OSC&R: техники и тактики атак на software supply chain

Всем привет!

На сайте можно ознакомиться с «братом меньшим» матрицы MITRE – OSC&R (Open Software Supply Chain Attack Reference).

Материал содержит набор тактик и техник, которые могут быть использованы для совершения атак на цепочку поставок ПО. Сгруппирован, как и «старший брат», по шагам kill-chain.

Кроме этого, материал структурирован по разделам:
🍭 Container Security
🍭 Open Source Security
🍭 SCM Posture
🍭 Code Security и т.д.

Для каждой тактики есть кратко описание и меры, которыми можно воспользоваться для противодействия.

Headlamp: yet another Kubernetes UI

Всем привет!

Если вам хочется попробовать еще один Web UI для Kubernetes, отличный, например, от Lens или k9s, то можно попробовать Headlamp.

Продукт разрабатывался командой Kinvolk, которая стала частью Microsoft. HeadLamp легковесен, прост в установке и использовании. И, конечно же, open source.

При помощи него можно:
🍭 Получать сводную информацию о кластере / кластерах
🍭 Реализовывать R/W-операции на основании предоставленных прав
🍭 Устанавливать в кластер или локально
🍭 Обладает системой «расширений» за счет plugins

Подробнее про него можно узнать в статье или в документации.

Jless: удобный просмотр json-файлов

Всем привет!

Возможно, вы когда-нибудь задумывались: «Эх, было бы классно совместить vim и jq!». Чтож, вы не одиноки!

Jless – утилита, которая как раз реализует подобное, позволяя упростить просмотр json-файлов прямо в терминале. И, самое главное, по заверению разработчиков «Exit jless; don't worry, it's not as hard as exiting vim».

При помощи нее можно перемещаться по файлу, используя привычные j, k, /searchpattern и многое другое.

С небольшой демо можно ознакомиться прямо на сайте, User Guide доступен тут, а исходники – на GitHub ☺️

Друзья, у нас внутри разгорелся жаркий спор на тему блокирования сборок и коммитов в реальной жизни, а не в документах. Мы решили вынести этот вопрос в такое вот голосование 😊

Эксплуатация RBAC и persistence в k8s

Всем привет!

В статье от Aqua Security разобрана атака, которая была совершена на один из их honeypot-кластеров.

Все вышло достаточно просто:
🍭 Некорретная настройка kube-apiserver, которая позволяла создавать ресурсы в кластере
🍭 Создание ClusterRole kube-controller в namespace kube-system
🍭 Создание DaemonSet с crypto-miner

С одной стороны – еще один пример, связанный с некорректной конфигурацией кластера. С другой стороны, образ, который использовался в DaemonSet был скачан более 14 000 раз.

Поэтому даже «да тут все понятно»-практики являются достаточно значимыми для обеспечения ИБ кластера и не стоит забывать их реализовывать.

P.S. В завершении статьи можно найти mapping рассмотренного сценария на матрицу MITRE.

Kyverno: написание политик с CEL

Всем привет!

Kyverno – одна из популярных реализаций Admission Controller, который позволяет осуществлять validating, mutating и generating операции с ресурсами Kubernetes.

Написание политик очень напоминает подготовку обычных манифестов, которые везде используются в Kubernetes и является достаточно простым.

И вроде бы все хорошо, но в Kubernetes версии 1.26 был добавлен функционал Validating Admission Policies, которые используют CEL – Common Expression Language. Возможно, Вам он понравился и хочется использовать в Kyverno!

В статье Автор рассказывает о том, как и когда это можно будет реализовать. Для этого берется базовый пример – контроль hostPathMount, который реализуется сперва «привычным» способом, а потом через CEL-политику.

В завершении демонстрируется то, как можно параметризировать политики и что для этого требуется. Все примеры детально расписаны и достаточно наглядны, чтобы определиться с тем, какой вариант реализации политик Вам больше по душе ☺️

Платформа управления контейнерами на базе Kubernetes «Штурвал»

✅Команда «Лаборатории Числитель» выпустила новый ролик.

Александр Краснов, CTO «Штурвала» об особенностях платформы:

🍭Автоматизирует управление кластерами Kubernetes — осуществляет их развертывание и управление конфигурациями, узлами и системными сервисами
🍭Разработана с использованием Open Source-решений и содержит компоненты собственной разработки
🍭Готова к установке в закрытых контурах и средах без доступа к интернету
🍭Позволяет снизить риски информационной безопасности за счет централизации функций управления кластерами и исключения необходимости подключения к ним напрямую
🍭Позволяет быстро предоставить разработчикам необходимые сервисы и ускорить time-to-market продуктов

Смотрите на YouTube-канале «Лаборатории Числитель»

WAF Testing Dataset

Всем привет!

Защита приложений не заканчивается в момент разработки и/или тестирования. Защита ПО в режиме runtime – штука крайне важная и про нее забывать не следует. А Web Application Firewall (WAF) – одна из наиболее часто используемых технологий для защиты web-приложений.

При выборе решений практически всегда встает вопрос – какое из них лучше и какое нужно выбрать? Вариантов решения задачи множество – от «аналитических таблиц», до проведения пилотных проектов.

Но что может быть лучше, чем проверить WAF «нагрузив его, как следует»? Ничего! Но есть нюанс: где взять те самые данные для проведения «нагрузочного тестирования»?
Ответом может стать проект «Web Application Firewall (WAF) Comparison Project» от open-appsec (CheckPoint).

Внутри можно найти 973,964 различных http-запросов, сгруппированных по 12 категориям. Дополнительно в набор входит 73,924 вредоносные нагрузки (malicious payload), в которых представлены: SQL Injection, XSS, XXE, Path Traversal, Command execution, Log4Shell и Shellshock.

А если не хочется тестировать самому, но любопытны результаты – то есть вот такая статья, в которой сравнили Microsoft Azure WAFv2, AWS WAF, F5 Nginx App Protect WAF и CloudGuard AppSec. Результаты, аналитика, таблицы и много-много-много данных.

Developing Secure Software

Всем привет!

Завершаем рабочую неделю материалом, посвященным обучению! OpenSSF выпустили курс, посвященный безопасной разработке – Developing Secure Software (LFD121).

В рамках обучения предлагается рассмотреть:
🍭 Security Basics
🍭 Secure Design Principles
🍭 Input Validation
🍭 Threat Modelling и не только

Курс абсолютно бесплатный и доступен online 😊 Согласно описанию, потребуется от 14 до 18 часов для прохождения, «порог входа» - beginner, а по завершению – небольшой экзамен для проверки знаний. Прекрасных всем выходных и отличного обучения! 😊

Fluid Attacks: требования по ИБ при разработке ПО

Всем привет!

Название поста не совсем корректно. Сама по себе Fluid Attacks представляет из себя платформу для управления уровнем ИБ разрабатываемого приложения – та самая «единая точка» сбора данных для дальнейшей работы.

Но! Если посмотреть на ее документацию, то можно собрать и/или расширить собственный check list с требованиями по ИБ.

Внутри можно найти сгруппированные наборы требований для:
🍭 Credentials
🍭 AuthN/Z
🍭 Session
🍭 Files
🍭 Logs и не только

Каждая группа содержит несколько рекомендаций и краткое описание того, зачем это нужно. Перечень является достаточно «объемным», возможно что-то Вам пригодится ☺️

Кажется, что чем больше кластеров, тем лучше, поскольку Kubernetes предназначен для решения проблем, с которыми мы все сталкиваемся. Это действительно оптимизирует операции, ускоряет доставку, повышает ежедневную скорость развертывания и т. д. Но что может пойти не так?

Несмотря на популярность DevSecOps и разговоры о нем, проблемы безопасности редко решаются правильно. Лучшие практики безопасности Kubernetes за 5 шагов помогут избежать многих проблем.

👉 Об этом и рассказываем в новой статье.

#devops #devsecops #kubernetes

@DevOpsKaz

Building stuff with the Kubernetes API

Всем привет!

По ссылке доступна подборка статей на тему «программного общения» с Kubernetes. При этом не только с использованием Golang 😊

Доступны следующие статьи:
🍭 Exploring API Objects
🍭 Using Java client framework
🍭 Using the Python client framework
🍭 Using the Go client framework

Первая статья объясняет концепты API-объектов Kubernetes. Все описывается с использованием примеров и большого количества комментариев Автора. Последующие статьи демонстрируют как можно, используя языки программирования, «общаться» с kube-apiserver: начиная от создания client и заканчивая простейшими операциями с ресурсами Kubernetes.

Подборка может быть полезна для тех, кто только погружается в мир Kubernetes-разработки и думает о создании своего operator 😊

Декларативное управление конфигурацией узлов Kubernetes в масштабе

❔Изменять конфигурацию узла Kubernetes нужно не только в момент создания кластера, но и при его обновлениях или изменениях в инфраструктуре. Хорошо, если узлы можно автоматизированно пересоздать или изменить без перезагрузки узла. А что делать, если такой возможности нет или количество узлов в кластере переваливает за сотню?

✅Ребята из «Лаборатории Числитель» – российского разработчика ПО – рассказали про распространенные варианты управления конфигурацией кластеров с помощью Ansible, Cluster API, OpenShift Machine Config и свой оркестратор «Штурвал». Все подробности в посте на Хабре.

LogLicker: анонимизация журналов событий

Всем привет!

Бывает, что нужно отправить кому-нибудь log-файл. Например, производителю какого-либо решения, партнеру, в-еще-один-telegram-чат... И не всегда хочется делиться полной информацией, а «затереть» что-то, что не влияет на суть, но может быть конфиденциальным.

Если похожие мысли посещали и Вас, то рекомендуем обратить внимание на проект LogLicker. Он был разработан для анонимизации журналов событий AWS CloudTrail, но можно научить работать с иными журналами.

Он умеет:
🍭 Идентифицировать чувствительную информацию в логах (привет, regexp! 😊)
🍭 Заменять чувствительную информацию в логах на нечто схожее, но не имеющее сути
🍭 Собирать данные о «заменах», чтобы можно было все вернуть в исходное состояние

Управляется все при помощи замены регулярных выражений на те, что нужны Вам. Подробнее про утилиту можно прочесть на GitHub и в этой статье.

Workload Security Evaluator

Всем привет!

В статье описан подход DataDog к тестированию настроек безопасности средств защиты сред контейнерной оркестрации.

За основу ребята взяли материал от Atomic Red Team – open source библиотеки, содержащей информацию о тестах, связанных с матрицей MITRE ATT&CK.

Выбрали те, что подходят для контейнеров, например:
🍭 Linux Download File and Run
🍭 Port Scan Nmap
🍭 Shared Library Injection via /ect/ld.so.preload
🍭 Cron – Add noscript to all Cron Subfolders
🍭 Clear Bash History (rm)

И автоматизировали их, после чего поместили в образ контейнера. Далее все просто – запускаете этот образ и получаете информацию о том, что получилось реализовать, а что – нет. Увы, материал не «полностью» открыт: можно попробовать воспроизвести с использованием наработок DataDog, но для этого потребуется API_KEY, который можно получить бесплатно на 14 дней.

Альтернативный вариант – собрать самому себе что-то похожее и использовать для тестирования runtime ИБ-политик.

Утечки секретов в CI/CD

Всем привет!

Про эту тему говорят много и часто. Наверное, можно даже посоревноваться в том, кто сколько способов «печати» секретов в log процесса сборки может придумать.

Некоторые из таких способов представлены в небольшой статье от Truffle Security (авторы Trufflehog). Но не с целью научить как можно «выводить» секреты, а для того, чтобы показать, что это возможно.

В статье, в том числе, рассматриваются способы «обхода» маскирования, предлагаемого некоторыми CI-системами.

В завершении можно найти рекомендации о том, что же делать, чтобы этого не случилось – ротация секретов, управление их привилегиями, анализ логов на наличие чувствительной информации и не только.

#экспертиза #обзор
«Контейнерная оркестрация на отечественном»: митап прошел, а знания остались

Достаточно ли одного Kubernetes для запуска современного приложения в продуктивном окружении?

Если вы по каким-то причинам не попали на наше мероприятие, а вопрос для вас актуален, то смотрите запись митапа на нашем YouTube-канале.

Наши эксперты знают, с какими отечественными платформами на основе k8s не страшно идти в продуктив, как они устроены и как выглядят вживую.
🔹Как эффективно запустить современное приложение в продуктивном окружении?
🔹Какое платформенное решение нужно разработчикам сегодня?
🔹Какие российские платформы контейнерной оркестрации выбирать Enterprise-компаниям?

Управление секретами в Kubernetes

Всем привет!

По ссылке доступна неплохая обзорная статья, посвященная использованию секретов в Kubernetes. В начале Автор рассматривает возможные варианты передачи необходимой информации приложению – через file или через env. Проводит небольшое сравнение этих подходов, указывает на их плюсы и минусы.

Далее – размышления о Secrets Source of Truth, в том числе при миграции из одного кластера в другой. Упоминаются Mozilla SOPS и Bitnami Sealed Secrets. Однако, этого может быть недостаточно, поэтому можно рассмотреть Secret Management системы.

Для Secret Management Автор рассматривает способы «доставки» секретов приложению:
🍭 API или SDK
🍭 Secret Agent / Sidecar Injection
🍭 Secrets Operator
🍭 Secrets Store CSI

Приводится описание сильных и слабых сторон каждого способа, а также их особенности.

В завершении – размышления про автоматическое обновление секретов. Информация в статье отлично структурирована и содержит все необходимое для начала изучения.