Forwarded from k8s (in)security (D1g1)
Небольшой анонс.
После завтра, а именно 13 октября в 19:00 (Мск) будет вебинар «Дыры и заборы: безопасность в Kubernetes», который является по сути предваряющим курс "Безопасность в Kubernetes" на площадке СЛЁРМ.
Я решил также внести свою небольшую, посильную лепту в этот образовательный проект для широкой аудитории. Не только же корпоративные тренинги читать =)
После завтра, а именно 13 октября в 19:00 (Мск) будет вебинар «Дыры и заборы: безопасность в Kubernetes», который является по сути предваряющим курс "Безопасность в Kubernetes" на площадке СЛЁРМ.
Я решил также внести свою небольшую, посильную лепту в этот образовательный проект для широкой аудитории. Не только же корпоративные тренинги читать =)
Forwarded from WTF_HR
Доброе понедельничное утро!
Однажды мы удостоились репоста одного из ведущих в стране спецов по информационной безопасности, прожившего довольно долгое время в Северной Америке и потому на своей шкуре ощутившего разницу между тем, как обращаются с реальностью представители нашей части мира и тамошние жители.
И этот самый спец не просто нас репостнул, а добавил к тексту очень важную вещь про то, как наши и американцы относятся к изобретательству и предпринимательству. Дело в том, что у нас сначала принято что-то сделать, а потом попытаться понять, можно ли это продать и кому. А у американцев – наоборот. Сначала ты находишь проблему конкретного человека и обещаешь ему ее решить, а потом – думаешь, как это сделать.
Поэтому американцы не смеются над нашим анекдотом про двух бизнесменов, договорившихся, что один другому продаст цистерну нефти за тысячу долларов, после чего один пошел искать цистерну нефти, а второй – тысячу долларов. Для них это – норма жизни и практически девиз. FITUMI – Fake It Till You Make It.
И поэтому у нас обычно проблемы в стиле «запилили офигенный продукт, а он никому не нужен», а у американцев – «наобещали с три короба, а потом уткнулись в неразрешимую инженерную задачку». Такая вот разница в вопросе толерантности. К ошибкам, конечно, не подумайте чего.
Забавным образом это сочетается и с другим культурным различием (идут ли эти черты всегда вместе или нет – вопрос к культурологам, но для американцев и наших – точно идут). Так называемая пирамида Минто, она же top-down метод – это основа основ деловой коммуникации у разных там англосаксов. Сначала – проблема, потом сразу решение, потом аргументы, доказательства, теории, если до них вообще доходит дело.
В нашей же части мира все наоборот – после констатации проблемы идет теоретическое обоснование подхода к ее решению, потом приводятся аргументы за и против разных подходов и прочая теза с антитезой, и только потом, в результате синтеза (это когда «они сошлись вода и камень, стихи и проза, лед и пламень») случается вывод и решение. Такое обожают ученые, инженеры и русские с немцами, и терпеть не могут продавцы, топ-менеджеры и разного рода англосаксы.
Хотя топ-менеджеры и инженеры тоже разные бывают, тут уж как пойдет. Один наш источник вспоминает, как его компания, гендиректор которой обладал фундаментальным русским образованием в точных науках, купила за бешеные деньги американского инженерного спеца из мирового IT-гиганта, инновации развивать.
Но вышла незадача. Спец этот мало того, что был американцем, так еще и вырос в корпоративной культуре, где у топ-менеджеров нет времени обсуждать всякие там теории. Так что вышло практически комбо из обеих культурных особенностей.
Наш американец приходил на встречи с гендиректором, делал пятиминутный питч и просил ресурсы и людей. А гендиректор сначала вежливо, последовательно и занудно просил доказать все свои утверждения, начав примерно от Царя Гороха (чем практически наносил американцу личное оскорбление – ведь все же уже написал, и вообще встреча не про доказательства, а про решения скорее принимать). А потом эти самые ресурсы ему не давал, потому что «а на что давать ресурсы, пусть хоть что-то сделает, а то разговоры одни».
Сказать, что оба были жутко фрустрированы – не сказать ничего. И все бы закончилось депортацией американца восвояси, если бы наши герои не сходили в бар, ой то есть, конечно, если бы не нашелся персонаж, последовательно несколько раз объяснявший обоим про разницу в коммуникации – и таки в итоге объяснивший.
Профессию мудрого персонажа предоставим читателям гордо воображать самим.
Хорошей недели!
Однажды мы удостоились репоста одного из ведущих в стране спецов по информационной безопасности, прожившего довольно долгое время в Северной Америке и потому на своей шкуре ощутившего разницу между тем, как обращаются с реальностью представители нашей части мира и тамошние жители.
И этот самый спец не просто нас репостнул, а добавил к тексту очень важную вещь про то, как наши и американцы относятся к изобретательству и предпринимательству. Дело в том, что у нас сначала принято что-то сделать, а потом попытаться понять, можно ли это продать и кому. А у американцев – наоборот. Сначала ты находишь проблему конкретного человека и обещаешь ему ее решить, а потом – думаешь, как это сделать.
Поэтому американцы не смеются над нашим анекдотом про двух бизнесменов, договорившихся, что один другому продаст цистерну нефти за тысячу долларов, после чего один пошел искать цистерну нефти, а второй – тысячу долларов. Для них это – норма жизни и практически девиз. FITUMI – Fake It Till You Make It.
И поэтому у нас обычно проблемы в стиле «запилили офигенный продукт, а он никому не нужен», а у американцев – «наобещали с три короба, а потом уткнулись в неразрешимую инженерную задачку». Такая вот разница в вопросе толерантности. К ошибкам, конечно, не подумайте чего.
Забавным образом это сочетается и с другим культурным различием (идут ли эти черты всегда вместе или нет – вопрос к культурологам, но для американцев и наших – точно идут). Так называемая пирамида Минто, она же top-down метод – это основа основ деловой коммуникации у разных там англосаксов. Сначала – проблема, потом сразу решение, потом аргументы, доказательства, теории, если до них вообще доходит дело.
В нашей же части мира все наоборот – после констатации проблемы идет теоретическое обоснование подхода к ее решению, потом приводятся аргументы за и против разных подходов и прочая теза с антитезой, и только потом, в результате синтеза (это когда «они сошлись вода и камень, стихи и проза, лед и пламень») случается вывод и решение. Такое обожают ученые, инженеры и русские с немцами, и терпеть не могут продавцы, топ-менеджеры и разного рода англосаксы.
Хотя топ-менеджеры и инженеры тоже разные бывают, тут уж как пойдет. Один наш источник вспоминает, как его компания, гендиректор которой обладал фундаментальным русским образованием в точных науках, купила за бешеные деньги американского инженерного спеца из мирового IT-гиганта, инновации развивать.
Но вышла незадача. Спец этот мало того, что был американцем, так еще и вырос в корпоративной культуре, где у топ-менеджеров нет времени обсуждать всякие там теории. Так что вышло практически комбо из обеих культурных особенностей.
Наш американец приходил на встречи с гендиректором, делал пятиминутный питч и просил ресурсы и людей. А гендиректор сначала вежливо, последовательно и занудно просил доказать все свои утверждения, начав примерно от Царя Гороха (чем практически наносил американцу личное оскорбление – ведь все же уже написал, и вообще встреча не про доказательства, а про решения скорее принимать). А потом эти самые ресурсы ему не давал, потому что «а на что давать ресурсы, пусть хоть что-то сделает, а то разговоры одни».
Сказать, что оба были жутко фрустрированы – не сказать ничего. И все бы закончилось депортацией американца восвояси, если бы наши герои не сходили в бар, ой то есть, конечно, если бы не нашелся персонаж, последовательно несколько раз объяснявший обоим про разницу в коммуникации – и таки в итоге объяснивший.
Профессию мудрого персонажа предоставим читателям гордо воображать самим.
Хорошей недели!
Forwarded from Пост Лукацкого
Synopsys выпустил свеженький отчет по безопасности open source. Как и в прошлый годы развенчивается миф о том, что open source более защищенный, чем проприетарный софт из-за того, что его якобы смотрит больше людей. Открытость софта мало влияет на безопасность, что не мешает противникам проприетарного ПО и сторонникам открытого продолжать стоять на своем (хоть это и больно).
Forwarded from Security Wine (бывший - DevSecOps Wine) (Denis Yakimov)
Kubernetes Security Checklist and Requirements
В канале было много того, что касается безопасности ванильного Kubernetes, но, когда дело доходит до составления перечня требований или чеклиста для аудита, так или иначе приходится тратить время для сведения всего этого воедино. Чтобы упростить эту задачу мы зарелизили собственный чек-лист безопасности k8s: Kubernetes Security Checklist and Requirements 🎉
Здесь важно отметить,что этот чек-лист - это лишь один из путей повышения безопасности кластера. Этот путь самый сложный и во многом самый противоречивый и утрированный. Многое из того, что здесь есть, запросто может не подойти для вашей инфраструктуры в силу культуры или технических ограничений. Все это сделано с той целью, чтобы напомнить вам о тех мерах, про которые вы могли забыть, но для вас они подходят больше всего. PR'ы приветствуются!
Кстати, есть также версия на русском.
#k8s #ops
В канале было много того, что касается безопасности ванильного Kubernetes, но, когда дело доходит до составления перечня требований или чеклиста для аудита, так или иначе приходится тратить время для сведения всего этого воедино. Чтобы упростить эту задачу мы зарелизили собственный чек-лист безопасности k8s: Kubernetes Security Checklist and Requirements 🎉
Здесь важно отметить,что этот чек-лист - это лишь один из путей повышения безопасности кластера. Этот путь самый сложный и во многом самый противоречивый и утрированный. Многое из того, что здесь есть, запросто может не подойти для вашей инфраструктуры в силу культуры или технических ограничений. Все это сделано с той целью, чтобы напомнить вам о тех мерах, про которые вы могли забыть, но для вас они подходят больше всего. PR'ы приветствуются!
Кстати, есть также версия на русском.
#k8s #ops
GitHub
kubernetes-security-checklist/README.md at main · Vinum-Security/kubernetes-security-checklist
Kubernetes Security Checklist and Requirements - All in One (authentication, authorization, logging, secrets, configuration, network, workloads, dockerfile) - Vinum-Security/kubernetes-security-che...
Forwarded from k8s (in)security (D1g1)
Давненько не было облачных новостей - исправляем это упущение.
От команды
Мое внимание в первую очередь, конечно же, захватил раздел "Безопасность Managed Service for Kubernetes", где присутствуют такие пункты как:
- Шифрование данных и управление ключами/секретами
- Сетевая безопасность
- Аутентификация и управление доступом
- Безопасная конфигурация
- Сбор, мониторинг и анализ логов аудита
- Резервное копирование
Большинство инструкций можно на прямую посмотреть в соответствующем репозитории. Мне, на пример, очень понравилась инструкция "Анализ логов безопасности k8s в ELK" - там можно подсмотреть вещи и для разворачивания такого и у себя локально ;)
Также пообщавшись с ребятами из команды безопасности узнал, что не за горами появление аналога IMDSv2 для борьбы с SSRF атаками и механизма подобного Workload Identity из
От команды
Yandex.Cloud вышел официальный чеклист по безопасности (есть и не официальный)!Мое внимание в первую очередь, конечно же, захватил раздел "Безопасность Managed Service for Kubernetes", где присутствуют такие пункты как:
- Шифрование данных и управление ключами/секретами
- Сетевая безопасность
- Аутентификация и управление доступом
- Безопасная конфигурация
- Сбор, мониторинг и анализ логов аудита
- Резервное копирование
Большинство инструкций можно на прямую посмотреть в соответствующем репозитории. Мне, на пример, очень понравилась инструкция "Анализ логов безопасности k8s в ELK" - там можно подсмотреть вещи и для разворачивания такого и у себя локально ;)
Также пообщавшись с ребятами из команды безопасности узнал, что не за горами появление аналога IMDSv2 для борьбы с SSRF атаками и механизма подобного Workload Identity из
GKE или IRSA из EKS. Это все очень здорово!yandex.cloud
Документация Yandex Cloud | Безопасность в Yandex Cloud | Все рекомендации
Из статьи вы узнаете, какие рекомендации по безопасности применяются на платформе Yandex Cloud.
Принадлежит ли вам ваш кластер Kubernetes?
Может, прямо сейчас кто-то копирует данные, майнит в нём, выводит его из строя? Приглашаем посмотреть, как мы ломаем и защищаем кластеры.
Вебинар «Дыры и заборы: безопасность в Kubernetes» пройдет 13 октября в 19:00 Мск.
Поговорим про культуру безопасности в Kubernetes, а еще про вахтёрство и карго-культ. Рассмотрим нашумевшие взломы Kubernetes: Tesla 2018, TeamTNT 2020 и секретный бонус. В прямом эфире атакуем кластер, помайним там и отключим его.
https://slurm.io/security-webinar
Может, прямо сейчас кто-то копирует данные, майнит в нём, выводит его из строя? Приглашаем посмотреть, как мы ломаем и защищаем кластеры.
Вебинар «Дыры и заборы: безопасность в Kubernetes» пройдет 13 октября в 19:00 Мск.
Поговорим про культуру безопасности в Kubernetes, а еще про вахтёрство и карго-культ. Рассмотрим нашумевшие взломы Kubernetes: Tesla 2018, TeamTNT 2020 и секретный бонус. В прямом эфире атакуем кластер, помайним там и отключим его.
https://slurm.io/security-webinar
ISACARuSec
Принадлежит ли вам ваш кластер Kubernetes? Может, прямо сейчас кто-то копирует данные, майнит в нём, выводит его из строя? Приглашаем посмотреть, как мы ломаем и защищаем кластеры. Вебинар «Дыры и заборы: безопасность в Kubernetes» пройдет 13 октября в 19:00…
Учитывая актуальность темы безопасности Kubernetes вебинар стоит посещения или последующего просмотра. Коллеги даже обещали, по возможности, проанализировать присланные в ходе вебинара примеры манифестов с "узкими местами".
Forwarded from SecAtor
Mayday! Mayday! из Редмонда, штата Вашингтон.
Подъехал вагон и маленькая тележка обновлений от Microsoft с исправлениями как минимум 71 ошибки безопасности в продуктах и компонентах Windows. Но вишенкой на торте стало срочное предупреждение о выявленных фактах кибершпионажа с использованием 0-day уязвимостей:
- CVE-2021-40449 (CVSS: 7,8) - уязвимость Win32k, связанная с повышением привилегий.
- CVE-2021-41335 (CVSS: 7,8) - уязвимость ядра Windows, связанная с повышением привилегий.
- CVE-2021-40469 (CVSS: 7,2) - уязвимость Windows DNS Server, связанная с удаленным выполнением кода.
- CVE-2021-41338 (CVSS: 5,5) - Уязвимость, связанная с обходом функций безопасности в правилах брандмауэра Windows AppContainer.
Производитель программного обеспечения, подтвердил эксплуатацию CVE-2021-40449 в цепочке эксплойтов, которая была обнаружена соотечественниками из Kaspersky. Исследователи прямо не заверили и сообщили, что все указывает на то, что, уязвимость использовалась APT IronHusky из Поднебесной, нацеленной на ИТ-компании, дипломатические учреждения, а также военные и оборонные предприятия. В техническом описании говорится, что цепочки заражения приводят к развертыванию трояна для удаленного доступа, способного собирать и фильтровать системную информацию из скомпрометированных хостов, прежде чем обращаться к своему серверу C2 за дальнейшими инструкциями.
Две из 71 задокументированной уязвимости имеют наивысший рейтинг серьезности по версии Microsoft. Другие наиболее опасные ошибки включают уязвимости удаленного выполнения кода, влияющие на Microsoft Exchange Server (CVE-2021-26427), Windows Hyper-V (CVE-2021-38672 и CVE-2021-40461), SharePoint Server (CVE-2021-40487 и CVE- 2021-41344) и Microsoft Word (CVE-2021-40486), а также ошибка раскрытия информации в Rich Text Edit Control (CVE-2021-40454).
А CVE-2021-26427 с рейтингом CVSS 9,0 прям настолько вошла хакерам, что засуетились даже ребята из Агентства национальной безопасности США (NSA), особо отмечая тренд нацеливания хакеров на уязвимые сервера Exchange для входа в периметр своих жертв.
Microsoft и передовой инфосек истеблишмент призывают немедленно установить обновления дабы избежать возможных негативных последствий. Ну, а мы, в свою очередь, подождём вестей от тех, кто не успел этого сделать вовремя.
Подъехал вагон и маленькая тележка обновлений от Microsoft с исправлениями как минимум 71 ошибки безопасности в продуктах и компонентах Windows. Но вишенкой на торте стало срочное предупреждение о выявленных фактах кибершпионажа с использованием 0-day уязвимостей:
- CVE-2021-40449 (CVSS: 7,8) - уязвимость Win32k, связанная с повышением привилегий.
- CVE-2021-41335 (CVSS: 7,8) - уязвимость ядра Windows, связанная с повышением привилегий.
- CVE-2021-40469 (CVSS: 7,2) - уязвимость Windows DNS Server, связанная с удаленным выполнением кода.
- CVE-2021-41338 (CVSS: 5,5) - Уязвимость, связанная с обходом функций безопасности в правилах брандмауэра Windows AppContainer.
Производитель программного обеспечения, подтвердил эксплуатацию CVE-2021-40449 в цепочке эксплойтов, которая была обнаружена соотечественниками из Kaspersky. Исследователи прямо не заверили и сообщили, что все указывает на то, что, уязвимость использовалась APT IronHusky из Поднебесной, нацеленной на ИТ-компании, дипломатические учреждения, а также военные и оборонные предприятия. В техническом описании говорится, что цепочки заражения приводят к развертыванию трояна для удаленного доступа, способного собирать и фильтровать системную информацию из скомпрометированных хостов, прежде чем обращаться к своему серверу C2 за дальнейшими инструкциями.
Две из 71 задокументированной уязвимости имеют наивысший рейтинг серьезности по версии Microsoft. Другие наиболее опасные ошибки включают уязвимости удаленного выполнения кода, влияющие на Microsoft Exchange Server (CVE-2021-26427), Windows Hyper-V (CVE-2021-38672 и CVE-2021-40461), SharePoint Server (CVE-2021-40487 и CVE- 2021-41344) и Microsoft Word (CVE-2021-40486), а также ошибка раскрытия информации в Rich Text Edit Control (CVE-2021-40454).
А CVE-2021-26427 с рейтингом CVSS 9,0 прям настолько вошла хакерам, что засуетились даже ребята из Агентства национальной безопасности США (NSA), особо отмечая тренд нацеливания хакеров на уязвимые сервера Exchange для входа в периметр своих жертв.
Microsoft и передовой инфосек истеблишмент призывают немедленно установить обновления дабы избежать возможных негативных последствий. Ну, а мы, в свою очередь, подождём вестей от тех, кто не успел этого сделать вовремя.
https://detivbezopasnosti.ru/galaxy Отличный школьный творческий конкурс по ИБ от рисунка до стихов! ждем с нетерпением финалистов!