Еще один сертификат в копилку Awillix
Анастасия Худоярова — наш ведущий специалист по безопасной разработке недавно подтвердила свои навыки сертификатом CDP.
⠀
Документ отражает практический опыт внедрения и управления DevSecOps в организациях. Это независимая оценка способности внедрять безопасность, как часть DevOps, управлять уязвимостями и повышать общий уровень зрелости безопасной разработки.
⠀
Practical DevSecOps (компания Hysn Technologies Inc) — это независимые от поставщиков практические программы обучения и сертификации DevSecOps для ИТ-специалистов. Сертификаты получают после строгих тестов (12-24-часовых экзаменов) и считаются наиболее ценными в области информационной безопасности.
⠀
Мы помогаем клиентам вывести разработку на новый качественный уровень за счет внедрения проверок безопасности на каждом этапе создания продукта. Отстроить процесс по поиску уязвимостей и снижению рисков от потенциальных атак внутри команды.
⠀
Для достижения этого мы вместе с клиентом выполняем:
⠀
— Анализ приложения, выделение стека технологий, основных структурных компонентов;
– Настройку пайпланов безопасности, основываясь на стеке используемых технологий и процесса разработки в команде;
— Настройку SCA анализаторов для анализа потенциально опасных зависимостей;
— Подбор SAST, DAST анализаторов, которые будут наиболее приемлемы по функционалу. Возможны кастомные правила для анализа конкретного приложения;
— Определяем безопасную конфигурацию прод- и тест- сервера в автоматическом режиме настроим процесс безопасного деплоя приложений (IaC, CaC);
— Настраиваем процесс управления выявленными уязвимостями.
⠀
👉 подробности на сайте
Анастасия Худоярова — наш ведущий специалист по безопасной разработке недавно подтвердила свои навыки сертификатом CDP.
⠀
Документ отражает практический опыт внедрения и управления DevSecOps в организациях. Это независимая оценка способности внедрять безопасность, как часть DevOps, управлять уязвимостями и повышать общий уровень зрелости безопасной разработки.
⠀
Practical DevSecOps (компания Hysn Technologies Inc) — это независимые от поставщиков практические программы обучения и сертификации DevSecOps для ИТ-специалистов. Сертификаты получают после строгих тестов (12-24-часовых экзаменов) и считаются наиболее ценными в области информационной безопасности.
⠀
Мы помогаем клиентам вывести разработку на новый качественный уровень за счет внедрения проверок безопасности на каждом этапе создания продукта. Отстроить процесс по поиску уязвимостей и снижению рисков от потенциальных атак внутри команды.
⠀
Для достижения этого мы вместе с клиентом выполняем:
⠀
— Анализ приложения, выделение стека технологий, основных структурных компонентов;
– Настройку пайпланов безопасности, основываясь на стеке используемых технологий и процесса разработки в команде;
— Настройку SCA анализаторов для анализа потенциально опасных зависимостей;
— Подбор SAST, DAST анализаторов, которые будут наиболее приемлемы по функционалу. Возможны кастомные правила для анализа конкретного приложения;
— Определяем безопасную конфигурацию прод- и тест- сервера в автоматическом режиме настроим процесс безопасного деплоя приложений (IaC, CaC);
— Настраиваем процесс управления выявленными уязвимостями.
⠀
👉 подробности на сайте
🔥7❤🔥1👍1
Как-то раз мы задумались про Endpoint Security
Думали ли вы про безопасность своих хостов, будь то виртуалки или физические хосты? Я про то, корректно ли настроена машинка, есть ли уязвимые пакеты или какие-то явыне недостатки? Если да, то, возможно, сможете найти в посте что-то интересное/
Для защиты хостов в инфраструктуре мы сформировали следующие требования:
- Желательно OpenSource;
- Бесплатное решение или из расчета ~10 долларов за хост;
- Возможность выгрузки логов в SIEM или в формате JSON;
- Централизованное управление.
Мы не рассматривали в классическом виде решения класса XDR, так как понимали, что это будет или дорого, или плохо работающее 🙂
После ресерча остановились на двух кандидатах:
- Wazuh
- Vulners
Мы не рассматривали OSSEC, поскольку Wazuh по сути является форком OSSEC и показался более зрелым. А теперь по порядку 🙂
Wazuh
Вазух — это не просто Host Based IDS, это что-то вроде микса SIEM и XDR в одном месте. Система предоставляет централизованное управление и установку агентов на сервера, предоставляя следующие возможности:
- аналитика по детектам;
- безопасность контейнеров;
- обнаружения вторжений;
- анализ данных журналов;
- мониторинг целостности файлов;
- обнаружение уязвимостей в пакетах;
- реагирование на инциденты.
Агенты Wazuh достаточно просто устанавливаются на эндпоинт и осуществляют общение с сервером по зашифрованному каналу. Прекрасно работает с облачными решениями, например, AWS, Google cloud, Azure. Сами агенты могут быть установлены на Win, Linux, MacOS и даже AIX, прекрасно раскатываются с помощью Ansible.
На серверной части в дашбордах можно увидеть аналитику и сработки: уязвимости, аномальное поведение на хосте, анализ журналов логирования, конфигурацию ассета и тд.
Vulners
Наверное, все наслышаны про проект vulners? Кроме endpoint security проект предлагает сервисы, например, Perimeter scanner. Сам агент очень просто устанавливается на Linux сервера и так же прост в управлении. Vulners в отличии от Wazuh направлен конкретно на сканирование уязвимостей, установив агент, вы не получите анализ журналов логирования или мониторинг целостности файла, но зато сможете своевременно и емко получать информацию об уязвимостях на сервере, например, в устаревших пакетах.
Будем пробовать и Vulners, и Wazuh о впечатлениях расскажем в следующих постах.
А есть ли у вас любимчики в классе Endpoint Security? Будем рады услышать о вашем опыте.
Думали ли вы про безопасность своих хостов, будь то виртуалки или физические хосты? Я про то, корректно ли настроена машинка, есть ли уязвимые пакеты или какие-то явыне недостатки? Если да, то, возможно, сможете найти в посте что-то интересное/
Для защиты хостов в инфраструктуре мы сформировали следующие требования:
- Желательно OpenSource;
- Бесплатное решение или из расчета ~10 долларов за хост;
- Возможность выгрузки логов в SIEM или в формате JSON;
- Централизованное управление.
Мы не рассматривали в классическом виде решения класса XDR, так как понимали, что это будет или дорого, или плохо работающее 🙂
После ресерча остановились на двух кандидатах:
- Wazuh
- Vulners
Мы не рассматривали OSSEC, поскольку Wazuh по сути является форком OSSEC и показался более зрелым. А теперь по порядку 🙂
Wazuh
Вазух — это не просто Host Based IDS, это что-то вроде микса SIEM и XDR в одном месте. Система предоставляет централизованное управление и установку агентов на сервера, предоставляя следующие возможности:
- аналитика по детектам;
- безопасность контейнеров;
- обнаружения вторжений;
- анализ данных журналов;
- мониторинг целостности файлов;
- обнаружение уязвимостей в пакетах;
- реагирование на инциденты.
Агенты Wazuh достаточно просто устанавливаются на эндпоинт и осуществляют общение с сервером по зашифрованному каналу. Прекрасно работает с облачными решениями, например, AWS, Google cloud, Azure. Сами агенты могут быть установлены на Win, Linux, MacOS и даже AIX, прекрасно раскатываются с помощью Ansible.
На серверной части в дашбордах можно увидеть аналитику и сработки: уязвимости, аномальное поведение на хосте, анализ журналов логирования, конфигурацию ассета и тд.
Vulners
Наверное, все наслышаны про проект vulners? Кроме endpoint security проект предлагает сервисы, например, Perimeter scanner. Сам агент очень просто устанавливается на Linux сервера и так же прост в управлении. Vulners в отличии от Wazuh направлен конкретно на сканирование уязвимостей, установив агент, вы не получите анализ журналов логирования или мониторинг целостности файла, но зато сможете своевременно и емко получать информацию об уязвимостях на сервере, например, в устаревших пакетах.
Будем пробовать и Vulners, и Wazuh о впечатлениях расскажем в следующих постах.
А есть ли у вас любимчики в классе Endpoint Security? Будем рады услышать о вашем опыте.
👍10
Хело! Соскучились? Айда с нами обсуждать безопасность приложений)
Задумали цикл прямых эфиров, прямо тут на канале, про то, как создавать безопасные приложения, какие проверки безопасности можно автоматизировать, что внедрять на каждом этапе цикла разработки и как поддерживать безопасность после релиза.
Первый эфир будет про ранние стадии разработки с Денисом Макрушиным — экспертом в ИБ, работающим с компаниями из списка Fortune 100. Вот ссылка на канал Дениса — https://news.1rj.ru/str/makrushind
Встречаемся здесь в четверг, 28 июля в 18:00. Вопросы можно будет задавать после эфира голосом или в комментариях к посту.
До связи :)
Информационный партнер — https://news.1rj.ru/str/secmedia
Задумали цикл прямых эфиров, прямо тут на канале, про то, как создавать безопасные приложения, какие проверки безопасности можно автоматизировать, что внедрять на каждом этапе цикла разработки и как поддерживать безопасность после релиза.
Первый эфир будет про ранние стадии разработки с Денисом Макрушиным — экспертом в ИБ, работающим с компаниями из списка Fortune 100. Вот ссылка на канал Дениса — https://news.1rj.ru/str/makrushind
Встречаемся здесь в четверг, 28 июля в 18:00. Вопросы можно будет задавать после эфира голосом или в комментариях к посту.
До связи :)
Информационный партнер — https://news.1rj.ru/str/secmedia
🔥7👍1
Как живет ИБ в индустрии финтеха после санкций, ухода всех зарубежных вендоров и средств защиты? Мы не стали предполагать, а просто спросили CISO крупных банков и финтех компаний — Денис Якимова из Альфа Банк, Виктора Булкина из РСХБ-Интех, Дмитрия Стурова из Ренессанс Кредит, Руслана Ложкина из Абсолют Банк и других.
Из материала вы узнаете:
— Какие новые угрозы и новые векторы атак появились в кризис. Как борются с этим банки;
— Что делать с прекращением поддержки ПО и средств защиты;
— Какие изменения случились в работе кибербезопасников в связи с кризисом.
Инджой — https://ib-bank.ru/bisjournal/blog/41
Из материала вы узнаете:
— Какие новые угрозы и новые векторы атак появились в кризис. Как борются с этим банки;
— Что делать с прекращением поддержки ПО и средств защиты;
— Какие изменения случились в работе кибербезопасников в связи с кризисом.
Инджой — https://ib-bank.ru/bisjournal/blog/41
❤🔥4👍4
Резюме первого эфира с Денисом — с чего начать стартапам и компаниям, которых хотят выстроить процесс безопасной разработки
Вот несколько тезисов:
— Начать стоит с консалтинга, с поиска внешних экспертов, которые смогут оценить текущий уровень зрелости и построить дорожную карту по развитию процессов ИБ.
— Современный разработчик способен писать безопасный код, нужно лишь рассказать о возможных уязвимостях и инструментах, которые могут помочь в написании этого самого безопасного кода.
— Если еще не использовали сканеры кода, зависимостей, IaC, возможно стоит начать сперва с opensource.
— Не забывайте делать поиск секретов в коде, важно искать чувствительные данные не только в текущем коммите, но и по всей истории.
— Если у вас зрелая компания и встроены Security пайплайны, можно посмотреть в сторону фаззинга. Такой подход может помочь обнаружить ошибки в самых неожиданных местах.
Инструменты, которые были упомянуты (+ немного добавил от себя):
SAST:
- SonarQube
- Semgrep (более 20 языков)
- Gosec (Go)
- Bandit (Python)
- Security Code Scan (.NET)
- C++ (Flawfinder)
- JS (Eslint + security plugins)
SCA:
- Dependency track
- Dependency check
- Snyk
Container security:
- Trivy
Поиск секретов
- git-secrets
- Gitleaks
- TruffleHog
DAST:
- OWASP ZAP
- Nuclei
- Arachni
Вот несколько тезисов:
— Начать стоит с консалтинга, с поиска внешних экспертов, которые смогут оценить текущий уровень зрелости и построить дорожную карту по развитию процессов ИБ.
— Современный разработчик способен писать безопасный код, нужно лишь рассказать о возможных уязвимостях и инструментах, которые могут помочь в написании этого самого безопасного кода.
— Если еще не использовали сканеры кода, зависимостей, IaC, возможно стоит начать сперва с opensource.
— Не забывайте делать поиск секретов в коде, важно искать чувствительные данные не только в текущем коммите, но и по всей истории.
— Если у вас зрелая компания и встроены Security пайплайны, можно посмотреть в сторону фаззинга. Такой подход может помочь обнаружить ошибки в самых неожиданных местах.
Инструменты, которые были упомянуты (+ немного добавил от себя):
SAST:
- SonarQube
- Semgrep (более 20 языков)
- Gosec (Go)
- Bandit (Python)
- Security Code Scan (.NET)
- C++ (Flawfinder)
- JS (Eslint + security plugins)
SCA:
- Dependency track
- Dependency check
- Snyk
Container security:
- Trivy
Поиск секретов
- git-secrets
- Gitleaks
- TruffleHog
DAST:
- OWASP ZAP
- Nuclei
- Arachni
🔥6👍4
Как обещали продолжаем говорить о безопасной разработке в эфирах!
В следующий четверг, 11 августа в 18:00 зовем гостем Юрия Шабалина — ведущего архитектора Swordfish Security, автора канала @mobile_appsec_world и DevSecOps-евангелиста. А компанию составит специалист по безопасной разработке Awillix, эксперт в области внедрения и управления DevSecOps в организациях— Анастасия Худоярова.
Обсудим поиск секретов в коде, поиск уязвимостей и небезопасных конструкций.
До связи :)
Информационный партнер — https://news.1rj.ru/str/secmedia
В следующий четверг, 11 августа в 18:00 зовем гостем Юрия Шабалина — ведущего архитектора Swordfish Security, автора канала @mobile_appsec_world и DevSecOps-евангелиста. А компанию составит специалист по безопасной разработке Awillix, эксперт в области внедрения и управления DevSecOps в организациях— Анастасия Худоярова.
Обсудим поиск секретов в коде, поиск уязвимостей и небезопасных конструкций.
До связи :)
Информационный партнер — https://news.1rj.ru/str/secmedia
🔥9👍1
Записи проведенных эфиров) Инджой!
Но все равно приходите на лайв, мы иногда забываем нажать на запись 🙂🤓
Но все равно приходите на лайв, мы иногда забываем нажать на запись 🙂🤓
🔥6😁2
Следующий эфир будет про инструменты динамического сканирования. Что интереснее всего?
Anonymous Poll
41%
Фаззинг
12%
Несколько сред для разработки
53%
Как внедрить процесс безопасности на каждом этапе разработки
34%
Мониторинги, политики, контроли безопасности на этапе разработки
25 августа в 16:00 выступаю в AppSec.Zone на Оffzone
Расскажу про SAST Semgrep и его интеграции в CI/CD. Разберем основы написания собственных правил сканирования.
Semgrep стремительно развивается и поддерживает уже более 25 языков программирования, позволяет сканировать код с data flow, IaC, выявлять секреты и недостатки конфигурации.
Приходите послушать и увидеться :)
Расскажу про SAST Semgrep и его интеграции в CI/CD. Разберем основы написания собственных правил сканирования.
Semgrep стремительно развивается и поддерживает уже более 25 языков программирования, позволяет сканировать код с data flow, IaC, выявлять секреты и недостатки конфигурации.
Приходите послушать и увидеться :)
👍5
This media is not supported in your browser
VIEW IN TELEGRAM
#OFFZONE_2022
⠀
Несколько лет назад на OFFZONE я был модератором-сотрудником Bi.Zone, а вчера выступал на сцене AppSec и отвечал на вопросы из зала :)
⠀
Неизменным остается только высокий уровень организации конференции 🖤
⠀
Несколько лет назад на OFFZONE я был модератором-сотрудником Bi.Zone, а вчера выступал на сцене AppSec и отвечал на вопросы из зала :)
⠀
Неизменным остается только высокий уровень организации конференции 🖤
👍4❤3🏆3
Регулярный анализ защищенности помогает поддерживать безопасность. Но веб-, мобильные приложения и другие ИТ-продукты компаний не стоят на месте, они развиваются с учетом потребностей бизнеса, появляются новые функции, а значит и новые уязвимости. Уровень защищенности снова скатывается к низкому.
Чтобы исключить слепую зону между проверками существуют продукты, которые помогают поддерживать постоянно высокий уровень защищенности ИТ-инфраструктуры компании. Они автоматизируют действия специалистов и снижают затраты на безопасность.
О технических характеристиках, функциональных особенностях, достоинствах и недостатках таких продуктов, в том числе и нашего СVM, мы написали целый обзор на портале Cyber Media.
Чтобы исключить слепую зону между проверками существуют продукты, которые помогают поддерживать постоянно высокий уровень защищенности ИТ-инфраструктуры компании. Они автоматизируют действия специалистов и снижают затраты на безопасность.
О технических характеристиках, функциональных особенностях, достоинствах и недостатках таких продуктов, в том числе и нашего СVM, мы написали целый обзор на портале Cyber Media.
👍6❤1🔥1
Наткнулся на фишинговый интернет-магазин, который не только собирает данные, но и распространяет ВПО, твои действия:
Anonymous Quiz
20%
Найду управляющий сервер группировки и поломаю его
50%
Сообщу об инциденте в CERT
11%
Оставлю данные своей карточки для поддержки проекта
19%
Посоветую магазин своим друзьям
🔥3👍1
Фронтенд часть веб-сервиса совершает запрос к Goolge Maps API, в котором раскрывается API-ключ, что буду делать?
Anonymous Quiz
19%
Ничего, Google API бесплатный
60%
Проверю к каким API сервисам Google подходит данный ключ, некоторые сервисы могут быть платные
8%
Буду использовать этот ключ для своих нужд
14%
Посоветую разработчикам использовать Yandex
Видели, как вчера атаковали «Яндекс.Такси»?
Прокомментировал инцидент газете «Известия».
А вы, что думаете о причинах возникновения сбоя? Верите, что это конкурентная атака Wheely?
Прокомментировал инцидент газете «Известия».
А вы, что думаете о причинах возникновения сбоя? Верите, что это конкурентная атака Wheely?
😁1🤔1
Веб-сервис находится за Cloudlflare, как буду тестировать?
Anonymous Quiz
12%
Запущу Acunetix
4%
Попробую осуществить DoS атаку на CF
77%
Посмотрю историю изменения DNS и попробую отправить запрос напрямую в обход CF
7%
Не страшно, я и так обхожу любое СЗИ
👍4
Часто администраторы совершают ошибки конфигурации Cloudflare, например, допускают обращение к веб-сервису напрямую по IP-адресу. Таким образом, злоумышленник может посмотреть историю изменения DNS-записей и найти реальный IP-адрес, находящийся за CF и отправлять запросы напрямую. Если это не дает результатов, есть и другие техники определения реального адреса, например: собираем поддомены и определяем их IP-адреса, возможно какой-то из сервисов находится не за CF и расположен на одном адресе с сервисом за CF.
Немного ссылок:
Bypassing Cloudflare WAF with the origin server IP address
Allow Cloudflare IP addresses
Немного ссылок:
Bypassing Cloudflare WAF with the origin server IP address
Allow Cloudflare IP addresses
👍3🔥1
Привет всем секьюрити чемпионам!
Познакомились на конференции с Артемом Кадушко и теперь вместе выйдем в третий эфир про безопасность приложений.
📌В среду 14 сентября в 18:00.
Артем — Application Security Engineer, основатель белорусского сообщества по компьютерной безопасности Bulba Hackers. Занимается пентестами и делает разработку безопасной.
Анастасия — специалист по безопасной разработке Awillix, эксперт в области внедрения и управления DevSecOps в организациях.
Поговорим про основные проблемы при внедрении процесса SSDLC, про SCA и DAST-анализаторы, интересные кейсы и разные факапы.
Приходите поболтать, всех ждем :)
Информационный партнер — https://news.1rj.ru/str/secmedia
Познакомились на конференции с Артемом Кадушко и теперь вместе выйдем в третий эфир про безопасность приложений.
📌В среду 14 сентября в 18:00.
Артем — Application Security Engineer, основатель белорусского сообщества по компьютерной безопасности Bulba Hackers. Занимается пентестами и делает разработку безопасной.
Анастасия — специалист по безопасной разработке Awillix, эксперт в области внедрения и управления DevSecOps в организациях.
Поговорим про основные проблемы при внедрении процесса SSDLC, про SCA и DAST-анализаторы, интересные кейсы и разные факапы.
Приходите поболтать, всех ждем :)
Информационный партнер — https://news.1rj.ru/str/secmedia
👍7
Media is too big
VIEW IN TELEGRAM
Запись вчерашнего эфира, пожалуйста 🫴
Ставьте лайки, если формат прямых эфиров вам нравится.
Пишите комментарии, какие темы еще нужно обсудить)
Ставьте лайки, если формат прямых эфиров вам нравится.
Пишите комментарии, какие темы еще нужно обсудить)
👍15