Стань спикером CyberCamp 2024!!!

Всем привет!

Последние 2 года мы проводим мероприятие по кибербезопасности для специалистов по информационной безопасности – CyberCamp!

Теория соединяется с практикой, что позволяет предоставить полную картину того, с чем придется столкнуться в реальной жизни.

А для тех, кто уже обладает сильной экспертизой и ищет вызовов – есть командные киберучения, где можно посоревноваться с другими участниками (и даже получить приятные призы 😊) Интересное найдется абсолютно всем!

В этом году мы решили сделать открытый Call For Papers, в котором приглашаем вас поучаствовать!!!

Если у вас есть то, чем хочется поделиться по безопасной разработке, DevSecOps или вообще чем-то, что имеет отношение к ИБ – переходите по ссылке, заполняйте анкету (она маленькая, правда) и мы с радостью свяжемся с вами!

P.S. Больше про CyberCamp можно узнать на официальном канале мероприятия. До встречи! Очень ждем ваших заявок!

P.P.S. Заявки принимаются до 1-ого июня ☺️☺️☺️

Как подготовиться к собеседованию в Google?

Всем привет! Хотите попробовать свои силы в собеседовании на позицию SRE в Google?😉 Тогда эта статья для вас☺️👍
Пользователь Reddit с ником u/Dubinko недавно проходил собеседование в эту компанию и решил поделиться некоторыми вопросами, которые задавали ему во время интервью! Автор выложил в открытый доступ эти и некоторые другие вопросы, которые могут помочь в подготовке к собеседованиям на различные позиции.

В этой подборке вы найдете вопросы по темам:

🎹 Networking
🎹 Practical Coding / Scripting
🎹 Non-Abstract Systems Design
🎹 Operating Systems

...а так же ответы на них!

Так что теперь каждый, хотя бы виртуально, может попробовать пройти "собеседование" в одну из крупнейших мировых компаний!😁

Друзья, а какие вопросы из ваших собеседований вам запомнились больше всего? Делитесь своими впечатлениями в комментариях!

AppSecFest 2024 Almaty!

Всем привет!

Конференция по разработке и безопасности AppSecFest — это место, где миры разработки приложений (App) и безопасности (Sec) объединяются.

В программе:
🖥 Две конф-зоны: App и Sec
🎤 35+ спикеров
💬 Панельные дискуссии с экспертами
👥 500+ участников, объединенных общей целью
🤝 Встреча с ведущими представителями рынка
🎉 Развлекательные активности, подарки и розыгрыши

Мероприятие пройдет 3 мая в Алматы, Атакент-Экспо 10 павильон. Купить билеты можно на сайте конференции.

Но! Есть и альтернативный вариант! Все очень просто! Авторы первых 5 комментариев под этим постом получат от нас свой билет - напишите, что вам больше всего нравится в безопасной разработке и DevSecOps! 😊 Просим писать только тех, кто и правда хочет и может посетить прекрасную Алмату и отличную конференцию 😊

PS. Подписывайтесь на телеграм-канал и следите за новостями о конференции AppSecFest!

Kubenomicon: угрозы безопасности Kubernetes

Всем привет!

Kubenomicon – проект, цель которого составить полную матрицу возможных атак на кластеры Kubernetes с указанием возможных мер по противодействию.

На текущий момент сильно пересекается с аналогичным материалом от Microsoft, но есть и отличия.

Структура материала «привязана» к классическому kill chain:
🍭 Initial access
🍭 Execution
🍭 Persistence
🍭 Privilege escalation и далее до Impact

Для каждой угрозы приводится описание с примерами и пояснениями. Проект относительно молодой, поэтому в разделе «Defending» часто можно увидеть «Pull request needed».

Возможно, вас это заинтересует и этот самый PR напишите как раз вы! А мы, в свою очередь, будем держать вас в курсе по обновлению этого материала.

P.S. Кстати, его можно "распечатать", как pdf книгу для локального доступа ☺️

Semgrep Academy!

Всем привет!

Многие производители решений нет-нет, да и сделают собственные программы обучения. Мы уже писали про такие примеры от SNYK, Chainguard, Isovalent, Aqua Security и других.

Semgrep не является исключением! С его учебными курсами можно ознакомиться в Академии.

На текущий момент доступен небольшой набор:
🍭 Application Security Foundations Level 1
🍭 Application Security Foundations Level 2
🍭 Application Security Foundations Level 3
🍭 Principles of Functional Programming

В среднем на курс приходится около 3,5 часов видео записей. С программами можно ознакомиться, перейдя по ссылке Академии, никакая регистрация не требуется. И, что самое приятное – Enroll for free!

Моделирование угроз с Gram

Всем привет!

Иногда случается так, что Компании, перепробовав все, что есть на рынке не могут найти подходящее решение для задачи. Не можешь найти? Сделай сам!

Именно так и поступила Klarna (Шведская fintech компания) по отношению к средству для моделирования угроз. Так появился проект Gram, который был отдан в community!

Из возможностей:
🍭 Совместная работа нескольких пользователей
🍭 Возможность указания необходимых ИБ-контролей для нивелирования угроз
🍭 Web UI, в котором можно создавать диаграммы компонентов и их взаимосвязей
🍭 Интеграция с JIRA и SSO (Okta)

Да, это мало чем отличается от условного Draw.io, за исключением того, что в Gram убрали все лишнее и оставили только нужное для моделирования угроз. Возможно, что кому-то из вас это пригодится 😊

С тем, как можно запустить Gram и всеми необходимыми для этого параметрами можно ознакомиться в Quick Start Guide

Kubernetes Security and Observability

Всем привет!

В приложении можно найти электронную книгу (~ 196 страниц), посвященную вопросам обеспечения ИБ кластер Kubernetes и observability.

Трудно не согласиться с тем, что эти темы очень сильно пересекаются. Ведь как можно контролировать то, «чего не видишь» или «о чем не знаешь»?

Даже в классических книгах по ИБ все начинается со старой доброй инвентаризации, которую тоже можно назвать частью observability 😊

Внутри вас ждет следующее:
🍭 Security and Observability Strategy
Infrastructure Security
🍭 Workload Deployments Control, Runtime Security
🍭 Observability and Security
🍭 Network Policy и многое другое

Если вас интересует ответ на вопрос «Как?», то книга его не даст. С другой стороны, если ваши вопросы это «Что?» и «Зачем?», то материал может быть очень интересным и полезным, т.к. покрывает много областей ИБ Kubernetes в достаточно структурированном виде

Kubernetes… это просто Linux!

Всем привет!

Согласны ли вы с таким утверждением? Предлагаем вам легкое пятничное чтиво с интересной мыслью, в котором приводятся аргументы «За» эту точку зрения.

В начале изучения Kubernetes Автор думал, что это мощная технология, созданная практически «с нуля», при этом обладая большим количество функций.

Но, чем дальше он «углублялся», тем больше понимал:
🍭 Использование cgroups для управления ресурсами
🍭 Изоляция практически всего с использованием Linux namespaces
🍭 Фильтрация трафика с использованием iptables
🍭 Использование возможностей Linux для хранения данных и многое другое

Все это привело Автора к мысли, что Kubernetes – не что иное, как «супер-обертка» над и без того сильной функциональностью Linux. Да, слегка утрированно, но что-то интересное в этой мысли есть. А что вы думаете по этому поводу?

Использование Nuclei для поиска уязвимостей

Всем привет!

В статье команда Orca делится своим опытом использования Nuclei для поиска уязвимостей с использованием templates.

Рассматриваются сценарии:
🍭 Уязвимость в web-приложении. Неавторизованные запросы и получение метаданных сервиса
🍭 Уязвимость в CI/CD. Эксплуатация CVE-2024-2791: обход аутентификации в TeamCity

После небольшого описания того, что из себя представляет Nuclei и как он работает, Команда разбирает каждый вышеописанный сценарий.

Описывается логика атаки/уязвимости, принципы ее работы, используемый шаблон Nuclei (и то, где и как их можно делать/искать). Много комментариев и пояснений, может быть полезно для тех, кто еще не работал с Nuclei, но уже интересуется 😊

SCALIBR: анализ open source от Google

Всем привет!

SCALIBR – расширяемый сканер файловой системы, который используется для извлечения данных об используемых пакетах (например, языков программирования) и дальнейшим анализом на уязвимости.

На текущий момент поддерживаются:
🍭 .NET (packages.lock.kson)
🍭 C++ (Conan packages)
🍭 Golang (Go binaries, go.mod)
🍭 JavaScript (package.json, lockfiles) и не только

С полным перечнем можно ознакомиться по ссылке. Из важного – скорее всего SCALIBR изменится, т.к. в настоящее время Google (Авторы утилиты) производит его слияние с другим проектом – OSV-Scanner (о котором мы писали тут).

Больше информации про запуск, сценарии использования, предоставляемые результаты – можно найти в repo проекта.

Poutine! Анализ конфигурации CI

Всем привет!

Команда BoostSecurity выложила в открытый доступ инструмент по анализу конфигураций CI – Poutine.

На текущий момент реализовано 10 проверок, в основном для GitHub и 1 для GitLab (в качестве основы проверок, конечно же, OPA 😊).

Ознакомиться с ними можно по ссылке. Для каждой проверки описывается как надо делать, как делать не надо и приводятся ссылки на полезные материалы.

Помимо этого, Poutine позволяет собрать информацию о build time dependencies. Например, информацию о  GitHub Actions, GitLab Pipeline Imports, Docker-контейнерах.

Больше информации о проекте можно найти в статье или в описании repo. Надеемся, что количество проверок, поддерживаемых Poutine, будет только увеличиваться!

Повышение привилегий в Docker через Search Permissions

Всем привет!

Допустим, что у вас есть учетная запись с UID = 1000. Она может перезагружать рабочую станцию, на которой есть Docker и какие-то контейнеры. Выглядит вполне безобидно, неправда ли?

Однако, это может быть не совсем так при соблюдении ряда условий. В статье демонстрируется возможность поднятия привилегий с простого пользователя до root

Например, можно реализовать вот такой сценарий:
🍭 Права на директорию /var/lib/docker - 711. Читать ничего нельзя, но можно search/execute
🍭 Допустим, что пользователь может пользоваться mount и монтирует данные контейнеров
🍭 Разведка! Ищем что-то с чем может работать наш пользователь
🍭 Модифицируем файлы контейнера, но теперь надо его перезапустить… Но по условиям, наш пользователь может перезапустить рабочую станцию 😊
🍭 Далее, используя «низкие» права на рабочей станции и «повышенные» в контейнере ищем пути поднятия привилегий, об этом можно прочесть в статье

На текущий момент этот способ действовать не будет, из-за обновления Docker 😊 Но, тем не менее, статья остается достаточно интересной, поэтому и захотелось поделиться с вами!

📍 Онлайн-конференция «Российские системы контейнеризации»
🗓 26 апреля, 11:00

Уже завтра в эфире AM Live ведущие IT-эксперты сделают обзор российского рынка систем контейнерной виртуализации. Расскажут, зачем мигрировать на российские дистрибутивы Kubernetes и на какие критерии обращать внимание при выборе поставщика.

На мероприятии вы узнаете:
🔶 В чем преимущества контейнеров относительно серверной виртуализации?
🔶 Кто и зачем использует контейнеризацию в России?
🔶 Какие ограничения возникают при использовании российских дистрибутивов Kubernetes?
🔶 С чего начать создание собственной среды контейнеризации?
🔶 Что ожидает рынок в 2024 году и перспективе 2-3 лет?

От команды «Лаборатория Числитель» выступит Александр Краснов, технический директор платформы «Штурвал». Чтобы продуктивно провести утро пятницы и узнать больше о российских платформах контейнеризации, регистрируйтесь по ссылке.

OSV: автоматическое устранение уязвимостей в зависимостях

Всем привет!

В апреле open source сканер от Google – OSV – получил интересный функционал: помощь в устранении уязвимостей в зависимостях.

На текущий момент функционал находится в стадии [Experimental], поддерживается только package.json и package-lock.json.

OSV предлагает следующее:
🍭 Анализ графа зависимостей с целью идентификации минимальных изменений, необходимых для устранения уязвимостей
🍭 Расстановка приоритетов в обновлении прямых зависимостей на основании количества устраненных уязвимостей в транзитивных
🍭 Расстановка приоритетов по устранению уязвимостей на основании «глубины/уровня» зависимости, уровня критичности и не только

OSV fix может не только помогать AppSec специалисту в анализе данных об уязвимостях, но и автоматически обновлять зависимости. Подробнее об использовании функционала можно прочесть в документации на решение.

P.S. Еще раз напоминаем, что эти возможности находятся в стадии [Experimental] и лучше не использовать это "в бою"

Iptables и Kubernetes

Всем привет!

Есть много курсов по тому, как научиться работать с Kubernetes и, в любом случае нет-нет, да и придется изучать Linux 😊

Анализ трафика – не исключение. Для того, чтобы лучше понять то, как можно его фильтровать нет ничего лучше, чем старые добрые Iptables!

В эту рабочую субботу предлагаем обратить внимание на статью, в которой Автор (в достаточно шутливой манере) описывает что это и зачем оно нужно на простых аналогиях и примерах.

Рассматривается:
🍭 Описание правил
🍭 Работа с chains
🍭 Добавление правил в custom chain
🍭 Управление логами Iptables
🍭 Использование Iptables для защиты Kubernetes и не только

В статье очень много примеров, screenshots, пояснений к происходящему. Самое «то», чтобы рабочая суббота «пролетела» чуточку быстрее ☺️

БЕКОН: когда много «мяса»!

Всем привет!

Все именно так! Для тех, кто не знает, БЕКОН – конференция, посвященная безопасности контейнеров и всего, что с ними связано, созданная командой Luntry. В этом году она пройдет во второй раз!

Никакой воды, маркетинга, рекламы, product placement и всего такого. Только «мясо». Много «мяса» и технических подробностей реализации нетривиальных задач!

С полным описанием программы конференции можно ознакомиться на сайте. Мы лишь подсветим компании, которые представляют спикеры:
🍭 Tinkoff
🍭 Luntry
🍭 Samokat Tech
🍭 Сбертех
🍭 Флант
🍭 Яндекс Финтех
🍭 Лаборатория Числитель

Конференция пройдет 5-ого июня, в Москве (Loft Hall). Приходите, будет «вкусно», интересно и чрезвычайно полезно! И будем очень рады, если вы придете поддержать Алису Кириченко, которая выступит с докладом, посвященным работе с Audit Logs в Kubernetes 😊

Vulnerability Management: ключевая проблематика и стоимость

Всем привет!

«Сколько, в среднем, стоит устранение уязвимостей в Компаниях?» - именно такой вопрос задала себе команда Chainguard (одним из направления деятельности, которых является создание минималистичных образов контейнеров, в которых уязвимостей значительно меньше, чем в «обычных»).

Для того, чтобы ответить на этот вопрос Команда провела небольшое исследование, результаты которого можно найти в приложении.

Если кратко, то:
🍭 Оценить время для tirage конкретной CVE затруднительно. Оно может варьироваться от 20 минут до нескольких недель
🍭 Большое количество действий при tirage. Обилие данных может привести к «открытию и чтению десятков вкладок» браузера, чтобы понять «что это есть на самом деле»
🍭 Shift Left не панацея. Уязвимости могут появляться ежедневно, поэтому управлять ими надо в «режиме реального времени»
🍭 Некоторые компании тратят тысячи часов на процесс управления уязвимостями. Грубо говоря, 1 и более сотрудников полноценно занимаются только этим в течение года

Для того, чтобы избежать этих проблем Chainguard предлагает свой подход. Суть его, хоть и похожа, но отличается в корне – не исправлять уязвимости в образах контейнеров, а использовать образы, в которых количество уязвимостей сведено к минимуму.

А что вы думаете по этому поводу? Имеет ли такой подход место быть и нужно ли стремиться к «zero tolerance»?

GitLab: CIS Benchmark

Всем привет!

В апреле этого года GitLab совместно с Center for Internet Security (CIS) выпустили CIS GitLab Benchmark (~ 301 страница), который можно найти в приложении.

В документе содержится перечень рекомендаций для аудита и настройки механизмов безопасности при использовании GitLab.

Рекомендации делятся на 5 глобальных блоков:

🍡Source Code (исходный код)
🍡Build Pipelines (среда и конфигурационный файл сборки)
🍡Dependencies (зависимости)
🍡Artifacts (артефакты)
🍡Deployments (конфигурационные файлы для развертывания приложения)

Документ похож на CIS Benchmark for Supply Chain, который CIS выпускала ранее. Он может быть крайне полезен, если вы используете GitLab и хотите настроить его с учетом ИБ-практик

Linux Exploit Education

Всем привет!

Скоро будут вторые майские праздники, в которые можно поучиться чему-нибудь новому! Предлагаем вам обратить внимание на проект «Exploit Education», который позволит углубиться в тонкости работы с Linux.

Сами лабораторные работы представляют из себя набор виртуальных машин (увы, online не получится), в которых есть задания на различные тематики.

Например:
🍭 Nebula. Повышение привилегий в Linux, состояние гонок в файловой системе, проблемы в noscripting languages
🍭 Phoenix. Работа с дефектами, характерными для памяти
🍭 Fusion. Аналогично Phoenix, но предлагает более сложные сценарии

В среднем, в каждой виртуальной машине содержится примерно 15 заданий. Уровень сложности варьируется – от Nebula к Fusion он повышается.

Управление секретами: Vault и External Secrets Operator

Всем привет!

«Среда – это маленькая пятница!» Сегодня так уж точно ☺️ Поэтому предлагаем вашему вниманию небольшую статью.

В ней Автор рассматривает возможность динамического управления секретами в Kubernetes с использованием HashiCorp Vault и External Secrets Operator (ESO).

Предлагается следующий алгоритм:
🍭 Установка Vault и ESO
🍭 Создание Read Token в Vault для настройки взаимодействия с ESO
🍭 Создание Secret Engines и Secrets в Vault
🍭 Создание External Secret, обновление Secret на стороне Vault, синхронизация с Secret в Kubernetes

Ничего лишнего. Только примеры, screenshots, комментарии и конфигурационные файлы! А если хочется больше узнать про используемые в статье технологии – то в ней есть ссылки на все необходимое.

И, пользуясь случаем, поздравляем вас с наступающими праздниками! Желаем отлично провести время, набраться сил и до встречи на следующей неделе! ☺️

Как работает Kubectl?

Всем привет!

Если вам хоть раз доводилось «что-то» с Kubernetes, то вы точно использовали kubectl. Но задавались ли вы вопросом – а что именно она делает и как она устроена?

Если нет, то рекомендуем прочесть статью, в которой описаны основные принципы работы этой удобной утилиты.

Например:
🍭 Где и как она ищет kubeconfig
🍭 Почему и зачем в kubeconfig приведены именно эти параметры
🍭 Какие способы аутентификации она использует
🍭 Как можно воспроизвести (ну почти) ее действия с использованием обычного curl

В завершении статьи Автор предлагает пойти дальше – скачать себе ее repo, посмотреть на исходный код и добавить собственную функцию