Как быстро определить поддомены организации

Сбор поддоменов — важная часть этапа рекогносцировки в пентестах, анализах защищенности. Также это может помочь организациям обнаружить забытые или ненужные публикации.

Если не хотите ставить утилиты для сбора информации о поддоменах, например, amaas, Sublist3r, можно воспользоваться специальными сервисам:

➜ Project Corbat: очень крутой исследовательский проект компании Rapid7, за секунду выгружает список поддоменов, находит TLD, умеет в Reverse DNS Lookup.

➜ Subdomain Finder: веб-сервис, который за короткое время показывает поддомены компании и определяет, используется ли Cloudfalre.

➜ crt.sh: поиск сертификатов, в которых поле CN совпадает с указанным доменом. Как известно, в поле CN может быть не один домен.

➜ Virustotal: кроме анализа файлов и сайтов на наличие малвари virustotal позволяет увидеть связи между доменным именем, в том числе поддоменов.

Конечно, есть и другие: Censys, Shodan и подобные, но, наверняка, вы о них уже знаете 😉

Переход от иностранных коммерческих сканеров кода к отечественным и свободно распространяемым

— Есть ли достойные бесплатные DAST-решения?
— Как можно писать собственные правила для поиска специфичных уязвимостей в динамике?
— Сканеры безопасности docker-образов: уменьшаем поверхность атаки в несколько шагов.

Доклад с конференции HighLoad Foundation теперь доступен в записи — https://www.youtube.com/watch?v=45IpvUW8P4E
Инджой!

Еще видео-контент.

Записали интервью для канала «Галера Морева». Я ответил на все вопросы разработчика о безопасности.

А именно:
— как перейти в ИБ если ты разработчик;
— как устроен мир кибербезопасности, как взаимодействуют команды красных и синих;
— что должны знать разработчики про кибербезопасность;
— основные принципы ИБ: целостность, доступность, конфиденциальность;
— кибербез с точки зрения пользователя и бизнеса;
— что злоумышленник может сделать с данными;
— почему всех беспокоит безопасность персональных данных;
— безопасность как процесс — из чего он состоит;
— о чем стоит думать разработчикам когда они пишут код: окружение, технические уязвимости и уязвимости в бизнес-логике;
— подходы к тестированию ПО: белый, серый, черный ящик;
— аpplication Security;
— как я делаю пентесты :)
— как происходит развитие вектора хакерской атаки;
— какие услуги и продукты существуют на рынке ИБ.

Смотреть по ссылке 👉 https://www.youtube.com/watch?v=sEJVKvMQOwQ

Многие заказчики наших пентестов думают, что подобрать пароль из 8-12 символов, это сложно и долго. Но это заблуждение.
⠀
За последние несколько лет технологии развились настолько, что огромные вычислительные мощности стали доступными для многих. Например, если злоумышленнику удалось получить базу хешей с паролями, то для их перебора в автоматическом режиме он может использовать «ферму», такую же, как используют майнеры для добычи криптовалюты.
⠀
Недавно мы приобрели себе такую ферму для решения сложных математических задач в рамках своего продукта — Continious Vulnerability Monitoring (CVM). Ферму мы в основном используем для обучения (deep learning) нашей нейронной сети с вычислением функций максимизации через множество различных производных.
⠀
Но это не помешало нам опробовать ферму для перебора базы хешей ntds, выгруженной с домен-контроллера, в одном из текущих пентест-проектов. Скорость перебора хешей на такой ферме впечатляет — порядка 132 миллиарда хешей в секунду.
⠀
Это позволяет подобрать практически все пользовательские пароли, состоящие из слов, комбинации слов или цифр примерно за доли секунды. Использовать различные методики перебора со сложными мутациями.
⠀
Если ваш пароль состоит из нескольких слов, пусть даже самых экзотических, дополнительных букв или цифр — это не гарантия безопасности. Используйте по-настоящему сложные пароли и различные дополнительные меры защиты, например, второй фактор. Видеокарты стремительно дешевеют во всем мире. Кто знает, что использует злоумышленник против вас?

Еще один сертификат в копилку Awillix

Анастасия Худоярова — наш ведущий специалист по безопасной разработке недавно подтвердила свои навыки сертификатом CDP.
⠀
Документ отражает практический опыт внедрения и управления DevSecOps в организациях. Это независимая оценка способности внедрять безопасность, как часть DevOps, управлять уязвимостями и повышать общий уровень зрелости безопасной разработки.
⠀
Practical DevSecOps (компания Hysn Technologies Inc) — это независимые от поставщиков практические программы обучения и сертификации DevSecOps для ИТ-специалистов. Сертификаты получают после строгих тестов (12-24-часовых экзаменов) и считаются наиболее ценными в области информационной безопасности.
⠀
Мы помогаем клиентам вывести разработку на новый качественный уровень за счет внедрения проверок безопасности на каждом этапе создания продукта. Отстроить процесс по поиску уязвимостей и снижению рисков от потенциальных атак внутри команды.
⠀
Для достижения этого мы вместе с клиентом выполняем:
⠀
— Анализ приложения, выделение стека технологий, основных структурных компонентов;
– Настройку пайпланов безопасности, основываясь на стеке используемых технологий и процесса разработки в команде;
— Настройку SCA анализаторов для анализа потенциально опасных зависимостей;
— Подбор SAST, DAST анализаторов, которые будут наиболее приемлемы по функционалу. Возможны кастомные правила для анализа конкретного приложения;
— Определяем безопасную конфигурацию прод- и тест- сервера в автоматическом режиме настроим процесс безопасного деплоя приложений (IaC, CaC);
— Настраиваем процесс управления выявленными уязвимостями.
⠀
👉 подробности на сайте

Как-то раз мы задумались про Endpoint Security

Думали ли вы про безопасность своих хостов, будь то виртуалки или физические хосты? Я про то, корректно ли настроена машинка, есть ли уязвимые пакеты или какие-то явыне недостатки? Если да, то, возможно, сможете найти в посте что-то интересное/

Для защиты хостов в инфраструктуре мы сформировали следующие требования:

- Желательно OpenSource;
- Бесплатное решение или из расчета ~10 долларов за хост;
- Возможность выгрузки логов в SIEM или в формате JSON;
- Централизованное управление.

Мы не рассматривали в классическом виде решения класса XDR, так как понимали, что это будет или дорого, или плохо работающее 🙂

После ресерча остановились на двух кандидатах:

- Wazuh
- Vulners

Мы не рассматривали OSSEC, поскольку Wazuh по сути является форком OSSEC и показался более зрелым. А теперь по порядку 🙂

Wazuh

Вазух — это не просто Host Based IDS, это что-то вроде микса SIEM и XDR в одном месте. Система предоставляет централизованное управление и установку агентов на сервера, предоставляя следующие возможности:

- аналитика по детектам;
- безопасность контейнеров;
- обнаружения вторжений;
- анализ данных журналов;
- мониторинг целостности файлов;
- обнаружение уязвимостей в пакетах;
- реагирование на инциденты.

Агенты Wazuh достаточно просто устанавливаются на эндпоинт и осуществляют общение с сервером по зашифрованному каналу. Прекрасно работает с облачными решениями, например, AWS, Google cloud, Azure. Сами агенты могут быть установлены на Win, Linux, MacOS и даже AIX, прекрасно раскатываются с помощью Ansible.

На серверной части в дашбордах можно увидеть аналитику и сработки: уязвимости, аномальное поведение на хосте, анализ журналов логирования, конфигурацию ассета и тд.

Vulners

Наверное, все наслышаны про проект vulners? Кроме endpoint security проект предлагает сервисы, например, Perimeter scanner. Сам агент очень просто устанавливается на Linux сервера и так же прост в управлении. Vulners в отличии от Wazuh направлен конкретно на сканирование уязвимостей, установив агент, вы не получите анализ журналов логирования или мониторинг целостности файла, но зато сможете своевременно и емко получать информацию об уязвимостях на сервере, например, в устаревших пакетах.

Будем пробовать и Vulners, и Wazuh о впечатлениях расскажем в следующих постах.

А есть ли у вас любимчики в классе Endpoint Security? Будем рады услышать о вашем опыте.

Хело! Соскучились? Айда с нами обсуждать безопасность приложений)

Задумали цикл прямых эфиров, прямо тут на канале, про то, как создавать безопасные приложения, какие проверки безопасности можно автоматизировать, что внедрять на каждом этапе цикла разработки и как поддерживать безопасность после релиза.

Первый эфир будет про ранние стадии разработки с Денисом Макрушиным — экспертом в ИБ, работающим с компаниями из списка Fortune 100. Вот ссылка на канал Дениса — https://news.1rj.ru/str/makrushind

Встречаемся здесь в четверг, 28 июля в 18:00. Вопросы можно будет задавать после эфира голосом или в комментариях к посту.

До связи :)

Информационный партнер — https://news.1rj.ru/str/secmedia

Как живет ИБ в индустрии финтеха после санкций, ухода всех зарубежных вендоров и средств защиты? Мы не стали предполагать, а просто спросили CISO крупных банков и финтех компаний — Денис Якимова из Альфа Банк, Виктора Булкина из РСХБ-Интех, Дмитрия Стурова из Ренессанс Кредит, Руслана Ложкина из Абсолют Банк и других.

Из материала вы узнаете:

— Какие новые угрозы и новые векторы атак появились в кризис. Как борются с этим банки;
— Что делать с прекращением поддержки ПО и средств защиты;
— Какие изменения случились в работе кибербезопасников в связи с кризисом.

Инджой — https://ib-bank.ru/bisjournal/blog/41

Резюме первого эфира с Денисом — с чего начать стартапам и компаниям, которых хотят выстроить процесс безопасной разработки

Вот несколько тезисов:

— Начать стоит с консалтинга, с поиска внешних экспертов, которые смогут оценить текущий уровень зрелости и построить дорожную карту по развитию процессов ИБ.
— Современный разработчик способен писать безопасный код, нужно лишь рассказать о возможных уязвимостях и инструментах, которые могут помочь в написании этого самого безопасного кода.
— Если еще не использовали сканеры кода, зависимостей, IaC, возможно стоит начать сперва с opensource.
— Не забывайте делать поиск секретов в коде, важно искать чувствительные данные не только в текущем коммите, но и по всей истории.
— Если у вас зрелая компания и встроены Security пайплайны, можно посмотреть в сторону фаззинга. Такой подход может помочь обнаружить ошибки в самых неожиданных местах.

Инструменты, которые были упомянуты (+ немного добавил от себя):

SAST:

- SonarQube
- Semgrep (более 20 языков)
- Gosec (Go)
- Bandit (Python)
- Security Code Scan (.NET)
- C++ (Flawfinder)
- JS (Eslint + security plugins)

SCA:

- Dependency track
- Dependency check
- Snyk

Container security:

- Trivy

Поиск секретов

- git-secrets
- Gitleaks
- TruffleHog

DAST:

- OWASP ZAP
- Nuclei
- Arachni