктуры по требованиям ИБ По ссылке доступен проект, автор которого: 🍭 Взял наработки с https://dev-sec.io/ 🍭 Добавил образ, который реализует Inspec проверки 🍭 Перенаправил результаты в Allure Получился наглядный инструмент представления информации о реализованных настройках, позволяющий реализовывать, в том числе, trend-analysis. А если захочется автоматизировать устранение идентифицированных недостатков при помощи Inspec – всегда можно обратиться к Ansible, материалы которого представлены на все том же https://dev-sec.io ☺️

Всем привет! По ссылке доступно небольшое, но интересное руководство, которое позволит познакомиться с Falco - инструментом обеспечения runtime защиты для контейнеров. Рассматриваются такие вопросы, как: 🍭 Установка Falco при помощи Helm 🍭 Идентификация «Terminal Shell in Container» 🍭 Идентификация «Contact Kubernetes API Server From Container» 🍭 Идентификация «Checking if shell is a container environment» Для каждой вредоносной активности приводится пример ее реализации, а также правило Falco, которое позволяет ее идентифицировать.

Привет! По ссылке доступна еще одна awesome-подборка, на этот раз посвященная плагинам для kubectl! Плагины структурированы по логическим направлениям: RBAC, Linting, Debugging, Networking, Security, Exec и т.д. Примеры того, что можно найти: 🍭 kubectl-who-can // RBAC – утилита, позволяющая понять полномочия по отношению к сущности Kubernetes 🍭 kubectl-neat // Linting – утилита, упрощающая восприятие JSON/YAML вывода, путем «устранения лишней» информации 🍭 kubectl-debug // Debug – запускает контейнер внутри целевого pod для выполнения debugging 🍭 ksniff // Networking – sniffing трафика с использованием wireshark и tcpdump 🍭 kubectl-kubesec // Security – анализ запущенных требований на соответствие требованиям ИБ 🍭 kubectl-enter // Exec – exec на node с использованием kubectl И многое другое! Надеемся, что каждый найдет что-то интересное/подходящее для себя ☺️

Всем привет! Хотим мы того или нет, но compliance – неотъемлемая часть ИБ. Например, PCI DSS. И, рано или поздно (для тех, кто имеет отношение к индустрии платежных карт) встанет вопрос – а что делать с требованиями в контейнерных средах? В статье дается несколько рекомендаций относительно того, как именно можно использовать штатные и не очень возможности для повышения уровня ИБ и выполнении требований стандарта. Например: 🍭 Firewall configuration. Использование CNI, поддерживающего реализацию Network Policy (подробнее об этом можно почитать тут и тут) 🍭 Encryption of transmission over public networks. Использование Cert-manager для управления X.509 сертификатами 🍭 Use of antivirus software (proactive security). Комбинированный подход с использованием Security Context, Falco и OPA для ограничения потенциальных возможностей контейнера и/или идентификации некорректных действий 🍭 Regularly test security systems and processes. Использование подписи образов на базе Notary совместно с да-да опять оно OPA для контроля запуска только дозволенных в качестве реализации “change detection” Больше советов и деталей можно найти в статье. Главное помнить, что это не детальный «how to», а скорее размышления на тему, да и реализация compliance-требований в мире ИБ во многом наука творческая ☺️

Всем привет! Завтра в 16:00 мы проведем вебинар по нашей любимой теме. На вебинаре: 🍏 Расскажем про недостатки в дефолтных настройках kubernetes 🍏 Покажем атаку на контейнерный кластер в прямом эфире 🍏 Расскажем и покажем, как оценить угрозы кластера и защититься от них 🍏 Пришлем полезных материалов по теме ИБ в контейнерах Если интересно — присоединяйтесь, будем рады видеть. Регистрация

Всем привет! Если вы на пути (или задумываете) о сдаче экзамена Certified Kubernetes Security Specialist (CKS), то этот вебинар может быть вам полезен. Ребята из Sysdig рассмотрят: 🍭 Обзор вопросов и их типов, которые будут на экзамене 🍭 Знания каких инструментов из перечня CNCF потребуются/помогут 🍭 Как «управлять временем» при сдаче экзамена – на что обращать внимание в первую очередь 🍭 Обзор примеров из жизни Вебинар назначен на 20 мая, на 19:00!

Всем пятница! Если вы знаете, что общего у Netflix, обезьян и хаоса, то эта статья вам понравится! По ссылке доступна подборка Chaos Engineering Tools, которые можно применять в k8s! 🍭 kube-monkey. Один из первых проектов 2016 года. Суть проста – запускается по расписанию, выбирает deployment-жертвы, у которых в течение дня будут удаляться pods 🍭 chaoskube. Аналогично предыдущему – «убивает» pod в произвольном namespace раз в 10 минут (по умолчанию) 🍭 Chaos Mesh. Более продвинутый инструмент: помимо «убийства» pod может делать cpu/memory burn, сетевые проблемы (delay, packet repeats), нарушать работу IO и не только 🍭 Litmus Chaos. Все по-взрослому, позволяет проводить «эксперименты», обладает полноценной документацией 🍭 Chaos Toolkit. Python-инструменты, обладает набором расширений, один из которых – chaostoolkit-kubernetes. Позволяет управлять контейнерами, сервисами, больше – по ссылке! 🍭 KubeInvaders. А про этот вариант мы уже как-то писали ☺️ Перед использованием указанных выше инструментов НАСТОЙЧИВО РЕКОМЕНДУЕМ ЧИТАТЬ ДОКУМЕНТАЦИЮ, тк последствия могут быть не самые приятные. Всем хорошим выходных! ☺️☺️☺️

Всем привет! Небольшая, но крайне поучительная статья доступна по ссылке. Суть ее очень проста и кроется в названии – «Everyone might be a cluster-admin in your Kubernetes cluster» На примере реально существующего проекта "Spekt8" (а идея и правда заманчивая - красивая визуализация взаимодействия сущностей внутри кластера) автор показывает, что может произойти, если не задумываясь делать deploy проектов/утилит до их изучения. Например, предоставление cluster-admin всем pods в default namespace. И да, это требуется согласно инструкции. Кроме примеров того, как можно развить тему автор подготовил небольшой проект, который наглядно показывает, как эксплуатировать указанную уязвимость. Ознакомиться с ним можно по ссылке. PS У статьи нет preview, поэтому дублируем ссылку: https://www.jeffgeerling.com/blog/2020/everyone-might-be-cluster-admin-your-kubernetes-cluster

Всем привет! SNYK «открыли» бесплатный доступ к Snyk Code – SAST, о котором мы писали ранее. Для бесплатного использования дается 100 сканирований в месяц, при этом важно помнить, что решение на 100% облачное, но для собственных тестов может быть интересно. Поддерживаются следующие языки: 🍭 Java 🍭 JavaScript 🍭 Python 🍭 TypeScript Доступна интеграция с CI/CD (Jenkins, либо через CLI) и IDE (Visual Studio Code, PyCharm, Intellij IDEA). Из любопытного – очень интересная система рекомендаций о том, «сколько раз был найдена схожая проблема», «как ее решали другие» с примерами исходного кода!

В августе Linux исполнится 30 лет. И если кто ещё не читал книжку Just for fun - крайне рекомендую. Без Линуса Торвальдса не было бы не то что Docker и Kubernetes, даже git. Страшно вспомнить время, когда мы всей командой переходили с CVS на SVN и поглядывали на первые, но уже такие удобные сборки git, а старшие коллеги матерились, что и так все работает, пусть не очень удобно. Но пост не о том. Сам мастер Торвальдс хоть и говорит все время, что он простой инженер, своими действиями, а не указами и философиями, влияет не только на этот мир. Даже на Марсе самая распространенная ОС - Linux ;) Не хочу вытаскивать отдельные цитаты из интервью, обе части достойны прочтения. Enjoy! https://www.tag1consulting.com/blog/interview-linus-torvalds-linux-and-git и https://www.tag1consulting.com/blog/interview-linus-torvalds-open-source-and-beyond-part-2

import this - при помощи такой команды можно увидеть «Zen of Python» и на наш взгляд она отлично подходит для описания того, что приведено в статье «Nine Pillars of DevOps Best Practices». Автор собрал общие практики, про которые важно помнить при развитии DevSecOps и "разбил" их по нескольким категориям 🍭 Leadership Practices for DevOps Тезисы о том, на что обращать внимание при работе с командой 🍭 Collaborative Culture Practices for DevOps Тезисы о развитии взаимодействия, обмена опытом и эффективности 🍭 Design-for-DevOps Practices for DevOps Тезисы об «облике» программного обеспечения 🍭 Continuous Integration Practices for DevOps Тезисы о сборке программного обеспечения 🍭 Continuous Testing Practices for DevOps Тезисы о тестах и их использовании 🍭 Elastic Infrastructure Practices for DevOps Тезисы о создании масштабируемого и поддерживаемого контура разработки 🍭 Continuous Monitoring Practices for DevOps Тезисы про мониторинг, его автоматизацию 🍭 Continuous Security Practices for DevOps Тезисы про обеспечения ИБ, ответственность сторон и автоматизацию 🍭 Continuous Delivery Practices for DevOps Тезисы про оптимизацию и корректное выстраивание процесса deployment На первый взгляд может показаться, что «это общие слова ни о чем». Но если читать вдумчиво, то из этого может получиться неплохой инструмент оценки того, что реализовано, что можно и нужно реализовать, что важно не забыть. Надеемся, что статья будет вам полезной! P.S. Поздравляем всех с наступающим праздником 9-го мая!!! С Днем Победы!!!

Всем привет! В начале года SNYK запустил серию опросов для подготовки отчета о состоянии ИБ в Cloud Native. В символичную дату, 4 мая (Да прибудет с Вами Сила!) ребята сделали отчет «State of Cloud Native Application Security» доступным и интерактивным! Некоторые findings: 🍭 99% респондентов считают обеспечение ИБ значимым аспектом их Cloud Native стратегии 🍭 78% workloads представляют из себя контейнеры и serverless 🍭 50% опрошенных практикуют Infrastructure as Code 🍭 56% - были проблемы ИБ, связанные с misconfiguration 🍭 60% - повышение озабоченности об ИБ при переходе в Cloud Native 🍭 72% команд устраняют критичные недостатки за 1 неделю (рассматриваются команды, обладающие значительной автоматизации процессов) Остальную информацию, выводы и инфографику можно посмотреть в самом отчете ☺️

Привет! По ссылке доступна статья, в которой описывается возможная атака на Vanilla Kubernetes. Автор предлагает следующее: 🍭 Поиск публично доступных kubelet API 🍭 Использование kubelet API для реализации RCE 🍭 Запуск shell в контейнере, запущенном на node 🍭 Идентификация credentials, получение доступа к API-серверу с cluster-admin привилегиями 🍭 Запуск привилегированного контейнера с последующим escape на node Некоторые из этапов атаки можно реализовать из-за default настроек, которые могут быть (или уже) «отключены», например, анонимная аутентификация к kubelet при установке через kubeadm. Альтернативный пример – Tiller и Helm v2 (который был deprecated в ноября 2020), но все равно есть те, кто его использует. Поэтому на наш взгляд статья неплохо подойдет в качестве обучающего материала. Статья подробная, с примерами и ссылками на интересные материалы. P.S. В статье есть этап поиска публично доступных API с использованием Shodan. Напоминаем, что подобные упражнения (даже с благими целями) могут привести к ответственности, вплоть до уголовной. Поэтому крайне рекомендуем начинать с Minikube-части, тем самым эмулируя ситуацию, когда «мы уже нашли интересующий нас API»

Привет! По ссылке доступен repo, который поможет познакомиться с OPA Gatekeeper и Kyverno. Помимо теории доступны небольшие примеры, которые можно воссоздать, используя Minikube. Материал кратко раскрывает такие темы, как: 🍭 Что такое OPA и OPA Gatekeeper 🍭 Что такое Kyverno 🍭 Верхнеуровневое сравнение OPA Gatekeeper и Kyverno 🍭 Создание отдельных Minikube инсталляций, установка решений 🍭 Создание простых политик (контроль наличия label) с OPA Gatekeeper и Kyverno Код всех примеров можно найти в самом repo. Кроме того, в материалах можно найти много полезных ссылок, которые могут быть интересны для ознакомления