https://cloudsecurityalliance.org/artifacts/saas-governance-best-practices-for-cloud-customers/
"In the context of cloud security, the focus is almost always on securing Infrastructure-as-a-Service (IaaS) environments. This is despite the reality that while organizations tend to consume 2-3 IaaS providers, they are often consuming tens to hundreds of Software as a Service (SaaS) Offerings. The SaaS Governance Best Practice for Cloud Customers is a baseline set of fundamental governance practices for SaaS environments. It enumerates and considers risks during all stages of the SaaS lifecycle, including Evaluation, Adoption, Usage, and Termination."
"In the context of cloud security, the focus is almost always on securing Infrastructure-as-a-Service (IaaS) environments. This is despite the reality that while organizations tend to consume 2-3 IaaS providers, they are often consuming tens to hundreds of Software as a Service (SaaS) Offerings. The SaaS Governance Best Practice for Cloud Customers is a baseline set of fundamental governance practices for SaaS environments. It enumerates and considers risks during all stages of the SaaS lifecycle, including Evaluation, Adoption, Usage, and Termination."
CSA
SaaS Governance Best Practices for Cloud Customers | CSA
👍1
Forwarded from SecAtor
Предлагаем ознакомиться с обновлениями безопасности от Microsoft, которые пока доступны и устраняют 89 уязвимостей в ряде своих продуктов, 3 из которых - 0-day.
Мартовский PatchTuesday, включают исправления таких компонентов Microsoft Windows, как Azure и Azure DevOps, Azure Sphere, Internet Explorer и Edge (EdgeHTML), Exchange Server, службы Office и веб-приложения, SharePoint Server, Visual Studio и Windows Hyper-V.
Обновление включает в себя исправления для 7 недостатков в MS Exchange и 21 уязвимости Microsoft Edge. 14 уязвимостей были оценены как критические, а 75 — как важные. 2 уязвимости считаются как общеизвестные, а 5 активно эксплуатируются в дикой природе.
Три исправленные баги относятся к уязвимостям нулевого дня, для двух из которых, CVE-2022-21990 и CVE-2022-24459, доступны PoC:
- CVE-2022-21990 — уязвимость удаленного выполнения кода клиента удаленного рабочего стола;
- CVE-2022-24459 — уязвимость службы факсов и сканирования Windows;
- CVE-2022-24512 — уязвимость удаленного выполнения кода в NET и Visual Studio.
Другие наиболее серьезные недостатки, исправленные ИТ-гигантом:
- CVE-2021-26867 — уязвимость удаленного выполнения кода Windows Hyper-V (CVSS 9.9);
- CVE-2021-26897 — уязвимость удаленного выполнения кода Windows DNS Server (CVSS 9.8);
- CVE-2021-27080 — уязвимость выполнения неподписанного кода Azure Sphere (CVSS 9.3).
С полным списком уязвимостей, устраненных корпорацией Майкрософт можно ознакомиться тут.
Мартовский PatchTuesday, включают исправления таких компонентов Microsoft Windows, как Azure и Azure DevOps, Azure Sphere, Internet Explorer и Edge (EdgeHTML), Exchange Server, службы Office и веб-приложения, SharePoint Server, Visual Studio и Windows Hyper-V.
Обновление включает в себя исправления для 7 недостатков в MS Exchange и 21 уязвимости Microsoft Edge. 14 уязвимостей были оценены как критические, а 75 — как важные. 2 уязвимости считаются как общеизвестные, а 5 активно эксплуатируются в дикой природе.
Три исправленные баги относятся к уязвимостям нулевого дня, для двух из которых, CVE-2022-21990 и CVE-2022-24459, доступны PoC:
- CVE-2022-21990 — уязвимость удаленного выполнения кода клиента удаленного рабочего стола;
- CVE-2022-24459 — уязвимость службы факсов и сканирования Windows;
- CVE-2022-24512 — уязвимость удаленного выполнения кода в NET и Visual Studio.
Другие наиболее серьезные недостатки, исправленные ИТ-гигантом:
- CVE-2021-26867 — уязвимость удаленного выполнения кода Windows Hyper-V (CVSS 9.9);
- CVE-2021-26897 — уязвимость удаленного выполнения кода Windows DNS Server (CVSS 9.8);
- CVE-2021-27080 — уязвимость выполнения неподписанного кода Azure Sphere (CVSS 9.3).
С полным списком уязвимостей, устраненных корпорацией Майкрософт можно ознакомиться тут.
Forwarded from Пост Лукацкого
MITRE запускает новый сайт про новый фреймворк по технологиям защиты и обмана
👍1
Forwarded from k8s (in)security (D1g1)
При проверке
1)
Кто как с этим справляется?
- У
- У
- У родного Pod Security Admission тоже все с этим в порядке (его код на скрине);
- У самописных
Будде внимательны ;)
podSpec не забывайте, что теперь требуется проверить 3 типа контейнеров (а не 2 как раньше):1)
containers
2) initContainers
3) ephemeralContainers
Ephemeral Containers с 1.18 в Alpha, а с 1.23 перешли в Beta и включены по умолчанию. И не проверяя эту часть YAML, атакующий может обойти проверки вашего PolicyEngine!Кто как с этим справляется?
- У
OPA Gatekeeper в его библиотеке правил нет ни одного правила проверяющего эту часть YAML (но сам он в курсе о них);- У
Kyverno ситуация куда лучше - не зря они себя позиционируют как Kubernetes-native;- У родного Pod Security Admission тоже все с этим в порядке (его код на скрине);
- У самописных
Admission Controllers все в ваших руках).Будде внимательны ;)
Forwarded from CloudSec Wine (Артем Марков)
🔶 AWS Security Reference Architecture
60pg PDF by AWS Professional services containing a holistic set of guidelines for deploying the full complement of AWS security services in a multi-account environment. GitHub repo with example solutions.
https://github.com/aws-samples/aws-security-reference-architecture-examples
#aws
60pg PDF by AWS Professional services containing a holistic set of guidelines for deploying the full complement of AWS security services in a multi-account environment. GitHub repo with example solutions.
https://github.com/aws-samples/aws-security-reference-architecture-examples
#aws
👍1
Forwarded from CloudSec Wine (Denis Yakimov)
🔶A comprehensive Threat Model for Amazon S3.
https://controlcatalog.trustoncloud.com/dashboard/aws/s3
#aws
https://controlcatalog.trustoncloud.com/dashboard/aws/s3
#aws
Forwarded from Пост Лукацкого
Очень интересный документ, описывающий процесс моделирования угроз для медицинских устройств. Но самое интересное в нем - не сама методика, она как раз базируется на известных STRIDE и MITRE ATT&CK, а то, что авторы еще и несколько примеров в приложение добавили, чтобы было понятно, как это надо делать на конкретных типах медицинского оборудования. Ровно то, чего так не хватает методике ФСТЭК.
👍1
Forwarded from AlexRedSec
Интересный ресурс - проводник по мерам управления безопасностью (security controls) из стандарта ISO 27002:2022. Можно отбирать меры по различным атрибутам. Довольно удобная штука.
https://apps.iso27diy.com/explorer
https://apps.iso27diy.com/explorer
👍1
Forwarded from SecAtor
Консорциум интернет-систем (ISC) выпустил обновления для исправления серьезных уязвимостей в серверном ПО Berkeley Internet Name Domain (BIND).
BIND - это открытая и наиболее распространённая реализация DNS-сервера, обеспечивающая выполнение преобразования DNS-имени в IP-адрес и наоборот. BIND поддерживается организацией Internet Systems Consortium, при этом 10 из 13 корневых серверов DNS работают на BIND, оставшиеся 3 работают на NSD.
Разработчиком устранено четыре ошибки безопасности, две из которых затрагивают BIND версии 9.18. Оба недостатка имеют оценку CVSS 7,0.
Первая из них CVE-2022-0635 описывается как DNAME insist with synth-from-dnssec enabled.
BIND 9.18 проводит рефакторинг synth-from-dnssec (RFC 8198 — агрессивное использование DNSSEC-проверенного кэша) и автоматически включает его для распознавателей, проверяющих dnssec. Ошибка возникает из-за того, что повторяющиеся шаблоны определенных запросов к серверам с включенной этой функцией могут привести к сбою INSIST в query.c:query dname и неожиданному завершению named.
Определенные запросы могут использоваться для инициирования неудачной проверки , которая приводит к завершению указанного процесса. При этом затрагиваются только преобразователи BIND версии 9.18.0 с включенной проверкой dnssec и synth-from-dnssec. Отключение synth-from-dnssec предотвратит уязвимость, но только в качестве временного обходного пути, поскольку эта функция предназначена для защиты зон, подписанных DNSSEC, от псевдослучайных атак поддоменов.
Вторая уязвимость CVE-2022-0667 связана с функцией возобновления dslookup() и может привести к завершению процесса BIND. Пока BIND обрабатывает запрос на запись DS, которую необходимо переслать, он ожидает, пока эта обработка не будет завершена или пока не сработает таймер. Функция не проверяет, была ли загрузка ранее отключена.
Еще одна проблема высокой степени серьезности, решенная ISC, затрагивает версии BIND с 9.11.0 по 9.11.36, с 9.12.0 по 9.16.26 и с 9.17.0 по 9.18.0. Предыдущие версии также могут быть уязвимы.
CVE-2021-25220 (оценка CVSS 6,2) связана с использованием серверов пересылки: фальшивые записи NS, предоставленные этими серверами пересылки или через них, могут быть кэшированы и использованы named, если по какой-либо причине потребуется рекурсия, заставляя его получать и передавать потенциально неправильные ответы. Это может привести к тому, что неверные записи повредят кеш, а запросы будут отправлены не на те серверы. Таким образом, пользователи могут получить ложную информацию. При этом отключение пересылки или рекурсии предотвращает ошибку.
ISC заявляет, что ей неизвестно об эксплойтах, нацеленных на любую из этих уязвимостей, но призывает пользователей и администраторов ознакомиться с рекомендациями и устранить ошибки как можно скорее, с чем также согласны и мы.
BIND - это открытая и наиболее распространённая реализация DNS-сервера, обеспечивающая выполнение преобразования DNS-имени в IP-адрес и наоборот. BIND поддерживается организацией Internet Systems Consortium, при этом 10 из 13 корневых серверов DNS работают на BIND, оставшиеся 3 работают на NSD.
Разработчиком устранено четыре ошибки безопасности, две из которых затрагивают BIND версии 9.18. Оба недостатка имеют оценку CVSS 7,0.
Первая из них CVE-2022-0635 описывается как DNAME insist with synth-from-dnssec enabled.
BIND 9.18 проводит рефакторинг synth-from-dnssec (RFC 8198 — агрессивное использование DNSSEC-проверенного кэша) и автоматически включает его для распознавателей, проверяющих dnssec. Ошибка возникает из-за того, что повторяющиеся шаблоны определенных запросов к серверам с включенной этой функцией могут привести к сбою INSIST в query.c:query dname и неожиданному завершению named.
Определенные запросы могут использоваться для инициирования неудачной проверки , которая приводит к завершению указанного процесса. При этом затрагиваются только преобразователи BIND версии 9.18.0 с включенной проверкой dnssec и synth-from-dnssec. Отключение synth-from-dnssec предотвратит уязвимость, но только в качестве временного обходного пути, поскольку эта функция предназначена для защиты зон, подписанных DNSSEC, от псевдослучайных атак поддоменов.
Вторая уязвимость CVE-2022-0667 связана с функцией возобновления dslookup() и может привести к завершению процесса BIND. Пока BIND обрабатывает запрос на запись DS, которую необходимо переслать, он ожидает, пока эта обработка не будет завершена или пока не сработает таймер. Функция не проверяет, была ли загрузка ранее отключена.
Еще одна проблема высокой степени серьезности, решенная ISC, затрагивает версии BIND с 9.11.0 по 9.11.36, с 9.12.0 по 9.16.26 и с 9.17.0 по 9.18.0. Предыдущие версии также могут быть уязвимы.
CVE-2021-25220 (оценка CVSS 6,2) связана с использованием серверов пересылки: фальшивые записи NS, предоставленные этими серверами пересылки или через них, могут быть кэшированы и использованы named, если по какой-либо причине потребуется рекурсия, заставляя его получать и передавать потенциально неправильные ответы. Это может привести к тому, что неверные записи повредят кеш, а запросы будут отправлены не на те серверы. Таким образом, пользователи могут получить ложную информацию. При этом отключение пересылки или рекурсии предотвращает ошибку.
ISC заявляет, что ей неизвестно об эксплойтах, нацеленных на любую из этих уязвимостей, но призывает пользователей и администраторов ознакомиться с рекомендациями и устранить ошибки как можно скорее, с чем также согласны и мы.
kb.isc.org
BIND 9 Security Vulnerability Matrix
The BIND 9 Security Vulnerability Matrix is a tool to help DNS operators understand the current security risk for a given version of BIND.