Всем привет, меня зовут Герасимов Александр и это мой личный канал, в котором буду делиться своим опытом, техниками защиты и взлома различных систем, интересными новостями в сфере кибербезопасности.

Stay tuned)

P.S. Кроме всего, будут еще видосики и мемасики)

Как эффективно управлять уязвимостями?

Как быть, если нужно управлять уязвимостями, а источников, которые обнаруживают их очень много:

- сканеры сетевой инфраструктуры
- сканеры веб-приложений
- сканеры кода
- SAST, DAST встроенные в CI/CD
- и т.д.

Заходить в каждый инструмент, выгружать отчеты, заводить задачи в баг-трекере, писать свои скрипты и хуки?

Не стоит) Существует класс решений, которые позволяют собирать результаты сканирований из разных источников, агрегировать уязвимости, устанавливать сроки устранения уязвимостей, при необходимости отмечать баги как false positive, выгружать отчеты с применением различных фильтров и интегрироваться с багтрекерами.

Чтобы понять насколько это удобно, можно развернуть у себя опенсорсное решение - DefectDojo. Сервис написан на Python и поддерживает более 20 форматов отчетов из различных сканеров: Nessus, Acunetix, Fotify, BurpSuit, Qualys, SonarQube и т.д.

Если вы анализируете код и тестируете приложение в процессе CI/CD, то DefectDojo для вас еще отследит идентификатор сборки, хэш коммита, ветку, тег, SCM и Build сервер, т.д.

Есть и коммерческие решения, например, Risksense, Threadfix.

#soft #vulnerability_management

Meet up о внедрении безопасной разработки

22 октября в 18:00 в Москве мы устраиваем собственный ламповый митап, посвященный информационной безопасности на стадии разработки продукта.

Будем рассказывать, как минимизировать затраты на киберзащиту еще до релиза продукта и как внедрять процессы Secure SDLC.

Легкий фуршет, камерность, немного топового контента и нетворкинга.

Регистрируйтесь!

#meetup

Первые 90 дней специалиста по информационной безопасности в новой компании

Представь ситуацию, ты приходишь в новую компанию и тебе ставят задачу «сделать все безопасно». Задача непростая — с чего начать? Компания Sqreen подготовила полезный чек-лист, который поможет директорам или спецам по ИБ расставить приоритеты по задачам в первые месяцы работы. Думаю, материал будет полезен и тем, кто предлагает консалтинговые услуги.

Чек-лист выполнен в виде небольших заметок с рекомендациями и ссылками на дополнительные материалы. Документ состоит из следующих разделов:

- PROCESS
- CULTURE
- APPLICATION SECURITY
- INFRASTRUCTURE SECURITY
- MONITORING

Чек-лист: https://assets.sqreen.com/whitepapers/early-security-engineer-checklist.pdf

#management #books

В прошлую пятницу прошел наш митап, посвященный информационной безопасности на стадии разработки продукта.

На встрече мы рассказали, как контролировать уровень безопасности между участками цикла разработки и как внедрять процессы Secure SDLC.

Кому не удалось присоединиться к нам, можете посмотреть запись прямой трансляции по ссылке — https://www.youtube.com/watch?v=B-CE-Bwp0dA

Если у вас остались вопросы, задавайте их в комментариях :)

Рассказали Inc по каким причинам бизнес теряет данные и чем это грозит. В конце статьи привели примеры базовых правил гигиены, которые позволят бизнесу улучшить уровень своей информационной безопасности.

Читайте по ссылке. Делитесь своим мнением в комментариях!

Основные задачи фаундеров — выпустить на рынок MVP, как можно быстрее привлечь клиентов, нарастить прибыль и выйти на самоокупаемость. Обычно на этих этапах почти никто не уделяет должного внимания кибербезопасности, но даже одна утечка способна помешать развитию проекта или даже полностью его уничтожить. Inc. разобрался, какие уязвимости чаще всего используют злоумышленники и как обезопасить себя от взломов.

https://inc.click/cybersecurity-startup/

Когда используешь Kubernetes, чтобы запустить Hello world

5-ти минутная интеграция SAST в Gitlab CI/CD

Если ты используешь Gitlab как инструмент для хранения и управления репозиториями, но все еще не внедрил SAST в свой CI/CD, то этот пост для тебя.

Gitlab дает возможность одной строчкой внедрить статический анализатор кода в проект. Для этого необходимо в файл .gitlab-ci.yml добавить необходимый шаблон: Security/SAST.gitlab-ci.yml. Сервис сам определит на каком стеке написан проект и запустит нужный анализатор кода, а результаты можно будет посмотреть в отдельном стейдже или в security dashboard.

Конечно, инструменты нужно настраивать под себя. К сожалению, в community версии можно определить только некоторые переменные, например, SAST_GOSEC_LEVEL (игнорировать уязвимости, найденные Gosec при заданном уровне,. 0 = Не определено, 1 = Низкие, 2 = Средние, 3 = Высокие). В enterprise же можно добавлять и изменять rulesets.

Поддерживаемые языки программирования для быстрой интеграции: https://docs.gitlab.com/ee/user/application_security/sast/

В случае если необходимо использовать SAST со своими правилами и кастомными настройками, всегда можно обратиться к нам за помощью 😉

#soft #ssdlc

Это я пытаюсь сделать скрытный пентест

Что изменилось в OWASP Top 10 с 2017 года

Broken Access Control - данная категория стала наиболее серьезной угрозой для веб-приложений. Например, доступ к API интерфейсам без аутентификации с возможностью отправки POST, PUT, DELETE запросов.

Cryptographic Failures - новое название для категории Sensitive Data Exposure, внимание уделяется ошибкам, которые приводит к раскрытию конфиденциальных данных. Категория выходит на 2-ое место.

Insecure Design - новая категория в 2021, в которой основное внимание уделяется рискам, связанными с недостатками проектирования и реализации веб-приложений.

Многие категории переместились, появились новые, более подробно можно ознакомиться на официальном сайте: https://owasp.org/Top10/

Собственный SOC на OpenSource

Для многих SOC ассоциируется с большим и дорогим решением, которое всегда требует точной настройки и множества специалистов. На самом деле, можно бесплатно внедрить свой небольшой SOC за несколько дней.

Уже несколько лет компания Elastic дает возможность воспользоваться их SIEM на базе стека ELK (Elasticsearch, Logstash и Kibana).

Можно собирать все типы журналов и событий с серверов, сетевых устройств, АРМов пользователей с помощью Beats.

После сбора логов с конечных точек, нужно собрать данные со средств защиты. В ELK SIEM уже встроена функциональность сбора данных с Network и Host Based IDS (Suricata, Wazuh), Iptables, Cisco ASA, Palo Alto FW, это позволяет достаточно быстро получить события с СЗИ и красиво визуализировать их.

Кроме того, в ELK SIEM можно посмотреть сетевые потоки, DNS, для поиска и анализа трафика.

Все данные: системные журналы, события ИБ попадают в Logstash. Logstash — это инструмент для сбора, фильтрации и нормализации логов. Более понятным языком – это штука, в которую закидываются логи в непонятном виде, а на выходе получается структурированный JSON. После обработки данных Elasticsearch будет обрабатывать индексацию данных, это нужно для оптимизации процесса хранения и поиска данных. Затем данные передаются в Kibana, которая, в свою очередь, проводит анализ и визуализацию сохраненных данных.

В расширенной версии ELK SIEM можно применить машинное обучение для выявления аномалий. Сам ELK SIEM можно развернуть у себя или воспользоваться Cloud решением.

Ссылка на официальный сайт: https://www.elastic.co/siem/

Когда понял, что оставил данные на фишинговом сайте.

Уязвимости в бизнес-логике, которые не распознает ни один сканер (сфера финтех)

С каждым годом банковские веб-приложения становятся более отказоустойчивыми и имеют все меньше технических уязвимостей: SQL-инъекции, XSS, RFI/LFI и так далее. Более актуальными становятся атаки, направленные на эксплуатацию уязвимостей в бизнес-логике.

Злоумышленники могут:

— Обходить механизмы защиты, пропуская шаг подтверждения входа в личный кабинет с помощью N-значного кода в СМС. Например, чат-боты в мессенджерах позволяют более удобно и быстро пользоваться картами, переводами и платежами, но могут представлять угрозу безопасности, если не протестированы в полном объеме.

Недавно мы проводили аудит нового продукта одного из банков. За несколько дней мы обнаружили множество ошибок в логике работы приложения, которые позволяли получить доступ к аккаунту, балансу пользователей и счетам. Удалось даже обойти механизм подтверждения операции.

— Совершать фродовые операции, накручивая баланс за счет функциональности обмена валюты. Например, в приложении есть функциональность перевода одной валюты в другую и обратно. При этом происходит округление в бОльшую сторону. Можно сделать множественную операцию на перевод и таким образом накрутить баланс или получить более выгодный курс валюты.

— Совершать множественные операции, требующие больших вычислительных ресурсов, тем самым вызывая отказ в обслуживании, что наносит компании-жертве репутационный ущерб.

Такого рода ошибки не найдет ни один сканер безопасности, что делает ручные проверки силами квалифицированных пентестеров все более востребованными.

Избегать проблем в логике приложений позволяют анализ кода и процессы безопасной разработки (Secure SDLC), о которых мы так много говорили на митапе.

#pentest

Безопасность Docker-контейнеров

Если вы используете Docker, то наверняка задумывались о том, как правильно, с точки зрения безопасности, собрать образ и развернуть контейнер. Компания Linode подготовила интересный документ - “Основы безопасности Docker”, в котором разобрали следующие темы:

- Как правильно настроить сервер, на котором будет работать Docker
- Настройка логирования
- Конфигурация Docker Deamon
- Безопасность Docker-контейнеров
- Аудит и сканирование безопасности Docker-контейнеров
- Безопасная сборка Docker-образов

И еще много всего интересного, с радостью делюсь материалом :)

Уязвимости в бизнес-логике, которые не распознает ни один сканер (сфера ecom)

Продолжаем поднимать тему атак, направленных на эксплуатацию уязвимостей в бизнес-логике. На этот раз в сфере ecom-а и ритейла.

Несколько популярных примеров логических уязвимостей:

— Заказ без подтверждения, который ломает логистику. Если функциональность интернет-магазина позволяет оформить заказ без подтверждения по телефону, то оператор не сможет отличить его от фейка. Примет заказ и отправит товар со склада по адресу, где никого нет. При многократном повторении злоумышленник может перегрузить логистику, остановить работу магазина и нанести огромный ущерб бизнесу. Необходимо всегда делать подтверждение по SMS/звонку и использовать механизм ограничения множественных запросов.

— Некорректная авторизация по номеру телефона. Многие онлайн-сервисы используют SMS-коды в качестве механизма авторизации пользователей. Но допускают ошибки, например, не делают ограничений по количеству попыток или сроку жизни кода подтверждения. Как правило, код состоит из 4-6 цифр, так что максимальное количество запросов, необходимых для перебора — 1 миллион, что совсем немного.

— Отсутствие механизма защиты от перебора промокодов.
Промокод генерируется при выдаче и сохраняется в базе данных. Если владелец промокода еще не активировал его, злоумышленник может перебирать и активировать такие коды. Нужно привязывать промокод к конкретному пользователю и реализовывать механизмы защиты от множественных запросов.

— Класс атаки Circumvention of Work Flows
Позволяет злоумышленнику обойти последовательность взаимодействия с приложением или условия его бизнес-логики. Например, если механизм реализован некорректно, то злоумышленник сможет оформить заказ, пропустив этап оплаты, и получить подтверждение заказа в CRM.

В следующий раз расскажу о популярных логических уязвимостях в интернет-сервисах.

#pentest

Каждого компетентного специалиста рано или поздно настигает профессиональная деформация. Безопасники не исключение. Загибай пальцы если ты:

1. Используешь больше 32 символов для пароля на WiFi;
2. Можешь вытащить модуль микрофона из телефона;
3. Не используешь WiFi, кроме домашнего;
4. Всегда пользуешься VPN;
5. Всегда шифруешь данные;
6. Выпаеваешь USB-порты на ноутбуке;
7. Испытываешь проблемы с оформлением визы;
8. Блокируешь компьютер, каждый раз отходя от него;
9. В социальных сетях и мессенджерах тебя нельзя узнать по аватарке или имени.

Если загнул больше 5 — значит у тебя безопасность головного мозга :)

Пишите, какие признаки и стереотипы про нашу профессию слышали вы 👇