Forwarded from DevSecOps Talks
WAF Testing Dataset
Всем привет!
Защита приложений не заканчивается в момент разработки и/или тестирования. Защита ПО в режиме runtime – штука крайне важная и про нее забывать не следует. А Web Application Firewall (WAF) – одна из наиболее часто используемых технологий для защиты web-приложений.
При выборе решений практически всегда встает вопрос – какое из них лучше и какое нужно выбрать? Вариантов решения задачи множество – от «аналитических таблиц», до проведения пилотных проектов.
Но что может быть лучше, чем проверить WAF «нагрузив его, как следует»? Ничего! Но есть нюанс: где взять те самые данные для проведения «нагрузочного тестирования»?
Ответом может стать проект «Web Application Firewall (WAF) Comparison Project» от open-appsec (CheckPoint).
Внутри можно найти 973,964 различных http-запросов, сгруппированных по 12 категориям. Дополнительно в набор входит 73,924 вредоносные нагрузки (malicious payload), в которых представлены: SQL Injection, XSS, XXE, Path Traversal, Command execution, Log4Shell и Shellshock.
А если не хочется тестировать самому, но любопытны результаты – то есть вот такая статья, в которой сравнили Microsoft Azure WAFv2, AWS WAF, F5 Nginx App Protect WAF и CloudGuard AppSec. Результаты, аналитика, таблицы и много-много-много данных.
Всем привет!
Защита приложений не заканчивается в момент разработки и/или тестирования. Защита ПО в режиме runtime – штука крайне важная и про нее забывать не следует. А Web Application Firewall (WAF) – одна из наиболее часто используемых технологий для защиты web-приложений.
При выборе решений практически всегда встает вопрос – какое из них лучше и какое нужно выбрать? Вариантов решения задачи множество – от «аналитических таблиц», до проведения пилотных проектов.
Но что может быть лучше, чем проверить WAF «нагрузив его, как следует»? Ничего! Но есть нюанс: где взять те самые данные для проведения «нагрузочного тестирования»?
Ответом может стать проект «Web Application Firewall (WAF) Comparison Project» от open-appsec (CheckPoint).
Внутри можно найти 973,964 различных http-запросов, сгруппированных по 12 категориям. Дополнительно в набор входит 73,924 вредоносные нагрузки (malicious payload), в которых представлены: SQL Injection, XSS, XXE, Path Traversal, Command execution, Log4Shell и Shellshock.
А если не хочется тестировать самому, но любопытны результаты – то есть вот такая статья, в которой сравнили Microsoft Azure WAFv2, AWS WAF, F5 Nginx App Protect WAF и CloudGuard AppSec. Результаты, аналитика, таблицы и много-много-много данных.
GitHub
GitHub - openappsec/waf-comparison-project: Testing datasets and tools to compare WAF efficacy
Testing datasets and tools to compare WAF efficacy - openappsec/waf-comparison-project
Forwarded from k8s (in)security (Дмитрий Евдокимов)
CNCF опубликовало текст документа "Security Zero Trust using Cloud Native Platforms". Очень достойный документ, который в очередной раз заставляется задуматься о пользе постоянных сканирований, использования сигнатур и т.д. В итоге понять какие действительно меры рабочие в текущих реалиях.P.S. Всем хороших выходных!
Forwarded from Пост Лукацкого
FAIR Institute, известный своим стандартом количественной оценки рисков FAIR и разных методик и стандартов на его основе, выпустил новый стандарт - FAIR Materiality Assessment Model (FAIR-MAM), задача которого, в стиле MITRE ATT&CK, описать различные формы потерь/ущерба от инцидентов ИБ (параметр "Loss Magnitude" в стандарте FAIR).💰Все потери делятся на 10 крупных блоков (прерывание бизнеса, мошенничество, ущерб репутации и т.п.), а так как это открытая модель, то она может быть адаптирована под любую организацию, которая еще не дозрела до недопустимых событий, но при этом ее уже не устраивает светофор при оценке рисков и хочется некой количественной оценки.
Forwarded from Пост Лукацкого
А потом, из FAIR-MAM могут получаться вот такие отчеты с финансовой оценкой ущерба
Forwarded from AlexRedSec
Между делом Cyentia Institute выпустил уже девятое исследование на тему приоритезации устранения уязвимостей и, в целом, по сложным вопросам управления уязвимостями.
В последнем отчете понравилось сравнение различных стратегий устранения уязвимостей по критериям покрытия и эффективности как в случае использования по отдельности, так и в случаях комбинирования методов (и источников информации).
Все выпуски отчетов серии "Prioritization to Prediction" можно почитать тут.
В последнем отчете понравилось сравнение различных стратегий устранения уязвимостей по критериям покрытия и эффективности как в случае использования по отдельности, так и в случаях комбинирования методов (и источников информации).
Все выпуски отчетов серии "Prioritization to Prediction" можно почитать тут.
Forwarded from AlexRedSec
Вдогонку тому, что половину бюджета CISO тратят на инструменты класса IAM, не менее интересная информация о ТОП-10 инструментов, на которые ежегодно тратятся CISO.
Как видно, IAM действительно популярен последние два года, а вот endpoint-решениями видимо все уже закупились🙂
p.s. Информация из отчета "Cybersecurity Perspectives 2023".
Как видно, IAM действительно популярен последние два года, а вот endpoint-решениями видимо все уже закупились
p.s. Информация из отчета "Cybersecurity Perspectives 2023".
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from Yandex Cloud
В нашем блоге на Хабре Руслан Качмазов, стажер-инженер Yandex Cloud Security, вместе с выпускниками Школы информационной безопасности Яндекса 2023 года рассказывает о методах защиты с опорой на методологию SLSA.
В статье мы говорим о возможностях и ограничениях инструментов проекта Sigstore, которые снижают риск таких атак, и рассказываем о том, как эти возможности можно использовать в Yandex Cloud.
❗️ Материал полезен для команд разработки, которые хотят обезопасить себя от атак на цепочки поставок при работе с проектами, имеющими множество внешних зависимостей.
Читайте подробнее по ссылке.
#yacloud_articles
Please open Telegram to view this post
VIEW IN TELEGRAM
👍3
Forwarded from BESSEC
J.Wolff Cyberinsurance Policy.pdf
11.5 MB
#book на отпуск
Cyberinsurance Policy — исследование о рынке киберстрахования. В книге рассмотрено, как зародилась эта отрасль, в чем отличия по сравнению с привычными областями. Роль государственных регуляторов в развитии киберстрахования — не только на примере США, но и некоторых других стран.
Говорят, что хорошее чтиво про ИБ с точки зрения бизнеса. Почитаем, потом на Россию еще посмотрим))
#riskassessment #cyberrisk
Cyberinsurance Policy — исследование о рынке киберстрахования. В книге рассмотрено, как зародилась эта отрасль, в чем отличия по сравнению с привычными областями. Роль государственных регуляторов в развитии киберстрахования — не только на примере США, но и некоторых других стран.
Говорят, что хорошее чтиво про ИБ с точки зрения бизнеса. Почитаем, потом на Россию еще посмотрим))
#riskassessment #cyberrisk
Forwarded from BESSEC
0_All_Checklists_RU.pdf
738.3 KB
#bestpractices
Please open Telegram to view this post
VIEW IN TELEGRAM
👍3
Forwarded from DevSecOps Talks
LogLicker: анонимизация журналов событий
Всем привет!
Бывает, что нужно отправить кому-нибудь log-файл. Например, производителю какого-либо решения, партнеру, в-еще-один-telegram-чат... И не всегда хочется делиться полной информацией, а «затереть» что-то, что не влияет на суть, но может быть конфиденциальным.
Если похожие мысли посещали и Вас, то рекомендуем обратить внимание на проект LogLicker. Он был разработан для анонимизации журналов событий AWS CloudTrail, но можно научить работать с иными журналами.
Он умеет:
🍭 Идентифицировать чувствительную информацию в логах (привет, regexp! 😊)
🍭 Заменять чувствительную информацию в логах на нечто схожее, но не имеющее сути
🍭 Собирать данные о «заменах», чтобы можно было все вернуть в исходное состояние
Управляется все при помощи замены регулярных выражений на те, что нужны Вам. Подробнее про утилиту можно прочесть на GitHub и в этой статье.
Всем привет!
Бывает, что нужно отправить кому-нибудь log-файл. Например, производителю какого-либо решения, партнеру, в-еще-один-telegram-чат... И не всегда хочется делиться полной информацией, а «затереть» что-то, что не влияет на суть, но может быть конфиденциальным.
Если похожие мысли посещали и Вас, то рекомендуем обратить внимание на проект LogLicker. Он был разработан для анонимизации журналов событий AWS CloudTrail, но можно научить работать с иными журналами.
Он умеет:
🍭 Идентифицировать чувствительную информацию в логах (привет, regexp! 😊)
🍭 Заменять чувствительную информацию в логах на нечто схожее, но не имеющее сути
🍭 Собирать данные о «заменах», чтобы можно было все вернуть в исходное состояние
Управляется все при помощи замены регулярных выражений на те, что нужны Вам. Подробнее про утилиту можно прочесть на GitHub и в этой статье.
GitHub
GitHub - Permiso-io-tools/LogLicker: Tool for obfuscating and deobfuscating data.
Tool for obfuscating and deobfuscating data. . Contribute to Permiso-io-tools/LogLicker development by creating an account on GitHub.
👍2
Полезный ресурс для понимания актуальных атак в т.ч. на ad
https://github.com/swisskyrepo/PayloadsAllTheThings/tree/master/Methodology%20and%20Resources
https://book.hacktricks.xyz/welcome/readme
http://www.pentest-standard.org/index.php/Main_Page
https://github.com/swisskyrepo/PayloadsAllTheThings/tree/master/Methodology%20and%20Resources
https://book.hacktricks.xyz/welcome/readme
http://www.pentest-standard.org/index.php/Main_Page
GitHub
PayloadsAllTheThings/Methodology and Resources at master · swisskyrepo/PayloadsAllTheThings
A list of useful payloads and bypass for Web Application Security and Pentest/CTF - swisskyrepo/PayloadsAllTheThings