Избранное про ИБ

🧐 Почти 2 года назад мы обещали выпустить в публичный доступ Вики по ГОСТ 57580. Много воды утекло с той поры. Проектная загрузка и внешние обстоятельства все время сдвигали сроки публикации. 🥳 Но мы сделали это! Спасибо Елене 🐬, Ивану Горбачеву, Егору Чинилину, Даниле Хамцову, Александру Осипову, Дмитрию Кисельникову и всем тем, кто прямо или косвенно участвовал в создании этой базы знаний. Мы осознаем неполноту и несовершенство нашей Вики. Прекрасно понимаем, что ей есть куда расти. Но сейчас наша задача как зачинателей проекта - запустить полноценный MVP и инициировать целенаправленную работу по сбору лучших практик и опыта на базе удобного движка. Нам кажется, что это облегчит работу специалистов отрасли, мир станет лучше, а дискуссии в чатиках Телеграм - спокойнее 😌 Тем более, что нас ждут новые серии 57580, а значит новые пространства требований для освоения. ☑️ Желающие просто пользоваться Вики могут делать это анонимно на её публичном сайте. Желающие вносить правки, предложения и участвовать в редактировании должны будут вступить в чат: https://t.me/GOST57580club и подтвердить свою квалификацию. ❗️Проект является некоммерческим с точки зрения возможности применения этой информации непосредственно специалистами (независимо от их места и формата работы). При этом использование этих материалов в продуктах, программном обеспечении или их непосредственная продажа будут ограничиваться во избежание недобросовестных практик и должна быть согласована с авторами. В связи с этим нами начата процедура защиты актива через авторское право🛡 P.S. Сегодня презентуем её на уральском форуме по Кибербезопасности, кто на месте - ждем в 14:00 в Зале № 1 на мастер-классе RAD COP 🤝

📣 ТБ-Форум 2024 | Конференция «Актуальные вопросы защиты информации», П. Жиров (ФСТЭК России). Уровни зрелости деятельности в области защиты информации и беспечения безопасности критической информационной инфраструктуры Российской Федерации.

📣 ТБ-Форум 2024 | Конференция «Актуальные вопросы защиты информации», С. Бондаренко (ФСТЭК России). Частные показатели состояния защиты информации и обеспечения безопасности ОКИИ, учитываемые в формуле его расчета.

Британское ведомство NCSC выпустило руководство по эффективному управлению уязвимостями👍 В целом, сложно выделить какие-то новые полезные советы – собраны уже очевидные на текущий момент рекомендации: ➡️Автоматизация установки обновлений ➡️Немедленная установка обновлений в случае массовой эксплуатации уязвимости ➡️Внедрение процедуры принятия рисков в случае отказа/невозможности обновления актива ➡️Не использовать "в одиночку" такой критерий приоритезации как оценка CVSS ➡️Мониторинг информационных источников с целью выявления признаков эксплуатации уязвимости. Из интересного и нового только рекомендуемые плановые сроки установки обновлений: ⚡️5 дней – для доступного из сети Интернет ⚡️7 дней – для ОС и приложений ⚡️14 дней – для внутренних и автономных сервисов и ПО

Kubernetes OWASP Top 10: Comprehensive Guide Всем привет! По ссылке доступен массивный разбор (~ 23 минуты чтения) практик обеспечения информационной безопасности Kubernetes, описанных в OWASP Top 10. Рассматриваются такие области, как: 🍭 Misconfigurations 🍭 RBAC: control and audit 🍭 Network Segmentation 🍭 Logging and monitoring и не только Каждый раздел детально описывается: приводятся примеры и лучшие практики, способы как можно выполнять рекомендации. Дополнительно Автор описывает утилиты, которые могут быть использованы для автоматизации. Например, Kube-Bench, OPA, Prometheus, KubeView, RBAC Audit и еще много всего. Материал может стать как отличным началом пути в обеспечении ИБ Kubernetes, так и источником «чего-то нового».

Kubernetes: как усложнить себе жизнь? Всем привет! Статьи о том, как «делать не надо» иногда полезнее тех, в которых рассматриваются лучшие практики и советы о том, как и что лучше сделать. В статье Автор предлагает рассмотреть следующие anti-patterns: 🍭 Отсутствие Request для ресурсов 🍭 Недостаток мониторинга и журналирования 🍭 Очень привилегированные контейнеры (когда зачастую этого не требуется, но так проще «стартовать») 🍭 Использование namespace Default для создания ресурсов 🍭 Не использование PodDisruptionBudget 🍭 Не использование podAntiAffinity и не только Для каждого «вредного совета» Автор описывает почему так делать не стоит, а также приводит примеры того, «как правильно». Если совсем просто – Kubernetes не волшебная технология и не делает все самостоятельно, очень во многом ему надо «помогать», чтобы он работал так, как хочется пользователям.

Cvemap: обогащение информации об уязвимостях Всем привет! Год от года уязвимостей становится все больше и без того непростой процесс их устранения становится еще более сложным. По этой причине появляются проекты, основная задача которых упростить процесс расстановки приоритетов в устранении уязвимостей. Реализуется это за счет консолидации информации из разных источников с целью предоставления пользователя достаточного (по возможности) количества данных для принятия решений. Одним из таких проектов стал Cvemap. Он агрегирует информацию из таких источников как: 🍭 Known Exploited Vulnerability Catalog (KEVC). Информация о наличии exploit для уязвимости 🍭 Exploit Prediction Scoring System (EPSS). Оценка вероятности эксплуатации уязвимости 🍭 Proof of Concept (POCs). Примеры того, как можно эксплуатировать уязвимость 🍭 Nuclei Templates и не только. Наличие шаблонов поиска уязвимости с использованием Nuclei Вся эта информация может упростить процесс управления уязвимостями. С исходным кодом проекта, а так же примерами его запуска можно ознакомиться в GitHub Repo.

Исследователи из Wiz опубликовали базу данных инцидентов Cloud Security – Cloud Threat Landscape! Изначально, база была исключительно внутренней, создавалась для аналитики угроз и поддерживалась собственными силами. Однако, эту кладезь знаний решили опубликовать. База содержит в себе более 100 задокументированных инцидентов в области Cloud Security, профили злоумышленников, используемые ими инструменты, техники и маппинг на Mitre Tactic. Кстати говоря, если верить этой базе, то Kubernetes является most targeted технологией из всех представленных там. Несомненно, этот ресурс будет полезен Threat Intelligence специалистам, изучающих Cloud Threats, SOC аналитикам, и в целом всем, кто погружен в тему Cloud Security.

Распределение полезных нагрузок по Nodes очень важная составляющая безопасного Kubernetes кластера. Правильная scheduling strategy может помочь снизить общий риск компрометации Pods – уменьшить возможный blast radius и предотвратить lateral movement. В статье Kubernetes Scheduling And Secure Design описаны следующие методы для построения scheduling strategy: - nodeSelector - nodeName - Affinity and anti-affinity - Interpod affinity and anti-affinity - Taints and Tolerations - Pod topology spread constraints - Custom Scheduler P.S – Также не стоит забывать о NodeRestriction плагине. Даже если злоумышленник смог сбежать из контейнера на Nodes, при включенном плагине он не сможет повлиять на нагрузки, запущенные на других Nodes.