DevSecOps Talks

Управление уязвимостями, советы GitGuardian Всем привет! По ссылке можно найти статью (~ 11 минут чтения), в которой Автор из команды GitGuardian описывает собственную практику и советы по созданию процесса управления уязвимостями. Он выделяет 3 ключевые «области»: 🍭 Identification. Получение данных из различных сканеров 🍭 Observability. Некое подобие «информирования» участников процесса (отдельно для AppSec, отдельно для Dev) 🍭 Management. Устранение ИБ-дефектов, обучения, метрики и т.д. В конце – немного про участников процесса, роли, их полномочия и распределение обязанностей. Сперва статья может показаться достаточно «базовой», но в ней очень много интересных мыслей. Включая схему процесса, которую Автор «рисует» вместе с читателями.

Разбор Poisoned Pipeline Execution (PPE) Всем привет! Компрометация сборочной среды может привести к очень неприятным последствиям. Это не раз «демонстрировалось» - на примерах тех же Solar Winds или Codecov. Если упростить, то PPE возникает, когда злоумышленник каким-либо способом может «влиять» на конфигурацию конвейера сборки (pipeline). В статье Автор разбирает следующие примеры 🍭 Direct PPE 🍭 Indirect PPE 🍭 Public PPE Для каждой «разновидности» атаки Автор приводит примеры, сопровождая их комментариями. «Нового» ничего нет, зато есть еще немного примеров для лучшего понимания происходящего. Завершают статью советы о том, как можно и нужно избегать подобного, а также ссылки на большое количество различных материалов по теме.

Управление пользователями в Codeowners Всем привет! Вопросы отзыва прав доступа у работников, которые больше не являются частью Компании и/или проекта – достаточно частая задача для ИБ-специалистов. Разработка и управление правами доступа к repo – не исключение. Сегодня хотим рассказать Вам про небольшую утилиту, которая приносит достаточно много пользы. Cleanowners – GitHub Action, который удаляет пользователей из файла CODEOWNERS, если они более не являются частью организации. Утилита работает только с GitHub, но нечто аналогичное можно сделать и для других систем управления версиями. Как ей пользоваться, что для это нужно и как ее можно настроить – все детально описано в repo проекта.

Kubernetes: Network Observability Всем привет! Retina – open source решение от… Microsoft, которое может быть полезно при поиске проблем в работе сети Kubernetes. Например, идентификация проблем в сетевой связности, мониторинг «здоровья» сети. При помощи нее можно собирать большое количество телеметрии, которое можно помещать в смежные системы (например, Prometheus) и визуализировать (например, Grafana). В качестве телеметрии используются сущности: 🍭 Metrics. Входящий/Исходящий трафик, потерянные пакеты, TCP/UDP, DNS и т.д. 🍭 Captures. Захват трафика с последующим анализом для выбранных Pods/Nodes Информацию по установке настройке и интеграции Retina с Prometheus/Grafana и больше информации по возможностям решения можно найти в документации.

CI/CD Security: что это, зачем, какие есть риски и что делать? Всем привет! Нарушение работоспособности CI/CD конвейера или его «логики» (как случайное, так и предумышленное) может привести к не самым приятным последствиям. От срыва сроков release до добавления malware в выпускаемый Продукт. В статье Авторы подробно (~ 27 минут для прочтения), шаг за шагом, разбирают вопросы, связанные обеспечением информационной безопасности CI/CD-конвейера. Статья содержит следующие крупные блоки: 🍭 Почему обеспечение ИБ CI/CD-конвейера является крайне важным? 🍭 Что такое безопасности CI/CD: риски, описанные в OWASP Top 10 🍭 Как можно защитить CI/CD? 🍭 Лучшие практики по CI/CD-hardening 🍭 Использование AI/ML в целях CI/CD Security (дада, куда без него, ведь все становится лучше с bluetooth ML 😊) В статье много полезных отсылок. Например, для OWASP Top 10 предоставляется информация о том, где это было «реализовано». Части, связанные с защитой, пусть и не дают явных how to, но определяют направление, которое можно реализовать в используемом Вами инструментарии.

Secure Coding Practices Всем привет! По ссылке доступен внушительный материал, посвященный лучшим практикам по безопасной разработке. «Воды» практически нет, все по делу: код с уязвимостью, описание уязвимости; код без уязвимости, описание решения. Рассматриваются такие темы, как: 🍭 Broken access control 🍭 Injection 🍭 Insecure Design 🍭 Security Misconfiguration 🍭 Identification/Authentication Failures и не только Подборка содержит примеры для языков: .NET, PHP, Golang, Python, Java, Android Java, Swift. Для каких-то языков материалов больше, для каких-то чуть меньше. Но самое главное – много примеров, пояснений и, конечно же, кода!

API-Gateway с аутентификацией на базе Nginx Всем привет! В статье можно найти пример реализации API-gateway с token-аутентификацией, реализованный с использованием Golang и Nginx. Автор предлагает создать 3 сущности: 🍭 Auth. Проверяет переданный authorization token 🍭 Expose. Сервис, который «публикует» несколько endpoints 🍭 Nginx. Маршрутизация запросов пользователя между остальными сервисами Исходные коды, используемые технологии, конфигурация Nginx и комментарии – все можно найти в статье. Автор приводит упрощенный вариант реализации. Однако, если захочется сделать что-то аналогичное, но «помощнее» - концепт останется точно таким же.

Native Sidecar Containers Всем привет! В версии Kubernetes 1.28+ была добавлена такая функция, как «Native Sidecar Container». Сперва может быть не очень понятно, зачем это нужно. Например, могут возникнуть вопросы: 🍭 Что это такое и какие были предпосылки к созданию? 🍭 Чем это отличается от Init Container или от Sidecar-паттерна? 🍭 Как мне «запустить» такой «Native Sidecar Container»? 🍭 Что это мне даст? Какие проблемы я смогу решить? Ответы на все эти вопросы и не только можно найти в детальном материале от Ivan Velichko. При этом все, что описано в статье можно реализовать непосредственно в playground. Ivan в который раз радует превосходным материалом. Если вы еще не знакомы с его наработками – крайне рекомендуем это исправить!

Анализ binary-файлов от Chainguard Всем привет! Chainguard продолжает свой «крестовый поход» по улучшению безопасности образов контейнеров и их содержимого. Недавно команда поделилась еще одним своим проектом – Bincapz – позволяющим анализировать binary файлы. Возможности утилиты: 🍭 Анализирует binary-файлы в независимости от архитектуры (arm64, amd64, riscv, ppc64, sparc64) 🍭 Поддерживает bash, PHP, Perl, Ruby, NodeJS и Python 🍭 Для анализа используется более чем 12 000 YARA-правил. Включая правила, направленный на идентификацию вредоносного ПО 🍭 Предоставляет «отчеты» в различных форматах (MD, JSON, YAML) Описание того, как установить и использовать Bincapz можно найти в repo проекта. Да, это не 100% панацея, но точно может быть использовано для повышения уровня информационной безопасности используемых образов. P.S. Недавно минималистичные образы Chainguard были официально добавлены в Dockerhub. Подробнее об этом можно прочесть тут.

Troubleshooting Linux серверов Всем привет! Ну что, все уже успешно справились с заданиями из нашего недавнего поста?😉 А сегодня мы хотим представить вашему вниманию еще больше задачек и головоломок! SadServers😢 Отличная подборка сценариев для того, что бы отточить свое мастерство дебага Linux серверов! Все задачи разделены на три категории: 🎹 Easy, 🎹 Medium 🎹 Hard. В каждой задаче вам предлагается: 🎹 что-то сделать (Do) 🎹 что-то починить (Fix) 🎹 что-то "сломать" (Hack) Здесь вы найдете разнообразные сценарии, связанные с различными технологиями такими как: kubernetes, docker, nginx, apache, mysql и многими другими! Уверены, вы с удовольствием проведете время, решая эти задачки!

«Закрепление» через VS Code Extension Всем привет! VS Code – весьма популярная IDE, функционал которой можно расширить при помощи различных Extensions. Но что может пойти не так? Вопрос, который вечно находится в голове у ИБ-специалистов. В статье Авторы наглядно демонстрируют возможные способы «закрепления» (persistence), которые можно реализовать при помощи Extension. Ну а что может быть лучше и наглядней, чем разработка собственного? Все по пунктам: 🍭 Подготовка – установка и настройка VS Code, 🍭 NodeJS, Yeoman, Npm Generator Code 🍭 Генерация «болванок» будущего Extension 🍭 Написание логики работы Extension 🍭 Упаковка и «распространение» Код, скриншоты, пояснения – все, как всегда, на месте! Для наглядности Авторы приводят примеры вызова сообщений при запуске VS Code или наступления некоего «события». Дальше все становится «хуже»: запуск команды через CMD, установка соединения с C'n'C сервером, использование Powershell… Вариантов достаточно много! Поэтому лучше лишний раз внимательно проверять устанавливаемый Extension. А если у Вас все еще есть сомнения, то можно обратиться к материалам Checkpoint, про который мы писали тут

Анализ Audit Log в Kubernetes Всем привет! Да, по умолчанию Kubernetes не логирует какую-либо активность в кластере. Однако, можно написать Audit Policy и получать достаточно много данных. Но что с ними делать? Ведь данные ради данных – подход крайне странный. Примеры ответов на вопрос можно найти в статье. Авторы разбирают примеры: 🍭 Activity in the K8S Control Plane 🍭 Unauthenticated/Anonymous Kubernetes API Request 🍭 Unauthorized Kubernetes Pod Execution 🍭 Unauthorized Kubernetes Pod Attachment 🍭 Kubernetes Cron Job Created or Modified и не только Для каждого примера описывается причина – «Почему это важно для нужд ИБ?» и пример лога Audit Policy, который может потребоваться. Также материал можно использовать для создания/адаптации существующих у Вас Audit Policy

Infected GitHub Repo Всем привет! По ссылке доступны исследования Apiiro, посвященные безопасности репозиториев, доступных на GitHub. В основном, рассматривается repository confusion. Похоже на dependency confusion для open source зависимостей. Однако, в отличие от последних, которые обусловлены логикой работы пакетных менеджеров, repository confusion в большей степени реализуются за счет человеческого фактора. Работает это примерно так (со стороны атакующего): 🍭 Скачиваются популярные repository 🍭 Видоизменяются, например добавлением malware loaders 🍭 Загружаются обратно на GitHub, forking 🍭 «Популяризация» в сети В итоге команда Apiiro нашла более 100 000 repository, которые содержат вредоносный код. Примеры, примеры Indicators of Compromise (IoC) для Python и общие рекомендации по противодействию – все это можно найти в статье. Будьте бдительны при скачивании проектов из GitHub и проверяйте все тщательно

Лабораторные от WIZ Всем привет! Отличный подарок от команды WIZ – лабораторные работы (в формате CTF) по теме безопасности контейнеров! Ребята подготовили 5 лабораторных: 🍭 Recon. Ищем internal services из компрометированного pod 🍭 Finding Neighbours. Невидимые sidecars и их секреты 🍭 Data Leakage. Использование устаревшей технологии… в production! 🍭 Bypassing boundaries. С большой силой приходит большая… ну вы знаете 😊 🍭 Lateral Movemement. Мутации не всегда доводят до добра Ничего устанавливать не надо, все доступно прямо из Вашего браузера. Удачи! P.S. Единственный недостаток лабораторных – их мало, хочется еще! 😊

Присоединяйтесь к серии вебинаров по изучению платформы «Нимбиус» Разработчик программного обеспечения «Лаборатория Числитель» и компания «Инфосистемы Джет» расскажут об основах работы с автоматизацией и управлением ИТ-инфраструктурой на примере гибридного облака, разберут, как использовать платформу «Нимбиус» для оптимизации бизнес-процессов. В программе мероприятий: 🔹Автоматизация процессов — основные этапы 🔹Встроенный Ansible: особенности и преимущества использования 🔹Развертывание сервисов на гибридном облаке 🔹Заказ виртуального сервера в облачном провайдере из единого портала самообслуживания Вебинары будут полезны инфраструктурным инженерам, разработчикам, ИТ-архитекторам и всем, кто занимается гибридными облаками. Зарегистрироваться 👇 🔹Гид по использованию платформы «Нимбиус». Развертывание IaaS и PaaS сервисов по клику 20 марта, 11:00. Регистрация 🔹Подключение провайдеров. Интеграция с публичным провайдером Selectel: возможности гибридного облака 26 марта, 11:00. Регистрация Запись первого вебинара «Основы работы с платформой "Нимбиус": ролевая модель и автоматизация» можно посмотреть здесь.

Немного видео про Kubernetes. Всем привет! Недавно на Reddit появилась замечательная подборка видео с различных конференций про Kubernetes! Создатель запустил свою новостную ленту Tech Talks Weekley и собрал отличную коллекцию записей! Так что если любимые сериалы закончились, а новых ещё не завезли, то рекомендуем вам посмотреть ещё немного видео об этом замечательном оркестраторе за чашечкой кофе или чая🤗 Сразу предупредим, чашечек потребуется много😁

Милые дамы!!! Поздравляем вас с самым теплым и приятным праздником весны! С 8-ым марта! Знайте, что все вы самые красивые, добрые, умные, очаровательные, привлекательные, харизматичные, любимые, веселые, ласковые, заботливые… Этот список можно продолжать очень-очень-...-очень долго! 🌻🌻🌻 Спасибо вам за все, что вы делаете для нас и за то, что мир с вами становится ярче и приятнее! С праздником! ☀️☀️☀️ - Ваша Редакция DevSecOps Talks ☺️

Поиск секретов… в видео! Всем привет! Нет, это не совсем обычный пост про yet another Secret Finding решение, работающее с исходными кодами. В этот раз все немного интереснее – поиск секретов в видеоматериалах! Например, кто-то записывал вебинар или инструкцию об использовании продукта и случайно «засветил» важную информацию. Как ее быстро найти? Примерно для таких случаев команда GitLab разработала собственное решение (которое выложила в open source), анализирующая видео с YouTube! Работает по следующему принципу: 🍭 Разбитие видео на frames 🍭 Использованием Optical Character Recognition (OCR) для каждого frame 🍭 Анализ полученного текста с использованием известных Secret Patterns Больше деталей, например, о том какие технологии используются «внутри», какова архитектура, как и почему команда GitLab их выбрала, какие из них дают лучший frame rate analysis – обо всем этом можно узнать в статье. Интересно и необычно, рекомендуем! P.S. Кроме того в статье можно найти информацию об особенностях распознавании секретов в видеоматериалах (пусть и «расшифрованных») в сравнении с анализом исходных кодов

Debug контейнеров в Kubernetes Всем привет! Debug – штука крайне важная и полезная! Но как ее делать для запущенных контейнеров в кластере Kubernetes? Одно из первых действий, что приходит на ум - exec. Но что, если это distroless образ или необходимые утилиты для полноценного debug отсутствуют? Собирать образ по новой и ждать того «события», когда все сломается и надо искать причину? Наверное, так можно, но это точно не самый оптимальный способ! Альтернативный метод – использование kubectl debug. Именно принципам ее работы и использованию посвящена статья. В ней Автор разбирает: 🍭 Использование команды (запуск, установка «инструментария») 🍭 Принципы работы («что под капотом?») 🍭 Использование volume mounts для debug-контейнеров (потребуется дополнительный скрипт) Все наглядно – команды, примеры, пояснения. Завершает статью взгляд Автора на решение аналогичной задачи с использованием «Non-Kubernetes native approaches»