Отдельно стоит обратить внимание, на упоминаемый в статье из прошлого поста репозиторий с набором powershell скриптов для анализа и эксплуатации уязвимостей в Azure. Репозиторий так же содержит ссылки на статьи и презентации посвещённые анализу защишености инфраструктуры Azure.
Ссылка на репозиторий: https://github.com/NetSPI/MicroBurst
Ссылка на репозиторий: https://github.com/NetSPI/MicroBurst
GitHub
GitHub - NetSPI/MicroBurst: A collection of noscripts for assessing Microsoft Azure security
A collection of noscripts for assessing Microsoft Azure security - NetSPI/MicroBurst
Ничего на свете лучше нету, чем позалипать на пушистый граф после новогодних праздников. Именно по этому вашему вниманию представляется еще один инструмент в области визуализации IAM - AAIA. Лучше ли он чем lyft/cartography? Нунинаю...
Ссылка на репозиторий: https://github.com/rams3sh/Aaia
Ссылка на репозиторий: https://github.com/rams3sh/Aaia
GitHub
GitHub - rams3sh/Aaia: AWS Identity and Access Management Visualizer and Anomaly Finder
AWS Identity and Access Management Visualizer and Anomaly Finder - rams3sh/Aaia
В твиттере постят и я запощу. Интересный инструмент для автоматизированной работы с возникающими алертами в AWS. При возникновении алерта автоматически собираются данные по причинам его тригера, генерируется отчет и даже может высылаться в ваш любимый Slack, PageDuty, Github Enterprise. Имхо, звучит интересно, слава богу в этот раз не пришлось постить еще обертку над Neo4j )
Ссылка на репозиторий: https://github.com/m-mizutani/AlertResponder
Ссылка на репозиторий: https://github.com/m-mizutani/AlertResponder
GitHub
GitHub - m-mizutani/AlertResponder: Automatic security alert response framework by AWS Serverless Application Model
Automatic security alert response framework by AWS Serverless Application Model - GitHub - m-mizutani/AlertResponder: Automatic security alert response framework by AWS Serverless Application Model
Forwarded from Security Wine (бывший - DevSecOps Wine)
cfn-nag
Инструмент cfn-nag ищет шаблоны в CloudFormation , которые могут указывать на небезапасную инфраструктуру.
Что проверяется:
1) IAM и политики ресурсов (S3 Bucket, SQS и т. д.)
2) Security Group - например, ingress правило открыто для 0.0.0.0/0 , открыт диапазон 1-65535
3) Журналы доступа
Ищет журналы доступа, которые не включены для соответствующих ресурсов (например, Elastic Load Balancers и CloudFront Distributions)
4) Шифрование (на стороне сервера), которое не включено или не применяется для соответствующих ресурсов (например, томов EBS или для вызовов PutObject в корзине S3)
https://github.com/stelligent/cfn_nag
#tools #aws
Инструмент cfn-nag ищет шаблоны в CloudFormation , которые могут указывать на небезапасную инфраструктуру.
Что проверяется:
1) IAM и политики ресурсов (S3 Bucket, SQS и т. д.)
2) Security Group - например, ingress правило открыто для 0.0.0.0/0 , открыт диапазон 1-65535
3) Журналы доступа
Ищет журналы доступа, которые не включены для соответствующих ресурсов (например, Elastic Load Balancers и CloudFront Distributions)
4) Шифрование (на стороне сервера), которое не включено или не применяется для соответствующих ресурсов (например, томов EBS или для вызовов PutObject в корзине S3)
https://github.com/stelligent/cfn_nag
#tools #aws
GitHub
GitHub - stelligent/cfn_nag: Linting tool for CloudFormation templates
Linting tool for CloudFormation templates. Contribute to stelligent/cfn_nag development by creating an account on GitHub.
Интересная история о битве с Docker Registry от господина @sab0tag3d:
Я часто использую словарь уважаемого Бума (https://github.com/Bo0oM/fuzz.txt) для брута веб-директорий и поиска низковисящих багов.
В этот раз во время внешнего пентеста, я нашел директорию https://example.com:5000/v2/_catalog в которой был примерно следующий список:
Выяснив, что это Docker API, я решил копнуть дальше и просмотреть, что этот может быть, и наткнулся на отличную статью https://www.notsosecure.com/anatomy-of-a-hack-docker-registry/
С помощью утилиты, упомянутой в статье, я скачал образ контейнера jenkins.
Внутри разработчики заботливо приложили sh-скрипт, наверное, для удобства:
Я сразу обрадовался, что возможно нашел приватный ключ, и начал пробовать его использовать на всех хостах в сети, но безуспешно.
Но потом до меня дошло, что нужно заглянуть в директорию
Вот примерный список что там нашлось: Дополнительный набор приватных ssh-ключей, а также пароли от ssh к хостам, если вдруг что-то пойдет не так, тестовые пароли: от JIRA, BUGZILLA и кучи сервисов о назначении который я могу только догадываться.
Резюме от автора канала: Мораль этой истории должна быть понятна каждому, registry и печень надо беречь с молодости.
Я часто использую словарь уважаемого Бума (https://github.com/Bo0oM/fuzz.txt) для брута веб-директорий и поиска низковисящих багов.
В этот раз во время внешнего пентеста, я нашел директорию https://example.com:5000/v2/_catalog в которой был примерно следующий список:
{"repositories":["centos.6.10","centos_temp","example.com/jenkins","example.com/ubuntu16.04"]}
Выяснив, что это Docker API, я решил копнуть дальше и просмотреть, что этот может быть, и наткнулся на отличную статью https://www.notsosecure.com/anatomy-of-a-hack-docker-registry/
С помощью утилиты, упомянутой в статье, я скачал образ контейнера jenkins.
Внутри разработчики заботливо приложили sh-скрипт, наверное, для удобства:
$ cat start_point.sh
#! /bin/bash -e
mkdir -p /var/jenkins_home/.ssh
mv /usr/share/jenkins/ref/.ssh/id_rsa /var/jenkins_home/.ssh
chmod 600 /var/jenkins_home/.ssh/id_rsa
Я сразу обрадовался, что возможно нашел приватный ключ, и начал пробовать его использовать на всех хостах в сети, но безуспешно.
Но потом до меня дошло, что нужно заглянуть в директорию
/usr/share/jenkins/ref/.ssh, (ну кому прийдет в голову класть в эту папку что-то кроме ключей).Вот примерный список что там нашлось: Дополнительный набор приватных ssh-ключей, а также пароли от ssh к хостам, если вдруг что-то пойдет не так, тестовые пароли: от JIRA, BUGZILLA и кучи сервисов о назначении который я могу только догадываться.
Резюме от автора канала: Мораль этой истории должна быть понятна каждому, registry и печень надо беречь с молодости.
GitHub
GitHub - Bo0oM/fuzz.txt: Potentially dangerous files
Potentially dangerous files. Contribute to Bo0oM/fuzz.txt development by creating an account on GitHub.
Hacktory
Когда как не во время самоизоляции стоит рассказать о интересном проекте по онлайн обучению в сфере ИБ. Команда специалистов с хорошей экспертизой в сфере информационной безопасности запускает площадку https://hacktory.ai/
Из интересных моментов - есть полный курс по web-безопасности. Курс бесплатный на месяц (есть ограничения). Есть еще демо курс на Java где нужно править код и он будет проверяться , но он пока не полный и находится в разработке.
Лично меня зацепило то, что ребята делают сервис на облачных ресурсах. Внутри площадки можно поднимать лаборатории с виртуальными машинами, которые необходимо взламывать. Круто что есть сервисы где использование облачных платформ не ограничивается размещением визиток и магазинов.
Когда как не во время самоизоляции стоит рассказать о интересном проекте по онлайн обучению в сфере ИБ. Команда специалистов с хорошей экспертизой в сфере информационной безопасности запускает площадку https://hacktory.ai/
Из интересных моментов - есть полный курс по web-безопасности. Курс бесплатный на месяц (есть ограничения). Есть еще демо курс на Java где нужно править код и он будет проверяться , но он пока не полный и находится в разработке.
Лично меня зацепило то, что ребята делают сервис на облачных ресурсах. Внутри площадки можно поднимать лаборатории с виртуальными машинами, которые необходимо взламывать. Круто что есть сервисы где использование облачных платформ не ограничивается размещением визиток и магазинов.
Cloud Security Wine
Канал cloudsec начался с доклада на Zero Night 2019 про AWS Security. С тех пор многое поменялось, в том числе вектор развития и интересов первоначального автора канала @ttffdd. Однако интересный материал продолжает появляться и, кажется, что он не должен проходить мимо подписчиков.
Чтобы дать новую жизнь каналу, было принято решение, что он станет побратимом DevSecOps Wine и получит новое название CloudSec Wine. Материал про AWS, Azure, GCP Security будет публиковать @dvyakimov на английском языке дабы осветить как можно больше без временных затрат на разбор и перевод.
Let's go on!
Канал cloudsec начался с доклада на Zero Night 2019 про AWS Security. С тех пор многое поменялось, в том числе вектор развития и интересов первоначального автора канала @ttffdd. Однако интересный материал продолжает появляться и, кажется, что он не должен проходить мимо подписчиков.
Чтобы дать новую жизнь каналу, было принято решение, что он станет побратимом DevSecOps Wine и получит новое название CloudSec Wine. Материал про AWS, Azure, GCP Security будет публиковать @dvyakimov на английском языке дабы осветить как можно больше без временных затрат на разбор и перевод.
Let's go on!
🔸AWS Security Hub launches new automated security controls
Seven new automated security controls, which seem to be things you should generally do.
- S3 buckets should require requests to use Secure Socket Layer
- Amazon SageMaker notebook instances should not have direct internet access
- AWS Database Migration Service -replication instances should not be public
- EC2 instances managed by Systems Manager should have an association compliance status of COMPLIANT
- AWS Auto scaling groups associated with a load balancer should use load balancer health checks
- Stopped EC2 instances should be removed after a specified time period
- VPC flow logging should be enabled in all VPCs.
https://aws.amazon.com/ru/about-aws/whats-new/2020/07/aws-security-hub-launches-new-automated-security-controls/
#aws
Seven new automated security controls, which seem to be things you should generally do.
- S3 buckets should require requests to use Secure Socket Layer
- Amazon SageMaker notebook instances should not have direct internet access
- AWS Database Migration Service -replication instances should not be public
- EC2 instances managed by Systems Manager should have an association compliance status of COMPLIANT
- AWS Auto scaling groups associated with a load balancer should use load balancer health checks
- Stopped EC2 instances should be removed after a specified time period
- VPC flow logging should be enabled in all VPCs.
https://aws.amazon.com/ru/about-aws/whats-new/2020/07/aws-security-hub-launches-new-automated-security-controls/
#aws
Amazon
AWS Security Hub launches new automated security controls
SkyArk-shortVideo.gif
18.7 MB
🔸🔹Сyberark/SkyArk: Detect “shadow admin accounts” in AWS and Azure
Certain (combinations of) seemingly limited cloud permissions can be used by attackers to escalate their privileges. This tool aims to enumerate Azure and AWS accounts with permissions that in reality are quite privileged.
https://github.com/cyberark/SkyArk
#aws #azure
Certain (combinations of) seemingly limited cloud permissions can be used by attackers to escalate their privileges. This tool aims to enumerate Azure and AWS accounts with permissions that in reality are quite privileged.
https://github.com/cyberark/SkyArk
#aws #azure
🔸AWS IAM Permissions Guardrails
A collection of SCPs that you can use to protect all accounts under your Organization.
https://aws-samples.github.io/aws-iam-permissions-guardrails/guardrails/scp-guardrails.html
🔸AWS Incident Response
This project explores useful CloudTrail events that support incident response and detection of misconfigurations.
https://github.com/easttimor/aws-incident-response
A collection of SCPs that you can use to protect all accounts under your Organization.
https://aws-samples.github.io/aws-iam-permissions-guardrails/guardrails/scp-guardrails.html
🔸AWS Incident Response
This project explores useful CloudTrail events that support incident response and detection of misconfigurations.
https://github.com/easttimor/aws-incident-response
GitHub
GitHub - easttimor/aws-incident-response
Contribute to easttimor/aws-incident-response development by creating an account on GitHub.
🔸Amazon Fraud Detector is now Generally Available
“A fully managed service that makes it easy to identify potentially fraudulent online activities such as online payment fraud and the creation of fake accounts.”
https://aws.amazon.com/ru/blogs/aws/amazon-fraud-detector-is-now-generally-available/
#aws
“A fully managed service that makes it easy to identify potentially fraudulent online activities such as online payment fraud and the creation of fake accounts.”
https://aws.amazon.com/ru/blogs/aws/amazon-fraud-detector-is-now-generally-available/
#aws
🔹Azure security best practices and patterns
Security best practices to use when designing, deploying, and managing cloud solutions by using Azure.
https://docs.microsoft.com/en-us/azure/security/fundamentals/best-practices-and-patterns
#azure
Security best practices to use when designing, deploying, and managing cloud solutions by using Azure.
https://docs.microsoft.com/en-us/azure/security/fundamentals/best-practices-and-patterns
#azure
Docs
Security best practices and patterns - Microsoft Azure
This article links you to security best practices and patterns for different Azure resources.
🔸How CloudWatch Alarms Work by Andrew Brown
https://twitter.com/andrewbrown/status/1284672904878346240
#aws
https://twitter.com/andrewbrown/status/1284672904878346240
#aws
🔸How to use resource-based policies in the AWS Secrets Manager console to securely access secrets across AWS accounts
AWS Secrets Manager now allows to create and manage resource-based policies using the Secrets Manager console. At the same time, Secrets Manager is now able to identify and prevent creation of resource policies that grant overly broad access to secrets across AWS accounts.
https://aws.amazon.com/ru/blogs/security/how-to-use-resource-based-policies-aws-secrets-manager-console-to-securely-access-secrets-aws-accounts/
#aws
AWS Secrets Manager now allows to create and manage resource-based policies using the Secrets Manager console. At the same time, Secrets Manager is now able to identify and prevent creation of resource policies that grant overly broad access to secrets across AWS accounts.
https://aws.amazon.com/ru/blogs/security/how-to-use-resource-based-policies-aws-secrets-manager-console-to-securely-access-secrets-aws-accounts/
#aws
🔸aws-recon
Recon helps build a comprehensive inventory of the security-related metadata in an AWS account. The output is standard JSON, so it can be used in automation pipelines or feed into other tools for further analysis.
https://github.com/darkbitio/aws-recon
#aws
Recon helps build a comprehensive inventory of the security-related metadata in an AWS account. The output is standard JSON, so it can be used in automation pipelines or feed into other tools for further analysis.
https://github.com/darkbitio/aws-recon
#aws
GitHub
GitHub - joshlarsen/aws-recon: Multi-threaded AWS inventory collection tool with a focus on security-relevant resources and metadata.
Multi-threaded AWS inventory collection tool with a focus on security-relevant resources and metadata. - GitHub - joshlarsen/aws-recon: Multi-threaded AWS inventory collection tool with a focus on ...
🔸AWS Exposable Resources
Repo maintaining a list of all AWS resources that can be publicly exposed, and eventually, those that can be shared with untrusted accounts.
https://github.com/SummitRoute/aws_exposable_resources
#aws
Repo maintaining a list of all AWS resources that can be publicly exposed, and eventually, those that can be shared with untrusted accounts.
https://github.com/SummitRoute/aws_exposable_resources
#aws
GitHub
GitHub - SummitRoute/aws_exposable_resources: Resource types that can be publicly exposed on AWS
Resource types that can be publicly exposed on AWS - SummitRoute/aws_exposable_resources
🔹Moving Windows Server to Microsoft Azure to Enable Compliance
Free e-book discussing how to manage compliance, privacy, and security when migrating Windows Server workloads to Azure.
https://azure.microsoft.com/en-us/resources/moving-windows-server-to-microsoft-azure-to-enable-compliance/
#azure
Free e-book discussing how to manage compliance, privacy, and security when migrating Windows Server workloads to Azure.
https://azure.microsoft.com/en-us/resources/moving-windows-server-to-microsoft-azure-to-enable-compliance/
#azure
⚪️ Preventing lateral movement in Google Compute Engine
To implement a defense in depth approach for Compute Engine there are a few things you should do, like isolate your production resources from the internet, disable the use of default service accounts, limit access to service account credentials, use OS Login to manage access to VMs, apply the principle of least-privilege, and collect logs and monitor your system.
https://cloud.google.com/blog/products/identity-security/preventing-lateral-movement-in-google-compute-engine
#gcp
To implement a defense in depth approach for Compute Engine there are a few things you should do, like isolate your production resources from the internet, disable the use of default service accounts, limit access to service account credentials, use OS Login to manage access to VMs, apply the principle of least-privilege, and collect logs and monitor your system.
https://cloud.google.com/blog/products/identity-security/preventing-lateral-movement-in-google-compute-engine
#gcp
Google Cloud Blog
Compute Engine: Prevent compromises and better defend against lateral movement | Google Cloud Blog
Best practices, including concrete “dos and don’ts,” that can help you prevent security misconfigurations on Google Compute Engine.
🔸Secure your AWS ECS Microservices with Consul Service Mesh
Blog looking at a Consul service mesh pattern for applications in ECS. This example is running on EC2 instances under an ECS managed cluster, but could be easily modified to run Fargate workloads as well.
https://medium.com/hashicorp-engineering/secure-your-aws-ecs-microservices-with-consul-service-mesh-23df69949754
#aws
Blog looking at a Consul service mesh pattern for applications in ECS. This example is running on EC2 instances under an ECS managed cluster, but could be easily modified to run Fargate workloads as well.
https://medium.com/hashicorp-engineering/secure-your-aws-ecs-microservices-with-consul-service-mesh-23df69949754
#aws