Всем привет, меня зовут Герасимов Александр и это мой личный канал, в котором буду делиться своим опытом, техниками защиты и взлома различных систем, интересными новостями в сфере кибербезопасности.

Stay tuned)

P.S. Кроме всего, будут еще видосики и мемасики)

Как эффективно управлять уязвимостями?

Как быть, если нужно управлять уязвимостями, а источников, которые обнаруживают их очень много:

- сканеры сетевой инфраструктуры
- сканеры веб-приложений
- сканеры кода
- SAST, DAST встроенные в CI/CD
- и т.д.

Заходить в каждый инструмент, выгружать отчеты, заводить задачи в баг-трекере, писать свои скрипты и хуки?

Не стоит) Существует класс решений, которые позволяют собирать результаты сканирований из разных источников, агрегировать уязвимости, устанавливать сроки устранения уязвимостей, при необходимости отмечать баги как false positive, выгружать отчеты с применением различных фильтров и интегрироваться с багтрекерами.

Чтобы понять насколько это удобно, можно развернуть у себя опенсорсное решение - DefectDojo. Сервис написан на Python и поддерживает более 20 форматов отчетов из различных сканеров: Nessus, Acunetix, Fotify, BurpSuit, Qualys, SonarQube и т.д.

Если вы анализируете код и тестируете приложение в процессе CI/CD, то DefectDojo для вас еще отследит идентификатор сборки, хэш коммита, ветку, тег, SCM и Build сервер, т.д.

Есть и коммерческие решения, например, Risksense, Threadfix.

#soft #vulnerability_management

Meet up о внедрении безопасной разработки

22 октября в 18:00 в Москве мы устраиваем собственный ламповый митап, посвященный информационной безопасности на стадии разработки продукта.

Будем рассказывать, как минимизировать затраты на киберзащиту еще до релиза продукта и как внедрять процессы Secure SDLC.

Легкий фуршет, камерность, немного топового контента и нетворкинга.

Регистрируйтесь!

#meetup

Первые 90 дней специалиста по информационной безопасности в новой компании

Представь ситуацию, ты приходишь в новую компанию и тебе ставят задачу «сделать все безопасно». Задача непростая — с чего начать? Компания Sqreen подготовила полезный чек-лист, который поможет директорам или спецам по ИБ расставить приоритеты по задачам в первые месяцы работы. Думаю, материал будет полезен и тем, кто предлагает консалтинговые услуги.

Чек-лист выполнен в виде небольших заметок с рекомендациями и ссылками на дополнительные материалы. Документ состоит из следующих разделов:

- PROCESS
- CULTURE
- APPLICATION SECURITY
- INFRASTRUCTURE SECURITY
- MONITORING

Чек-лист: https://assets.sqreen.com/whitepapers/early-security-engineer-checklist.pdf

#management #books

В прошлую пятницу прошел наш митап, посвященный информационной безопасности на стадии разработки продукта.

На встрече мы рассказали, как контролировать уровень безопасности между участками цикла разработки и как внедрять процессы Secure SDLC.

Кому не удалось присоединиться к нам, можете посмотреть запись прямой трансляции по ссылке — https://www.youtube.com/watch?v=B-CE-Bwp0dA

Если у вас остались вопросы, задавайте их в комментариях :)

Рассказали Inc по каким причинам бизнес теряет данные и чем это грозит. В конце статьи привели примеры базовых правил гигиены, которые позволят бизнесу улучшить уровень своей информационной безопасности.

Читайте по ссылке. Делитесь своим мнением в комментариях!

Основные задачи фаундеров — выпустить на рынок MVP, как можно быстрее привлечь клиентов, нарастить прибыль и выйти на самоокупаемость. Обычно на этих этапах почти никто не уделяет должного внимания кибербезопасности, но даже одна утечка способна помешать развитию проекта или даже полностью его уничтожить. Inc. разобрался, какие уязвимости чаще всего используют злоумышленники и как обезопасить себя от взломов.

https://inc.click/cybersecurity-startup/

Когда используешь Kubernetes, чтобы запустить Hello world

5-ти минутная интеграция SAST в Gitlab CI/CD

Если ты используешь Gitlab как инструмент для хранения и управления репозиториями, но все еще не внедрил SAST в свой CI/CD, то этот пост для тебя.

Gitlab дает возможность одной строчкой внедрить статический анализатор кода в проект. Для этого необходимо в файл .gitlab-ci.yml добавить необходимый шаблон: Security/SAST.gitlab-ci.yml. Сервис сам определит на каком стеке написан проект и запустит нужный анализатор кода, а результаты можно будет посмотреть в отдельном стейдже или в security dashboard.

Конечно, инструменты нужно настраивать под себя. К сожалению, в community версии можно определить только некоторые переменные, например, SAST_GOSEC_LEVEL (игнорировать уязвимости, найденные Gosec при заданном уровне,. 0 = Не определено, 1 = Низкие, 2 = Средние, 3 = Высокие). В enterprise же можно добавлять и изменять rulesets.

Поддерживаемые языки программирования для быстрой интеграции: https://docs.gitlab.com/ee/user/application_security/sast/

В случае если необходимо использовать SAST со своими правилами и кастомными настройками, всегда можно обратиться к нам за помощью 😉

#soft #ssdlc

Это я пытаюсь сделать скрытный пентест

Что изменилось в OWASP Top 10 с 2017 года

Broken Access Control - данная категория стала наиболее серьезной угрозой для веб-приложений. Например, доступ к API интерфейсам без аутентификации с возможностью отправки POST, PUT, DELETE запросов.

Cryptographic Failures - новое название для категории Sensitive Data Exposure, внимание уделяется ошибкам, которые приводит к раскрытию конфиденциальных данных. Категория выходит на 2-ое место.

Insecure Design - новая категория в 2021, в которой основное внимание уделяется рискам, связанными с недостатками проектирования и реализации веб-приложений.

Многие категории переместились, появились новые, более подробно можно ознакомиться на официальном сайте: https://owasp.org/Top10/

Собственный SOC на OpenSource

Для многих SOC ассоциируется с большим и дорогим решением, которое всегда требует точной настройки и множества специалистов. На самом деле, можно бесплатно внедрить свой небольшой SOC за несколько дней.

Уже несколько лет компания Elastic дает возможность воспользоваться их SIEM на базе стека ELK (Elasticsearch, Logstash и Kibana).

Можно собирать все типы журналов и событий с серверов, сетевых устройств, АРМов пользователей с помощью Beats.

После сбора логов с конечных точек, нужно собрать данные со средств защиты. В ELK SIEM уже встроена функциональность сбора данных с Network и Host Based IDS (Suricata, Wazuh), Iptables, Cisco ASA, Palo Alto FW, это позволяет достаточно быстро получить события с СЗИ и красиво визуализировать их.

Кроме того, в ELK SIEM можно посмотреть сетевые потоки, DNS, для поиска и анализа трафика.

Все данные: системные журналы, события ИБ попадают в Logstash. Logstash — это инструмент для сбора, фильтрации и нормализации логов. Более понятным языком – это штука, в которую закидываются логи в непонятном виде, а на выходе получается структурированный JSON. После обработки данных Elasticsearch будет обрабатывать индексацию данных, это нужно для оптимизации процесса хранения и поиска данных. Затем данные передаются в Kibana, которая, в свою очередь, проводит анализ и визуализацию сохраненных данных.

В расширенной версии ELK SIEM можно применить машинное обучение для выявления аномалий. Сам ELK SIEM можно развернуть у себя или воспользоваться Cloud решением.

Ссылка на официальный сайт: https://www.elastic.co/siem/

Когда понял, что оставил данные на фишинговом сайте.