Traceeshark: новый open source от Aqua Security

Всем привет!

Недавно коллекция open source утилит, разрабатываемых и поддерживаемых Aqua Security добавилась еще одна – Traceeshark!

Она представляет из себя некий посредник между Tracee и Wireshark: берем результаты работы первой утилиты в *.json, направляем во вторую и анализируем в «привычном интерфейсе».

После установки Traceeshark в Wireshark появятся 4 дополнительных плагина:
🍭 Tracee logs reader. Поддержка результатов работы Tracee в формате *.json
🍭 Tracee logs analyzer. Возможность работы с Tracee logs – фильтрация, агрегация данных
🍭 Tracee packet reader. Анализ сетевых пакетов, «записанных» Tracee
🍭 Live capture. Запись событий, генерируемых Tracee, «в прямом эфире»

Подробнее о том, как это работает можно прочесть в статье и, конечно же, в repo самого проекта.

Six Pillars of DevSecOps

Всем привет!

В приложении доступен обзор целой серии материалов от Cloud Security Alliance (CSA), посвященных DevSecOps.

Согласно мнению CSA есть 6 «столпов» DevSecOps:
🍭 Collective Responsibility. Изменение mindset, упрощение взаимодействия команд, евангелизм и т.д.
🍭 Collaboration and Integration. Взаимная помощь, обучение и понимание сторонами своих «соседей»
🍭 Pragmatic Implementation. Выбор оптимального и адаптивного набора решений для автоматизации процессов безопасной разработки (в противовес one size fits all подходу)
🍭 Bridging Compliance and Development. Хотим мы того или нет, но регуляторные требования существуют и их надо выполнять. В том числе при разработке безопасного ПО
🍭 Automation. Автоматизация проверок безопасности при разработке ПО
🍭 Measure, Monitor, Report and Action. Метрики, метрики, метрики и улучшайзинг

В самом обзоре нет детализации по тому, как и что можно делать для реализации описанных выше «столпов».

Однако, есть и хорошие новости! Для каждого «столпа» есть свой собственный документ 😊 Их мы направим в следующем посте.

Приятного вам чтения и изучения!

А вот эти самые документы ☺️

Шутки про голландский штурвал в сторону!

Всем привет!

У коллег из "Лаборатории числитель" на этой неделе вышла в свет новая версия платформы «Штурвал» 2.7.0.

Среди интересных новинок для себя подметили:
🍭 Управление группами узлов в рамках кластера (мастер-ноды, воркер-ноды, инфраструктурные ноды, ingress-ноды)
🍭 Обновленная RBАС модель с возможностью создания кастомных ролей
🍭 Поиск пользователей по службе каталогов при назначении прав доступа
🍭 Авторизация в клиентском кластере из интерфейса командной строки
🍭 Управление seccomp-профилями в нагрузках и на узлах
🍭 Поддержка РЕД ОС 8

Подробности о релизе: https://docs.shturval.tech/2.7/docs/releases/release2_7_0/

Запишитесь на демо новой версии или возьмите платформу на тест здесь 😎

Как реализовать мониторинг containerd?

Всем привет!

Сегодня хотим поделиться с вами статьей, название которой немного обманчиво, но содержание – крайне интересно!

Не поймите неправильно: информация про то как можно реализовать мониторинг containerd есть, но перед этим есть кое-что очень интересное! 😊

А именно:
🍭 Что такое containerd и зачем он нужен
🍭 Архитектура containerd с описанием некоторых значимых plugins (кстати, там еще можно посмотреть, как запустить контейнер через runc)
🍭 Схемы взаимодействия plugins между собой
🍭 Взаимодействие kubelet и containerd. Наверное, вы встречали в логах kublet нечто вроде RunPodSandbox() , PullImage(), StartContainer() и т.д.
🍭 И только после этого – информация о том, как мониторить containerd

Таким образом, статья позволит лучше погрузиться в то, что на самом деле (ну почти) запускает контейнеры, как оно устроено 😊

P.S. А еще там есть наглядная схема процесса взаимодействия kubelet - containerd при создании контейнера!

Использование DevTools для идентификации Leaked Credentials

Всем привет!

Иногда кажется, что для анализа ПО и поиска, например, секретов необходимы специализированные инструменты, без которых «ну вообще никак»!

Да, они упрощают (хотя иногда с точностью до наоборот) жизнь, но! Иногда можно обойтись тем, что «есть под рукой». Например, DevTools.

В repo есть небольшая инструкция, которая показывает, как можно искать Leaked Credentials с использованием DevTools и Burp.

Все просто:
🍭 Открыть DevTools, выбрать вкладку «Network»
🍭 Включить поиск по RegEx
🍭 Обновить страницу
🍭 Применить регулярное выражение (есть в repo). Voila!

Да, далеко не панацея, но не требует практически ни-че-го 😊 И это далеко не все сценарии использования DevTools для анализа безопасности web-приложений. Но об этом мы расскажем чуть позже!

RUN, CMD и ENTRYPOINT: в чем разница?

Всем привет!

При работе с образами контейнеров (сборка, запуск) вы с очень большой вероятностью встретите 3 инструкции – RUN, CMD и ENTRYPOINT. На первый взгляд, они достаточно похожи, но разница есть.

В статье Автор лаконично объясняет в чем эта разница состоит:
🍭 RUN. Выполняется во время сборки, создает новый слой контейнера
🍭 CMD. «Команда по умолчанию» при запуске контейнера. Может быть переопределена docker run -it smth
🍭 ENTRYPOINT. «Запускаемый по умолчанию исполняемый файл». Да, тоже может быть переопределен, но чуть иначе

Более полное описание можно найти в статье. Помимо этого, в ней есть интересные особенности работы с исполняемыми файлами и их аргументами – Shell и Exec формы.

И да! Разница между echo TEST (Shell-форма) и [“echo”, “TEST”] (Exec-форма) есть 😊 И связана она с PID №1. А как именно – рекомендуем прочесть в статье, весьма интересно!

А еще в статье есть схемы, примеры и «тестирование», которое подсвечивает возможные нюансы и особенности работы RUN, CMD и ENTRYPOINT.

GuardDog: версия 2.0!

Всем привет!

Недавно вышло обновление GuardDog – GuardDog: 2.0! Если просто, то это анализатор, который позволяет идентифицировать вредоносные пакеты (PyPi и npm) за счет анализа исходного кода и метаданных о пакете.

В версии 2.0 добавили следующий функционал:
🍭 Поддержка YARA-правил
🍭 Поддержка custom Semgrep-правил
🍭 «Базовая» поддержка экосистемы Golang

В статье можно ознакомиться с примерами использования YARA и custom Semgrep-правил и узнать больше про нововведения, описанные выше.

P.S. Если хочется узнать больше про GuardDog, то можно ознакомиться с вот этими постами, которые мы писали ранее: раз и два 😊

Seccomp: Deep Dive!

Всем привет!

"Все уже придумано, зачем еще что-то придумывать!" Наверное, в этой фразе есть смысл, но если следовать ей дословно, то какой-либо прогресс был бы невозможен 😊

Однако, доля истины в ней есть и Linux предоставляет множество ИБ-функций «из коробки».

Одной из таких функций является Seccomp. Если просто – то это «нечто», что позволяет ограничивать или логировать системные вызовы, совершаемые процессом. Это дает контроль и может быть использовано для целей безопасности.

Нюанс заключается в том, что его «всего лишь надо настроить» и это не очень просто.

Чтобы лучше разобраться с тем, что такое Seccomp, как он работает и как им пользоваться предлагаем вам прочесть статью от команды Armo!
В ней Авторы рассказывают про:
🍭 Ключевые идеи и принципы, стоящие за Seccomp
🍭 Как использовать Seccomp
🍭 Что при этом происходит «под капотом» и как это связано с ядром Linux

Все это сопровождается отличными комментариями и примерами исходного кода на C.

Во второй части Авторы собираются раскрыть тему использования Seccomp применительно к контейнерным окружениям. Будем держать вас в курсе! 😊

CyberCamp 2024: 3-5 Октября, online!

Всем привет!

Открылась регистрация на CyberCamp 2024, который пройдет 3-5 октября. CyberCamp – это бесплатное онлайн мероприятие, посвященное информационной безопасности.

Доклады, теория, практика, мерч, мерч, мерч, мерч, мерч (а зачем еще нужны конференции? 😊)!!!

Можно участвовать как Хан! В Соло! Или собрать команду из 5-и человек и попробовать себя в интерактивных киберучениях!

Но! Не это главное! В этом году будет сразу несколько докладов, посвященных нашей любимой тематике – безопасной разработке и всему, что с ней связано!

Если вы не против, чтобы мы делали отдельные посты, посвященные спикерам и их докладам – ставьте 🔥. В противном случае – ставьте 🙈!!!

Все в ваших руках 😊 «Голосуем» сегодня до конца дня.

P.S. А еще у CyberCamp есть свой канал ) Никакой рекламы и spam, только информация о мероприятии )

eBPF в Kubernetes: из огня не в полымя

Всем привет!

Ну что же! Огонь победил обезьянок (как бы это странно не звучало)! И мы начинаем знакомить вас со спикерами CyberCamp 2024!

Открывает череду постов Алексей Рыбалко – специалист по защите контейнерных сред из Лаборатории Касперского!

«Безопасность сетевых потоков требует особенного подхода к их фильтрации: один пропущенный зловред, и корпоративная сеть может «сгореть» быстрее, чем потухнет одна спичка.

В своем докладе я расскажу, как в фильтрации потоков может помочь технология eBPF в связке с K8s, какие у нее есть нюансы: обработка мультисессий, непростые тонкости внедрения программы и другие особенности, которые при неосторожности могут превратить интеграцию фичи в настоящий пожар.

Материал будет интересен тем, кто хочет знать, как обуздать сетевую фильтрацию в K8s в самых «жарких» ситуациях и тем, кто хочет этому научиться» - описание доклада непосредственно от Алексея 😊

На наш взгляд доклад Алексея можно сравнить с фильмами Тарантино. Да, мест действия не так уж и много, но диалоги, суть, «напряжение», юмор и стиль… Все на месте! Рекомендуем к ознакомлению!

Kubernetes CNI: benchmarking, 2024!

Всем привет!

Нет, спикеры CyberCamp 2024 не кончились, просто мы решили представлять их «постепенно» 😊

Сегодня рекомендуем обратить внимание на статью. В ней содержатся результаты сравнительного тестирования производительности известных CNI Kubernetes. Кстати, это не первый такой тест: были еще в 2018, 2019 и 2020 годах.

Из 33 CNI в тестирование попало всего лишь 7: Antrea, Calico, Canal, Cilium, Kube-OVN, Kube-router и Flannel. Критерии, на основании которой осуществлялась выборка, приведены в статье, а результаты представлены в Google-таблице.

После создания лабораторного окружения (включавшего в себя как bare-metal серверы) CNI подвергли целому ряду испытаний:
🍭 Direct pod-to-pod TCP/UDP bandwidth with a Single stream
🍭 Direct pod-to-pod TCP/UDP bandwidth with Multiple streams
🍭 Pod to Service TCP/UDP bandwidth with a Single stream
🍭 Pod to Service UDP/UDP bandwidth with Multiple streams

И кто же победил? 😊 Ответ на это, включая много-много-много графиков и данных можно найти в статье.

Помимо этого, в ней приводятся рекомендации от Автора для «Low-Resource Clusters», «Standard Clusters» и «Fine-Tuned Clusters» о том, какой CNI лучше всего подойдет.

Безопасная разработка Telegram-ботов: минимизация рисков ИБ

Всем привет!

Второй доклад CyberCamp 2024 по безопасной разработке будет от Александра Терехова, менеджера по автоматизации процессов, Инфосистемы Джет.

Александр расскажет про безопасность Telegram-ботов: «В докладе я расскажу о ключевых аспектах безопасной разработки Telegram-ботов, рассмотрев, как защитить их от различных угроз и рисков.

Мы начнем с анализа основных угроз безопасности Telegram, выявив наиболее распространенные типы атак и уязвимости, которым подвержены боты. Затем перейдем к изучению уязвимостей Telegram-ботов и способов их эксплуатации, включая социальную инженерию, атаки "человек посередине" и другие методы.

Особое внимание уделим мерам по обеспечению безопасности Telegram-ботов, рассмотрев, как защитить их от несанкционированного доступа, атак и утечки данных.

В докладе также будут затронуты законодательные и этические аспекты безопасности Telegram-ботов, обсудив правовые рамки, ограничения и требования к обработке персональных данных, а также вопросы этической ответственности разработчиков.

В завершение я представлю практические рекомендации по повышению безопасности Telegram-ботов, чтобы разработчики могли реализовать лучшие практики и минимизировать риски в своей работе»

Если сравнивать доклад Александра с направлением кинематографии, то это точно будет нечто научное 😊 «Локальная тема», много деталей и практических рекомендаций, к которым можно и нужно прислушаться 😊

Набор статей про CI/CD Security

Всем привет!

Безопасность CI/CD тема важная, нужная и очень интересная! Поэтому предлагаем вам сегодня несколько статей на эту тему.

Первая и вторая посвящены Direct и Indirect Poisoned Pipeline Execution (PPE и I-PPE соответственно). Если просто, то это тип атак, при котором злоумышленник *каким-то образом* может влиять на конфигурационный файл конвейера сборки.

Третья же рассматривает Artifact Poisoning и Code Injection. Возможность влияния на логику конвейера путем манипуляции с артефактами, которыми он оперирует.

Статьи содержат информацию:
🍭 Пояснение «логики работы» и способы эксплуатации указанных недостатков
🍭 Рекомендации по их предотвращению

Особенно хорошо расписаны способы эксплуатации – они наглядны и позволяют лучше понять происходящее. Для всего есть схемы, пояснения и комментарии Авторов.