Шутки про голландский штурвал в сторону!
Всем привет!
У коллег из "Лаборатории числитель" на этой неделе вышла в свет новая версия платформы «Штурвал» 2.7.0.
Среди интересных новинок для себя подметили:
🍭 Управление группами узлов в рамках кластера (мастер-ноды, воркер-ноды, инфраструктурные ноды, ingress-ноды)
🍭 Обновленная RBАС модель с возможностью создания кастомных ролей
🍭 Поиск пользователей по службе каталогов при назначении прав доступа
🍭 Авторизация в клиентском кластере из интерфейса командной строки
🍭 Управление seccomp-профилями в нагрузках и на узлах
🍭 Поддержка РЕД ОС 8
Подробности о релизе: https://docs.shturval.tech/2.7/docs/releases/release2_7_0/
Запишитесь на демо новой версии или возьмите платформу на тест здесь 😎
Всем привет!
У коллег из "Лаборатории числитель" на этой неделе вышла в свет новая версия платформы «Штурвал» 2.7.0.
Среди интересных новинок для себя подметили:
🍭 Управление группами узлов в рамках кластера (мастер-ноды, воркер-ноды, инфраструктурные ноды, ingress-ноды)
🍭 Обновленная RBАС модель с возможностью создания кастомных ролей
🍭 Поиск пользователей по службе каталогов при назначении прав доступа
🍭 Авторизация в клиентском кластере из интерфейса командной строки
🍭 Управление seccomp-профилями в нагрузках и на узлах
🍭 Поддержка РЕД ОС 8
Подробности о релизе: https://docs.shturval.tech/2.7/docs/releases/release2_7_0/
Запишитесь на демо новой версии или возьмите платформу на тест здесь 😎
😁8👍6❤🔥3❤3🔥3🥰1💩1
Как реализовать мониторинг containerd?
Всем привет!
Сегодня хотим поделиться с вами статьей, название которой немного обманчиво, но содержание – крайне интересно!
Не поймите неправильно: информация про то как можно реализовать мониторинг
А именно:
🍭 Что такое containerd и зачем он нужен
🍭 Архитектура containerd с описанием некоторых значимых plugins (кстати, там еще можно посмотреть, как запустить контейнер через
🍭 Схемы взаимодействия plugins между собой
🍭 Взаимодействие
🍭 И только после этого – информация о том, как мониторить
Таким образом, статья позволит лучше погрузиться в то, что на самом деле(ну почти) запускает контейнеры, как оно устроено 😊
P.S. А еще там есть наглядная схема процесса взаимодействия
Всем привет!
Сегодня хотим поделиться с вами статьей, название которой немного обманчиво, но содержание – крайне интересно!
Не поймите неправильно: информация про то как можно реализовать мониторинг
containerd есть, но перед этим есть кое-что очень интересное! 😊А именно:
🍭 Что такое containerd и зачем он нужен
🍭 Архитектура containerd с описанием некоторых значимых plugins (кстати, там еще можно посмотреть, как запустить контейнер через
runc)🍭 Схемы взаимодействия plugins между собой
🍭 Взаимодействие
kubelet и containerd. Наверное, вы встречали в логах kublet нечто вроде RunPodSandbox() , PullImage(), StartContainer() и т.д.🍭 И только после этого – информация о том, как мониторить
containerdТаким образом, статья позволит лучше погрузиться в то, что на самом деле
P.S. А еще там есть наглядная схема процесса взаимодействия
kubelet - containerd при создании контейнера!Povilas Versockas
How to monitor Containerd - Povilas Versockas
How to monitor containerd with Prometheus. This article focuses on containerd architecture and monitoring key signals.
👍5
Использование DevTools для идентификации Leaked Credentials
Всем привет!
Иногда кажется, что для анализа ПО и поиска, например, секретов необходимы специализированные инструменты, без которых «ну вообще никак»!
Да, они упрощают(хотя иногда с точностью до наоборот) жизнь, но! Иногда можно обойтись тем, что «есть под рукой». Например, DevTools.
В repo есть небольшая инструкция, которая показывает, как можно искать Leaked Credentials с использованием DevTools и Burp.
Все просто:
🍭 Открыть DevTools, выбрать вкладку «Network»
🍭 Включить поиск по RegEx
🍭 Обновить страницу
🍭 Применить регулярное выражение (есть в repo). Voila!
Да, далеко не панацея, но не требует практически ни-че-го 😊 И это далеко не все сценарии использования DevTools для анализа безопасности web-приложений. Но об этом мы расскажем чуть позже!
Всем привет!
Иногда кажется, что для анализа ПО и поиска, например, секретов необходимы специализированные инструменты, без которых «ну вообще никак»!
Да, они упрощают
В repo есть небольшая инструкция, которая показывает, как можно искать Leaked Credentials с использованием DevTools и Burp.
Все просто:
🍭 Открыть DevTools, выбрать вкладку «Network»
🍭 Включить поиск по RegEx
🍭 Обновить страницу
🍭 Применить регулярное выражение (есть в repo). Voila!
Да, далеко не панацея, но не требует практически ни-че-го 😊 И это далеко не все сценарии использования DevTools для анализа безопасности web-приложений. Но об этом мы расскажем чуть позже!
GitHub
GitHub - h4x0r-dz/Leaked-Credentials: how to look for Leaked Credentials !
how to look for Leaked Credentials ! Contribute to h4x0r-dz/Leaked-Credentials development by creating an account on GitHub.
👍4
RUN, CMD и ENTRYPOINT: в чем разница?
Всем привет!
При работе с образами контейнеров (сборка, запуск) вы с очень большой вероятностью встретите 3 инструкции –
В статье Автор лаконично объясняет в чем эта разница состоит:
🍭
🍭
🍭
Более полное описание можно найти в статье. Помимо этого, в ней есть интересные особенности работы с исполняемыми файлами и их аргументами – Shell и Exec формы.
И да! Разница между
А еще в статье есть схемы, примеры и «тестирование», которое подсвечивает возможные нюансы и особенности работы
Всем привет!
При работе с образами контейнеров (сборка, запуск) вы с очень большой вероятностью встретите 3 инструкции –
RUN, CMD и ENTRYPOINT. На первый взгляд, они достаточно похожи, но разница есть.В статье Автор лаконично объясняет в чем эта разница состоит:
🍭
RUN. Выполняется во время сборки, создает новый слой контейнера🍭
CMD. «Команда по умолчанию» при запуске контейнера. Может быть переопределена docker run -it smth🍭
ENTRYPOINT. «Запускаемый по умолчанию исполняемый файл». Да, тоже может быть переопределен, но чуть иначеБолее полное описание можно найти в статье. Помимо этого, в ней есть интересные особенности работы с исполняемыми файлами и их аргументами – Shell и Exec формы.
И да! Разница между
echo TEST (Shell-форма) и [“echo”, “TEST”] (Exec-форма) есть 😊 И связана она с PID №1. А как именно – рекомендуем прочесть в статье, весьма интересно!А еще в статье есть схемы, примеры и «тестирование», которое подсвечивает возможные нюансы и особенности работы
RUN, CMD и ENTRYPOINT.Docker
Docker Best Practices: Choosing Between RUN, CMD, and ENTRYPOINT | Docker
Learn how to optimize Docker command use with our best practices guide on RUN, CMD, and ENTRYPOINT Dockerfile instructions.
❤4🔥2👍1
GuardDog: версия 2.0!
Всем привет!
Недавно вышло обновление GuardDog – GuardDog: 2.0! Если просто, то это анализатор, который позволяет идентифицировать вредоносные пакеты (PyPi и npm) за счет анализа исходного кода и метаданных о пакете.
В версии 2.0 добавили следующий функционал:
🍭 Поддержка YARA-правил
🍭 Поддержка custom Semgrep-правил
🍭 «Базовая» поддержка экосистемы Golang
В статье можно ознакомиться с примерами использования YARA и custom Semgrep-правил и узнать больше про нововведения, описанные выше.
P.S. Если хочется узнать больше про GuardDog, то можно ознакомиться с вот этими постами, которые мы писали ранее: раз и два 😊
Всем привет!
Недавно вышло обновление GuardDog – GuardDog: 2.0! Если просто, то это анализатор, который позволяет идентифицировать вредоносные пакеты (PyPi и npm) за счет анализа исходного кода и метаданных о пакете.
В версии 2.0 добавили следующий функционал:
🍭 Поддержка YARA-правил
🍭 Поддержка custom Semgrep-правил
🍭 «Базовая» поддержка экосистемы Golang
В статье можно ознакомиться с примерами использования YARA и custom Semgrep-правил и узнать больше про нововведения, описанные выше.
P.S. Если хочется узнать больше про GuardDog, то можно ознакомиться с вот этими постами, которые мы писали ранее: раз и два 😊
Datadoghq
Introducing GuardDog 2.0: YARA scanning, user-supplied rules, and Golang support
Release of GuardDog 2.0, an open-source tool to identify malicious packages through source code and metadata analysis
Seccomp: Deep Dive!
Всем привет!
"Все уже придумано, зачем еще что-то придумывать!" Наверное, в этой фразе есть смысл, но если следовать ей дословно, то какой-либо прогресс был бы невозможен 😊
Однако, доля истины в ней есть и Linux предоставляет множество ИБ-функций «из коробки».
Одной из таких функций является Seccomp. Если просто – то это «нечто», что позволяет ограничивать или логировать системные вызовы, совершаемые процессом. Это дает контроль и может быть использовано для целей безопасности.
Нюанс заключается в том, что его «всего лишь надо настроить» и это не очень просто.
Чтобы лучше разобраться с тем, что такое Seccomp, как он работает и как им пользоваться предлагаем вам прочесть статью от команды Armo!
В ней Авторы рассказывают про:
🍭 Ключевые идеи и принципы, стоящие за Seccomp
🍭 Как использовать Seccomp
🍭 Что при этом происходит «под капотом» и как это связано с ядром Linux
Все это сопровождается отличными комментариями и примерами исходного кода на C.
Во второй части Авторы собираются раскрыть тему использования Seccomp применительно к контейнерным окружениям. Будем держать вас в курсе! 😊
Всем привет!
"Все уже придумано, зачем еще что-то придумывать!" Наверное, в этой фразе есть смысл, но если следовать ей дословно, то какой-либо прогресс был бы невозможен 😊
Однако, доля истины в ней есть и Linux предоставляет множество ИБ-функций «из коробки».
Одной из таких функций является Seccomp. Если просто – то это «нечто», что позволяет ограничивать или логировать системные вызовы, совершаемые процессом. Это дает контроль и может быть использовано для целей безопасности.
Нюанс заключается в том, что его «всего лишь надо настроить» и это не очень просто.
Чтобы лучше разобраться с тем, что такое Seccomp, как он работает и как им пользоваться предлагаем вам прочесть статью от команды Armo!
В ней Авторы рассказывают про:
🍭 Ключевые идеи и принципы, стоящие за Seccomp
🍭 Как использовать Seccomp
🍭 Что при этом происходит «под капотом» и как это связано с ядром Linux
Все это сопровождается отличными комментариями и примерами исходного кода на C.
Во второй части Авторы собираются раскрыть тему использования Seccomp применительно к контейнерным окружениям. Будем держать вас в курсе! 😊
ARMO
Seccomp: Enhance Security for Linux Applications
In this blog, we will explore the internals of seccomp, including its architecture, key concepts, and practical applications
👍4
CyberCamp 2024: 3-5 Октября, online!
Всем привет!
Открылась регистрация на CyberCamp 2024, который пройдет 3-5 октября. CyberCamp – это бесплатное онлайн мероприятие, посвященное информационной безопасности.
Доклады, теория, практика, мерч, мерч, мерч, мерч, мерч(а зачем еще нужны конференции? 😊) !!!
Можно участвовать как Хан! В Соло! Или собрать команду из 5-и человек и попробовать себя в интерактивных киберучениях!
Но! Не это главное! В этом году будет сразу несколько докладов, посвященных нашей любимой тематике – безопасной разработке и всему, что с ней связано!
Если вы не против, чтобы мы делали отдельные посты, посвященные спикерам и их докладам – ставьте 🔥. В противном случае – ставьте 🙈!!!
Все в ваших руках 😊 «Голосуем» сегодня до конца дня.
P.S. А еще у CyberCamp есть свой канал ) Никакой рекламы и spam, только информация о мероприятии )
Всем привет!
Открылась регистрация на CyberCamp 2024, который пройдет 3-5 октября. CyberCamp – это бесплатное онлайн мероприятие, посвященное информационной безопасности.
Доклады, теория, практика, мерч, мерч, мерч, мерч, мерч
Можно участвовать как Хан! В Соло! Или собрать команду из 5-и человек и попробовать себя в интерактивных киберучениях!
Но! Не это главное! В этом году будет сразу несколько докладов, посвященных нашей любимой тематике – безопасной разработке и всему, что с ней связано!
Если вы не против, чтобы мы делали отдельные посты, посвященные спикерам и их докладам – ставьте 🔥. В противном случае – ставьте 🙈!!!
Все в ваших руках 😊 «Голосуем» сегодня до конца дня.
P.S. А еще у CyberCamp есть свой канал ) Никакой рекламы и spam, только информация о мероприятии )
🔥30❤3👍3🐳2
eBPF в Kubernetes: из огня не в полымя
Всем привет!
Ну что же! Огонь победил обезьянок (как бы это странно не звучало) ! И мы начинаем знакомить вас со спикерами CyberCamp 2024!
Открывает череду постов Алексей Рыбалко – специалист по защите контейнерных сред из Лаборатории Касперского!
«Безопасность сетевых потоков требует особенного подхода к их фильтрации: один пропущенный зловред, и корпоративная сеть может «сгореть» быстрее, чем потухнет одна спичка.
В своем докладе я расскажу, как в фильтрации потоков может помочь технология eBPF в связке с K8s, какие у нее есть нюансы: обработка мультисессий, непростые тонкости внедрения программы и другие особенности, которые при неосторожности могут превратить интеграцию фичи в настоящий пожар.
Материал будет интересен тем, кто хочет знать, как обуздать сетевую фильтрацию в K8s в самых «жарких» ситуациях и тем, кто хочет этому научиться» - описание доклада непосредственно от Алексея 😊
На наш взгляд доклад Алексея можно сравнить с фильмами Тарантино. Да, мест действия не так уж и много, но диалоги, суть, «напряжение», юмор и стиль… Все на месте! Рекомендуем к ознакомлению!
Всем привет!
Ну что же! Огонь победил обезьянок
Открывает череду постов Алексей Рыбалко – специалист по защите контейнерных сред из Лаборатории Касперского!
«Безопасность сетевых потоков требует особенного подхода к их фильтрации: один пропущенный зловред, и корпоративная сеть может «сгореть» быстрее, чем потухнет одна спичка.
В своем докладе я расскажу, как в фильтрации потоков может помочь технология eBPF в связке с K8s, какие у нее есть нюансы: обработка мультисессий, непростые тонкости внедрения программы и другие особенности, которые при неосторожности могут превратить интеграцию фичи в настоящий пожар.
Материал будет интересен тем, кто хочет знать, как обуздать сетевую фильтрацию в K8s в самых «жарких» ситуациях и тем, кто хочет этому научиться» - описание доклада непосредственно от Алексея 😊
На наш взгляд доклад Алексея можно сравнить с фильмами Тарантино. Да, мест действия не так уж и много, но диалоги, суть, «напряжение», юмор и стиль… Все на месте! Рекомендуем к ознакомлению!
🔥12❤4👍3🥰3🐳1
Kubernetes CNI: benchmarking, 2024!
Всем привет!
Нет, спикеры CyberCamp 2024 не кончились, просто мы решили представлять их «постепенно» 😊
Сегодня рекомендуем обратить внимание на статью. В ней содержатся результаты сравнительного тестирования производительности известных CNI Kubernetes. Кстати, это не первый такой тест: были еще в 2018, 2019 и 2020 годах.
Из 33 CNI в тестирование попало всего лишь 7: Antrea, Calico, Canal, Cilium, Kube-OVN, Kube-router и Flannel. Критерии, на основании которой осуществлялась выборка, приведены в статье, а результаты представлены в Google-таблице.
После создания лабораторного окружения (включавшего в себя как bare-metal серверы) CNI подвергли целому ряду испытаний:
🍭 Direct pod-to-pod TCP/UDP bandwidth with a Single stream
🍭 Direct pod-to-pod TCP/UDP bandwidth with Multiple streams
🍭 Pod to Service TCP/UDP bandwidth with a Single stream
🍭 Pod to Service UDP/UDP bandwidth with Multiple streams
И кто же победил? 😊 Ответ на это, включая много-много-много графиков и данных можно найти в статье.
Помимо этого, в ней приводятся рекомендации от Автора для «Low-Resource Clusters», «Standard Clusters» и «Fine-Tuned Clusters» о том, какой CNI лучше всего подойдет.
Всем привет!
Нет, спикеры CyberCamp 2024 не кончились, просто мы решили представлять их «постепенно» 😊
Сегодня рекомендуем обратить внимание на статью. В ней содержатся результаты сравнительного тестирования производительности известных CNI Kubernetes. Кстати, это не первый такой тест: были еще в 2018, 2019 и 2020 годах.
Из 33 CNI в тестирование попало всего лишь 7: Antrea, Calico, Canal, Cilium, Kube-OVN, Kube-router и Flannel. Критерии, на основании которой осуществлялась выборка, приведены в статье, а результаты представлены в Google-таблице.
После создания лабораторного окружения (включавшего в себя как bare-metal серверы) CNI подвергли целому ряду испытаний:
🍭 Direct pod-to-pod TCP/UDP bandwidth with a Single stream
🍭 Direct pod-to-pod TCP/UDP bandwidth with Multiple streams
🍭 Pod to Service TCP/UDP bandwidth with a Single stream
🍭 Pod to Service UDP/UDP bandwidth with Multiple streams
И кто же победил? 😊 Ответ на это, включая много-много-много графиков и данных можно найти в статье.
Помимо этого, в ней приводятся рекомендации от Автора для «Low-Resource Clusters», «Standard Clusters» и «Fine-Tuned Clusters» о том, какой CNI лучше всего подойдет.
Medium
Benchmark results of Kubernetes network plugins (CNI) over 40Gbit/s network [2024]
This article is a new run of my previous benchmark (2020, 2019 and 2018), now running Kubernetes 1.26 and Ubuntu 22.04 with CNI version…
👍3🔥1
Безопасная разработка Telegram-ботов: минимизация рисков ИБ
Всем привет!
Второй доклад CyberCamp 2024 по безопасной разработке будет от Александра Терехова, менеджера по автоматизации процессов, Инфосистемы Джет.
Александр расскажет про безопасность Telegram-ботов: «В докладе я расскажу о ключевых аспектах безопасной разработки Telegram-ботов, рассмотрев, как защитить их от различных угроз и рисков.
Мы начнем с анализа основных угроз безопасности Telegram, выявив наиболее распространенные типы атак и уязвимости, которым подвержены боты. Затем перейдем к изучению уязвимостей Telegram-ботов и способов их эксплуатации, включая социальную инженерию, атаки "человек посередине" и другие методы.
Особое внимание уделим мерам по обеспечению безопасности Telegram-ботов, рассмотрев, как защитить их от несанкционированного доступа, атак и утечки данных.
В докладе также будут затронуты законодательные и этические аспекты безопасности Telegram-ботов, обсудив правовые рамки, ограничения и требования к обработке персональных данных, а также вопросы этической ответственности разработчиков.
В завершение я представлю практические рекомендации по повышению безопасности Telegram-ботов, чтобы разработчики могли реализовать лучшие практики и минимизировать риски в своей работе»
Если сравнивать доклад Александра с направлением кинематографии, то это точно будет нечто научное 😊 «Локальная тема», много деталей и практических рекомендаций, к которым можно и нужно прислушаться 😊
Всем привет!
Второй доклад CyberCamp 2024 по безопасной разработке будет от Александра Терехова, менеджера по автоматизации процессов, Инфосистемы Джет.
Александр расскажет про безопасность Telegram-ботов: «В докладе я расскажу о ключевых аспектах безопасной разработки Telegram-ботов, рассмотрев, как защитить их от различных угроз и рисков.
Мы начнем с анализа основных угроз безопасности Telegram, выявив наиболее распространенные типы атак и уязвимости, которым подвержены боты. Затем перейдем к изучению уязвимостей Telegram-ботов и способов их эксплуатации, включая социальную инженерию, атаки "человек посередине" и другие методы.
Особое внимание уделим мерам по обеспечению безопасности Telegram-ботов, рассмотрев, как защитить их от несанкционированного доступа, атак и утечки данных.
В докладе также будут затронуты законодательные и этические аспекты безопасности Telegram-ботов, обсудив правовые рамки, ограничения и требования к обработке персональных данных, а также вопросы этической ответственности разработчиков.
В завершение я представлю практические рекомендации по повышению безопасности Telegram-ботов, чтобы разработчики могли реализовать лучшие практики и минимизировать риски в своей работе»
Если сравнивать доклад Александра с направлением кинематографии, то это точно будет нечто научное 😊 «Локальная тема», много деталей и практических рекомендаций, к которым можно и нужно прислушаться 😊
❤9🔥7🥰5👍4
Набор статей про CI/CD Security
Всем привет!
Безопасность CI/CD тема важная, нужная и очень интересная! Поэтому предлагаем вам сегодня несколько статей на эту тему.
Первая и вторая посвящены Direct и Indirect Poisoned Pipeline Execution (PPE и I-PPE соответственно). Если просто, то это тип атак, при котором злоумышленник *каким-то образом* может влиять на конфигурационный файл конвейера сборки.
Третья же рассматривает Artifact Poisoning и Code Injection. Возможность влияния на логику конвейера путем манипуляции с артефактами, которыми он оперирует.
Статьи содержат информацию:
🍭 Пояснение «логики работы» и способы эксплуатации указанных недостатков
🍭 Рекомендации по их предотвращению
Особенно хорошо расписаны способы эксплуатации – они наглядны и позволяют лучше понять происходящее. Для всего есть схемы, пояснения и комментарии Авторов.
Всем привет!
Безопасность CI/CD тема важная, нужная и очень интересная! Поэтому предлагаем вам сегодня несколько статей на эту тему.
Первая и вторая посвящены Direct и Indirect Poisoned Pipeline Execution (PPE и I-PPE соответственно). Если просто, то это тип атак, при котором злоумышленник *каким-то образом* может влиять на конфигурационный файл конвейера сборки.
Третья же рассматривает Artifact Poisoning и Code Injection. Возможность влияния на логику конвейера путем манипуляции с артефактами, которыми он оперирует.
Статьи содержат информацию:
🍭 Пояснение «логики работы» и способы эксплуатации указанных недостатков
🍭 Рекомендации по их предотвращению
Особенно хорошо расписаны способы эксплуатации – они наглядны и позволяют лучше понять происходящее. Для всего есть схемы, пояснения и комментарии Авторов.
Xygeni | Software Supply Chain Security
A Deep Dive into CI/CD Pipelines Vulnerabilities (I) : Poisoned Pipeline Execution (PPE)
CI/CD become increasingly crucial and its protection them from vulnerabilities (Poisoned Pipeline Execution) becomes more urgent. Learn how!
❤4
AppSecAutomation: как внедрить проверки в жизнь разработчиков и не свести их с ума
Всем привет!
Третье представление спикеров CyberCamp 2024 и два независимых DevSecOps-инженера: Алёна Жилина и Вячеслав Давыдов!
У ребят есть отличный опыт, посвященный автоматизации ИБ-проверок, которым они хотят поделиться с общественностью!
«Скорость выпуска ИТ-продуктов на рынок становится приоритетом, но не стоит забывать о проверках безопасности приложений и их компонентов. Оркестрация AppSec-инструментов дает возможность эффективно и единообразно управлять их выбором, конфигурацией и запуском в конкретных условиях. Использование механизмов Kubernetes позволяет создавать более высокоуровневые интерфейсы для проведения сканирований, упрощая процесс и реализуя «shift-left»-подход.
В рамках этой темы:
🤕 Рассмотрим, что представляет собой приложение в контексте AppSec
🤕 Разберемся с «зоопарком» существующих практик и инструментов
🤕 Расскажем о нашем подходе к оркестрации инструментов SAST, SCA и Secret Scanning в процессе непрерывной сборки или при запуске сканирования on-demand
🤕 Покажем, как упростить работу с инструментами и практиками AppSec с помощью нативных и кастомных ресурсов Kubernetes» - представление доклада от Алёны и Вячеслава!
То, что подготовили ребята, похоже на головокружительные приключения Нэйта Дрейка и доктора Генри Джонса-младшего(дада, Индианой звали его собаку 😊) ! Вас ждет захватывающий, стремительный, интересный и невероятно познавательный доклад! Скучно точно не будет!
Всем привет!
Третье представление спикеров CyberCamp 2024 и два независимых DevSecOps-инженера: Алёна Жилина и Вячеслав Давыдов!
У ребят есть отличный опыт, посвященный автоматизации ИБ-проверок, которым они хотят поделиться с общественностью!
«Скорость выпуска ИТ-продуктов на рынок становится приоритетом, но не стоит забывать о проверках безопасности приложений и их компонентов. Оркестрация AppSec-инструментов дает возможность эффективно и единообразно управлять их выбором, конфигурацией и запуском в конкретных условиях. Использование механизмов Kubernetes позволяет создавать более высокоуровневые интерфейсы для проведения сканирований, упрощая процесс и реализуя «shift-left»-подход.
В рамках этой темы:
То, что подготовили ребята, похоже на головокружительные приключения Нэйта Дрейка и доктора Генри Джонса-младшего
Please open Telegram to view this post
VIEW IN TELEGRAM
❤11👍3🔥3🥰2
State of Exploitation от VulnCheck
Всем привет!
По ссылке можно ознакомиться с аналитической информацией, посвященной exploit’ам для уязвимостей, подготовленной VulnCheck.
Всего команда добавила 390 уязвимостей в базу Known Vulnerability Exploitation (KEV). Не путать с CISA KEV, это немного разные ресурсы.
Top-5 категорий с известными exploit:
🍭 Network Edge Devices (70)
🍭 Content Management Systems (70)
🍭 Open Source Software (56)
🍭 Server Software (35)
🍭 Operating Systems (29)
В статье приведено много статистической информации, отображенной в графическом формате (увы, без абсолютных данных) о том, кто предоставлял больше всего информации, какие именно компоненты содержат уязвимости и сравнение с CISA KEV.
Всем привет!
По ссылке можно ознакомиться с аналитической информацией, посвященной exploit’ам для уязвимостей, подготовленной VulnCheck.
Всего команда добавила 390 уязвимостей в базу Known Vulnerability Exploitation (KEV). Не путать с CISA KEV, это немного разные ресурсы.
Top-5 категорий с известными exploit:
🍭 Network Edge Devices (70)
🍭 Content Management Systems (70)
🍭 Open Source Software (56)
🍭 Server Software (35)
🍭 Operating Systems (29)
В статье приведено много статистической информации, отображенной в графическом формате (увы, без абсолютных данных) о том, кто предоставлял больше всего информации, какие именно компоненты содержат уязвимости и сравнение с CISA KEV.
VulnCheck
VulnCheck - Outpace Adversaries
Vulnerability intelligence that predicts avenues of attack with speed and accuracy.
❤2
Учим разработчиков защите от XSS и проблем с десериализацией
Всем привет!
Продолжает череду анонсов докладов CyberCamp 2024, посвященных безопасной разработке, Алексей Григорьев – специалист по информационной безопасности, StartX.
«Представьте, что в результате пентеста в приложении было обнаружено несколько уязвимостей — десериализация и XSS. Они встречаются довольно часто; мы рассмотрим их на примере конкретного приложения Food App.
Что будет в докладе:
⬆️ Возможные векторы атаки
⬆️ Способы создания изначально защищенных приложений, включая практический тренажер
⬆️ Методология обучения специалистов правилам безопасной разработки» - именно об этом расскажет Алексей!
Предлагаем и вам присоединиться к этому приятному, легкому и интересному road-movie!
Всем привет!
Продолжает череду анонсов докладов CyberCamp 2024, посвященных безопасной разработке, Алексей Григорьев – специалист по информационной безопасности, StartX.
«Представьте, что в результате пентеста в приложении было обнаружено несколько уязвимостей — десериализация и XSS. Они встречаются довольно часто; мы рассмотрим их на примере конкретного приложения Food App.
Что будет в докладе:
Предлагаем и вам присоединиться к этому приятному, легкому и интересному road-movie!
Please open Telegram to view this post
VIEW IN TELEGRAM
❤4🔥3👍2❤🔥1🥰1
Beginner guide по производительной и безопасной настройке Nginx!
Всем привет!
Наверное, мало кто не слышал про Nginx! Он достаточно функционален, может выступать в разных «ролях» (Web Server, Load Balancer, Reverse Proxy и не только). И все эти роли он исполняет весьма и весьма хорошо! Зачастую он используется и для DevSecOps-задач.
У него много конфигурационных параметров, которые по началу могут «сбивать с толку». Если вы искали статью, в которой понятно и доступно агрегирована информация по его настройке, то рекомендуем материал по ссылке (~ 28 минут на чтение).
Автор начинает с истории: как, когда и кем был создан Nginx, рассказывает про варианты его использования.
Дальше, по нарастающей, начинается интересное – установка, первичная конфигурация, варианты настройки различных ролей и… конечно же! Безопасность!
Рассматриваются такие темы, как:
🍭 Настройка SSL/TLS
🍭 Реализация Rate Limiting
🍭 Работа с Security Headers
🍭 Настройка журналирования
Помимо этого, затрагивается много тем, которые могут быть полезны Ops-специалистам: оптимизация работы при высоком трафике, автоматизация настройки Nginx с использованием Ansible и многое другое.
Конкретные команды, комментарии, перечень действий – все это можно найти в статье. Что в ней приятного – так это отлично структурированный материал, в котором нет ничего лишнего. Все по делу!
Всем привет!
Наверное, мало кто не слышал про Nginx! Он достаточно функционален, может выступать в разных «ролях» (Web Server, Load Balancer, Reverse Proxy и не только). И все эти роли он исполняет весьма и весьма хорошо! Зачастую он используется и для DevSecOps-задач.
У него много конфигурационных параметров, которые по началу могут «сбивать с толку». Если вы искали статью, в которой понятно и доступно агрегирована информация по его настройке, то рекомендуем материал по ссылке (~ 28 минут на чтение).
Автор начинает с истории: как, когда и кем был создан Nginx, рассказывает про варианты его использования.
Дальше, по нарастающей, начинается интересное – установка, первичная конфигурация, варианты настройки различных ролей и… конечно же! Безопасность!
Рассматриваются такие темы, как:
🍭 Настройка SSL/TLS
🍭 Реализация Rate Limiting
🍭 Работа с Security Headers
🍭 Настройка журналирования
Помимо этого, затрагивается много тем, которые могут быть полезны Ops-специалистам: оптимизация работы при высоком трафике, автоматизация настройки Nginx с использованием Ansible и многое другое.
Конкретные команды, комментарии, перечень действий – все это можно найти в статье. Что в ней приятного – так это отлично структурированный материал, в котором нет ничего лишнего. Все по делу!
Medium
Mastering NGINX: A Beginner-Friendly Guide to Building a Fast, Secure, and Scalable Web Server
Understanding NGINX: The Swiss Army Knife of Modern Web Servers
❤🔥6👍6❤2🔥1
Анализируем поведение браузерного JavaScript-приложения с помощью Chromium DevTools
Всем привет!
Завершает представление спикеров CyberCamp 2024 Михаил Парфенов, Application Security Architect!
Михаил поделится своим опытом: «JS-приложения, выполняемые в браузерах, содержат конфиденциальную информацию и часто используются для атак на пользователей. При этом браузер является слепой зоной для ИБ.
На кэмпе мы:
😵 Поговорим об актуальных рисках при разработке и эксплуатации JS-приложений
😵 Разберем несколько инцидентов, связанных с утечкой данных
😵 Проведем практический анализ поведения приложения с помощью встроенных инструментов браузера»
Рассказ Михаила, словно остросюжетный боевик! Ведь он расскажет, как обладая лишьцелеустремленностью, силой воли и карандашом «подручными» средствами можно реализовывать AppSec-практики!
P.S. Если вы хотите, чтобы мы сделали общий пост, в котором собрали всю информацию по докладам CyberCamp 2024, посвященных безопасной разработке и DevSecOps, пишите в комментариях 😊
Всем привет!
Завершает представление спикеров CyberCamp 2024 Михаил Парфенов, Application Security Architect!
Михаил поделится своим опытом: «JS-приложения, выполняемые в браузерах, содержат конфиденциальную информацию и часто используются для атак на пользователей. При этом браузер является слепой зоной для ИБ.
На кэмпе мы:
Рассказ Михаила, словно остросюжетный боевик! Ведь он расскажет, как обладая лишь
P.S. Если вы хотите, чтобы мы сделали общий пост, в котором собрали всю информацию по докладам CyberCamp 2024, посвященных безопасной разработке и DevSecOps, пишите в комментариях 😊
Please open Telegram to view this post
VIEW IN TELEGRAM
❤10🔥5👍3
CyberCamp 2024, безопасная разработка: line up!
Всем привет!
Как вы и просили, собираем вместе всю информацию о докладах грядущего CyberCamp 2024 по безопасной разработке и DevSecOps!
Итак:
🗓 03.10, 12:55 – 13:25. «Безопасная разработка Telegram-ботов: минимизация рисков ИБ», Александр Терехов, Инфосистемы Джет
🗓 04.10, 11:45 – 12:30. «eBPF в Kubernetes: из огня не в полымя», Алексей Рыбалко, Kaspersky
🗓 05.10, 11:00 – 12:00. «Анализируем поведение браузерного JavaScript-приложения с помощью Chromium DevTools», Михаил Парфенов, независимый эксперт
🗓 05.10, 12:55 – 13:50. «AppSecAutomation: как внедрить проверки в жизнь разработчиков и не свести их с ума», Алёна Жилина и Вячеслав Давыдов, независимые эксперты
🗓 05.10, 14:25 – 15:00 «Учим разработчиков защите от XSS и проблем с десериализацией», Алексей Григорьев, StartX
Возможны некоторые изменения в программе. Актуальную информацию можно всегда посмотреть на сайте мероприятия.
Все доклады будут размещены online после мероприятия. Где именно и когда будет опубликовано на канале CyberCamp. Рекламы нет, только информация о мероприятии 😊
До встречи на CyberCamp 2024!!!
P.S. Завтра будет еще-один-пост-про-конференция и на этом Астрологи, объявившие недели мероприятий, уйдут на покой 😊
Всем привет!
Как вы и просили, собираем вместе всю информацию о докладах грядущего CyberCamp 2024 по безопасной разработке и DevSecOps!
Итак:
Возможны некоторые изменения в программе. Актуальную информацию можно всегда посмотреть на сайте мероприятия.
Все доклады будут размещены online после мероприятия. Где именно и когда будет опубликовано на канале CyberCamp. Рекламы нет, только информация о мероприятии 😊
До встречи на CyberCamp 2024!!!
P.S. Завтра будет еще-один-пост-про-конференция и на этом Астрологи, объявившие недели мероприятий, уйдут на покой 😊
Please open Telegram to view this post
VIEW IN TELEGRAM
👍9🔥4🥰3