CI/CD Goat: writeup! Часть 2!

Всем привет!

Продолжение серии writeup’ов, посвященной прохождению заданий в CI/CD Goat (про первую часть мы писали тут). В этот раз Автор сконцентрировался на заданиях уровня «Moderate»

Рассматриваются следующие сценарии:
🍭 Caterpillar. Есть только r/o доступ к repo. Цель – украсть учетные данные из Jenkins Store
🍭 Cheshire Cat. Выполнение кода на Jenkins Controller
🍭 Twiddledum. Поиск флага в загадочном pipeline!
🍭 Dodo. Как сделать S3 Bucket public readable?

Пояснения, скриншоты, комментарии – как обычно 😊 Присутствуют и в достаточном количестве!

Awesome CI/CD Attacks

Всем привет!

Продолжаем тематику безопасности CI/CD и завершаем неделю с Awesome-подборкой про атаки на CI/CD.

Автор собрал материалы:
🍭 Описание техник (Exposed Sensitive Date, Initial Code Execution, Post Exploitation и т.д.)
🍭 Инструментарий для атак (Gato, Token-Spray, git-dumper и другие)
🍭 Примеры инцидентов
🍭 Перечень похожих материалов по теме CI/CD Security

Ссылок много – точно можно будет найти что-то, что почитать на грядущих выходных 😊

P.S. Про еще один Awesome, посвященный CI/CD Security, мы писали тут.

Talos Linux: You don't need an OS, you only need Kubernetes

Всем привет!

Разговоров про минималистичные ОС, которые позволяют «запускать Kubernetes и больше ничего» становится все больше.

Если вы еще не в курсе что это такое и зачем, то рекомендуем посмотреть выступление Андрея Квапила (Ænix).

Его история начинается с того, что он пришел в компанию в которой был достаточно громоздкий pipeline для подготовки ИТ-инфраструктуры и запуска приложений.

Далее он подробно рассказывает о том, как Talos может упросить процесс и сделать его оптимальным:
🍭 Установка Talos и Kubernetes
🍭 Использование FluxCD для «дооснащения» кластера (Cert Manager, Prometheus, Cilium и т.д.)
🍭 Нюансы работы с bare metal и способы их решения
🍭 Завершает доклад рассказ про CozyStack – open source платформу, создаваемую Андреем и командой, в которой как раз используется Talos Linux

Помимо этого, в докладе есть информация о том, как делать troubleshooting (что может быть непривычно ввиду отсутствия shell и ssh).

Кстати, использование минималистичных ОС может быть удобно не только ИТ, но и ИБ-специалистам за счет значительного сокращения поверхности атаки и меньшего количества уязвимостей в используемых операционных системах.

Подробнее можно посмотреть в докладе Николая Панченко (Тинькофф) – «ОС Talos Linux — путь к «тому самому» харденингу инфраструктуры для k8s»

Linux Detection and Forensics Cheatsheet

Всем привет!

В приложении можно найти «подсказку» по Linux (~ 28 страниц), в которой собрана информация, которая может потребоваться для обнаружения активности или для проведения расследований.

Например:
🍭 /proc и его содержимое
🍭 Работа с журналами (/var/log)
🍭 Полезные команды (lsof, pstree, strace и т.д.)
🍭 Работа с OSQuery и не только

Для каждого элемента приводится минималистичное описание, а в завершении представлены все ссылки на используемый инструментарий

«Шпаргалку» можно использовать просто для того, чтобы лучше узнать Linux или для того, чтобы лучше настраивать runtime security ваших контейнеров 😊

ЦУПИС: Митап «Инструменты обеспечения безопасной разработки»

Приглашаем вас на митап, посвященный вопросам безопасной разработки!

🗓 18 июня в 18:30 Мск

В открытом разговоре участники из ЕДИНОГО ЦУПИС, Уральского центра систем безопасности, Профископ (вендор CodeScoring) и Axel.PRO обсудят, как из хорошей разработки сделать безопасную, какие инструменты для этого лучше использовать, как правильно интегрировать безопасность в процесс разработки и как это все реализуется на практике.

В рамках обширной программы митапа:
🍭 Разберем традиционный подход к статическому анализу. Сравним SAST с ML SAST и обсудим преимущества интеграции машинного обучения в SAST

🍭 Рассмотрим проблему транзитивных Open Source зависимостей и разберем полезные сценарии ручного и автоматического триажа на практических кейсах

🍭 Расскажем о построении процессов информационной безопасности при разработке, интеграции решений ИБ в конвейер разработки и о реализации Security Quality Gate

🍭 Поговорим о том, каким должен быть ASOC, с какими сложностями можно столкнуться при управлении процессами безопасной разработки, а также на тему автоматизации. Обсудим, какие из open source решений доступны на рынке

Зарегистрироваться на мероприятие можно по ссылке: https://1cupisintelligence.ru/june. До встречи 18 июня в 18:30 Мск! ☺️

Falco: от A до Y

Всем привет!

По ссылке доступна очень-большая-статья, посвященная Falco.

Начинается она достаточно "обыденно" – что это такое, зачем это нужно, какая у него архитектура, как его установить и т.д.

Дальше – интересней! Работа с правилами – от описания того, где и какие располагаются до до описания их структуры и написания собственных и обработки исключений.

Автор уделяет время принципам, по которым работает Falco (мониторинг Syscalls с использованием eBPF) и настройке оповещений в случае срабатывания правил (с использованием проекта Falco Sidekick)

И это далеко не все! Да, документацию на Falco статья не заменит, но может быть очень полезной при первом знакомстве с решением.

Если эта тематика вам интересна, то вот тут, тут и тут можно найти еще материалов по Falco.

STRIDE GPT

Всем привет!

Все становится лучше с bluetooth machine learning! Моделирование угроз не является исключением 😊 По ссылке представлен проект STRIDE GPT, цель которого очень проста – применение LLM для генерации моделей угроз и построения деревьев атак, основанных на методологии STRIDE.

Воспользоваться им достаточно просто – через repo clone или с использованием Docker Container’a. После запуска последнего остается лишь перейти на URL и следовать указаниям.

А если не хочется ничего ставить и хочется просто «поиграться», можно пройдя по ссылке.

Потребуется указать информацию:
🍭 OpenAI Key
🍭 Предоставить архитектуру в JPG, JPEG, PNG (опционально)
🍭 Описать приложение «обычными словами»
🍭 Указать «тип» (web, mobile cloud и т.д.)
🍭 Уровень критичности обрабатываемых данных
🍭 Доступно ли приложение через интернет и какой способ аутентификации используется

Готово! Остается лишь немного подождать. Да, пока больше похоже на «интересную» игрушку, но кто знает, что будет дальше 😊

P.S. А если не хочется читать и хочется посмотреть видео, в котором Автор рассказывает про Stride GPT, то можно воспользоваться ссылкой.

It's always DNS...

Всем привет! Хотите узнать, как работает CoreDNS в Kubernetes? Тогда эта статья для вас!
Автор детально рассказал, как устроен DNS в Kubernetes. В статье подробно рассмотрены такие аспекты, как:

🎹 Общее представление о CoreDNS и процессе разрешения имен в Kubernetes
🎹 DNS политики Kubernetes такие, как ClusterFirst, Default и None
🎹 Разница между библиотеками glibc и musl

Статья получилась достаточно простой, но тем не менее очень интересной! Надеемся она поможет вам разобраться во внутреннем устройстве работы DNS в Kubernetes!

Damn Vulnerable Kubernetes Application

Всем привет!

По ссылке можно найти repo с DVKA. Проект относительно новый, поэтому материалов пока что не так много.

Есть 2 Challenge:
🍭 Hack The NFT Museum
🍭 Enterprise Grade Network Debugging Console

Это 2 web-приложения, для поиска ключа в которых потребуется знать как базу тестирования на проникновение для web и так и основы k8s (Service Account Token, Network Policies и т.д.)

Помимо этого, в repo можно найти workshop, в котором Автор предлагает разобраться в основах ИБ Kubernetes – от базовых аспектов работы с кластером до запуска утилит, которые могут быть полезны специалистам по информационной безопасности. Ничего сложного и может быть полезно для новичков.

DevSecOps Learning Path от TryHackMe!

Всем привет!

В феврале 2024 года TryHackMe запустили новый learning path, который посвящен DevSecOps. Материал содержит как теоретическую часть, так и практические задания.

Курс состоит из модулей:
🍭 Secure Software Development
🍭 Security of the Pipeline
🍭 Security in the Pipeline
🍭 Container Security
🍭 Infrastructure as Code

Для прохождение нужны общие знания по информационной безопасности и инженерные навыки.

Если чего-то не хватает, то можно пройти курс «Security Engineer Learning Path» в качестве «подготвки» (в котором есть и про SAST и про DAST и про основы DevSecOps 😊)

Что такое контейнеры и Docker в частности?

Всем привет!

Это виртуальные машины. Это емкость, в которую кладут еду на работу. Это сокращенное название портовых работников. Это набор Linux Namespaces. Это… Есть много версий ответов на этот вопрос.

Если вам хочется детально разобраться расставить точки над «i», то предлагаем ознакомиться со статьей. Примерное время чтения – 35 минут.

Статья структурирована по разделам
🍭 Введение в контейнеризацию и Docker – предпосылки реализации, решаемая проблематика
🍭 Постепенное погружение – от общей архитектуры Docker до взаимодействия dockerd с containerd, runc и ядром Linux
🍭 Детальный разбор основных терминов (Image, Dockerfile, Docker manifest)
🍭 Контейнеры! Linux Namespaces, Control Groups, Linux Kernel и не только

Крайне рекомендуем к прочтению! Автор проделал просто колоссальную работу по структурированию и описанию информации, за что ему огромнейшее спасибо! 😊

P.S. В статье очень много ссылок на полезные материалы и средства автоматизации, которые помогут еще лучше разобраться в происходящем

Автостопом по HashiCorp Vault

Всем привет!

Если вы начинаете свое знакомство с HashiCorp Vault и количество сущностей, терминов, возможностей, настроек и т.д. кажется вам ошеломляющим, и вы не знаете «с чего начать», то рекомендуем обратить внимание на статью.

В ней Автор описывает:
🍭 Общая информация о том, что есть «секрет» и какие системы управления бывают
🍭 Базовые концепты Vault (API, Storage, (Un)seal, Secret Engine и т.д.)
🍭 Способы доставки Token (Response Wrapping, AppRole)
🍭 Управление политиками доступа к секретам
🍭 Интеграции с приложениями (SDK, Agent) и многое другое

В статье много практических примеров и объяснений. Также в ней можно найти советы о том, «как лучше приготовить Vault» от практиков, которые занимаются его внедрением и эксплуатацией.

Привет!

Мы проводим небольшое исследование и нам нужна ваша помощь. Далее будет 3 маленьких опроса, на которые просим вас ответить.

Все анонимно :) Интересует статистика. Спасибо! ☺️

Шифрование и подпись образов контейнеров

Всем привет!

В статье рассматриваются возможные способы контроля целостности и конфиденциальности «содержимого» образов контейнеров с использованием двух механизмов – шифрования и использования электронной подписи.

Авто рассматривает следующие примеры
🍭 Подпись образов с использованием Cosign
🍭 Размещение подписанного образа в Registry с использованием Podman
🍭 Создание политики контроля подписи для Podman с последующим тестированием
🍭 Шифрование образа контейнера с использованием возможностей Podman

В статье приводятся примеры всех необходимых команд и комментарии к ним.

Для того, чтобы контролировать подпись образов в кластерах Kubernetes можно использовать, например, Kyverno. Подробнее об этом можно прочесть в документации.

А если вам хочется больше узнать про шифрование образов контейнеров, то рекомендуем ознакомиться с этим видео.

Mini-hardening-guides от Hadess

Всем привет!

Материал с немного обманчивым названием – «DevSecOps Checklist». Однако, внутри можно найти ~86 страниц, на которых описаны способы hardening для разнообразный технологий.

В выборку попали: Apache, ArgoCD, Auth0, AWS, Ceph, Consul, CouchDB, Docker, eBPF, ElasticSearch, etcd, git, GitLab, GlusterFS, Gradle, IIS, Jenkins, Kubernetes, Memcached, MongoDB, MySQL, Nginx, OpenShift, Redis, SaltStack, Terraform, Tomcat, Weblogic

Каждой отдельно взятой технологии уделено «не очень много временим», ввиду их общего количества.

Однако, материал все равно может пригодиться для составления собственных стандартов безопасной конфигурации

OpenCRE: mapping ИБ-стандартов

Всем привет!

По ссылке доступен проект OpenRCE. Его задача в том, чтобы сделать mapping практик между различными ИБ-стандартами.

Если вы изучали некоторые, то, вероятно, замечали: на первый взгляд они кажутся разными, но пересечений бывает очень много.

Возможно, вы делаете свой собственный набор, собирая информацию из различных стандартов и обогащая ее собственным видением. Рано или поздно захочется сделать mapping на источники. Как раз тут вам может помочь проект OpenCRE.

На текущий момент в нем есть:
🍭 OWASP (Top 10, ASVS, SAMM и т.д.)
🍭 CWE
🍭 CAPEC
🍭 NIST 800 53
🍭 NIST SSDF

Пользоваться им просто – переходите в раздел «Map Analysis», выбираете 2 интересующих вас стандарта – готово!

Из недостатков – результаты сравнения нельзя выгрузить и использовать в дальнейшей работе. Более подробно про проект и его возможности можно узнать в видео.

История Kubernetes

Всем привет!

Пятница – самое время для интересного и приятного чтения чего-то не очень сложного, а даже наоборот, расслабляющего!

Думаем, что статья Brian Grant подойдет! В ней он описывает долгий и интересный путь создания того, что мы знаем, как Kubernetes.

Материал разделен на этапы:
🍭 Lessons from Borg and Omega: 2009–2013
🍭 Early Container Product API Design: 2H2013
🍭 Ramp to Launch: 1H2014
🍭 Finishing the Implementation of the Design: 2H2014
🍭 The Home Stretch: 1H2015

Началось все с того, что нужно было оптимизировать производительность за счет параллельной обработки запросов…

Потрясающий Путь, в котором можно найти предпосылки появления некоторых функций, наброски архитектуры, причины инженерных решений и ответы на некоторые вопросы архитектуры Kubernetes.

А еще можно поиграть в игру – «угадай как эта %сущность% теперь называется в Kubernetes» 😊

Подпись артефактов: необходимое и/или достаточное условие?

Всем привет!

В статье приведены интересные мысли Автора по вопросу: «Является ли подпись артефактов достаточным механизмом контроля целостности и мерой противодействия supply chain атакам?»

С его точки зрения – нет. Да, она подтверждает авторство, но на ряд вопросов она ответить не сможет.

Например:
🍭 Как был собран артефакт?
🍭 Какой исходный код использовался?
🍭 Какие параметры сборки передавались и т.д.?

По этой причине Автор считает, что лучше (вместе с подписью) формировать provenance – набор metadata о процессе сборке. Например: информация об используемом исходном коде, процессе сборке, реализованных ИБ-проверках и вообще все, что вам кажется важным. Данные подписываются электронной подписью, формируя аттестацию.

В завершении Автор рассказывает про slsa-github-generator – набор GitHub Actions, которые позволяют создавать те самые provenance в соответствии с рекомендациями SLSA.

А что вы думаете по этому поводу? Нужны ли эти metadata или это «перебор» и привычной подписи вполне хватает?