Системный дизайн и архитектура ПО: заметки архитектора

Архитектор безопасности (security architect) – это роль в команде разработки ПО, которая отвечает за создание и внедрение механизмов безопасности в разрабатываемую систему с целью снижения рисков ИБ.

Невозможно создать что-то и затем внедрить в систему без понимания архитектуры этой системы и ее модели угроз. Поэтому security-архитектор должен разбираться в системном дизайне и понимать объект, с которым он работает (бизнес-процесс, отказоустойчивая платформа, облачное приложение и прочее). Например, выбрать подход аутентификации и авторизации в облачной среде, построенной на базе микросеврисов, невозможно без понимания принципов микросервисной архитектуры.

В комментариях к этому посту буду складывать свои заметки об архитектуре ПО и отказоустойчивой архитектуре, в частности. При этом, если захочешь углубиться в системный дизайн, то рекомендую изучить контент в плейлисте System Design Fundamentals.

Зашел как-то в гости в НИЯУ МИФИ. Товарищи с кафедры встретили, поставили камеру и говорят: "Рассказывай, кто такой архитектор безопасности. И нет, вырезать из записи ничего не будем" 😄

JavaScript prototype pollution: практика поиска и эксплуатации

«Если вы следите за отчетами исследователей, которые участвуют в bug bounty программах, то наверняка знаете про категорию уязвимостей JavaScript prototype pollution. А если не следите и встречаете это словосочетание впервые, то предлагаю вам закрыть этот пробел, ведь эта уязвимость может привести к полной компрометации сервера и клиента. Наверняка хотя бы один продуктов вашей (или не вашей) компании работает на JavaScript: клиентская часть веб-приложения, десктоп (Electron), сервер (NodeJS) или мобильное приложение.

Эта статья поможет вам погрузиться в тему prototype pollution (eng-версия статьи). В разделах “Особенности JavaScript” и “Что такое prototype pollution?” вы узнаете как работают объекты и прототипы JavaScript и как особенности их функционирования могут привести к уязвимостям. В разделах “Prototype pollution на сервере” и “Prototype pollution на клиенте” вы научитесь искать и эксплуатировать эту уязвимость на кейсах из реального мира. Наконец вы изучите способы защиты и почему самый распространенный способ защиты можно легко обойти.»

Исследование Никиты Ступина из команды Advanced Security Research (исследовательский центр Huawei), которое включено в «Top 10 web hacking techniques of 2021».

JS PP + CVE = PHDays BHHub

С помощью описанного в исследовании алгоритма поиска уязвимости JS PP, Никита обнаружил 3 баги в парсере multi-ini и одну в npm-пакете merge-deep:

* CVE-2020-28449
* CVE-2020-28450
* CVE-2020-28460

С зарегистрированными CVE все прошло гладко, а вот с багой merge-deep вышла забавная ситуация. После отправки репорта мейнтейнер долго не выходил на связь, и в итоге эту же уязвимость нашли исследователи GitHub Security Lab, сумели выйти на мейнтейнера раньше и зарегистрировали GHSL-2020-160. И это был хороший урок для нашей команды: нельзя затягивать с подготовкой репорта.

Мы собрали три наших исследования (JS PP, обзор архитектурных паттернов, и введение в фаззинг бинарных приложений) и при поддержке Тимур Юнусова организовали Bug Hunting Village - выделенную секцию на PHDays, посвященную поиску и эксплуатации уязвимостей.

⭐️
Оставлю эту сторис здесь. Пусть будет напоминалкой для тех, кто изучает новую область и берется за новое дело.

Итоги ПМЭФ 2023: второе место в финале Международного Киберчемпионата

Наша команда “You Shall Not Pass” защитила инфраструктуру виртуального города от атак и с отставанием в один балл заняла второе место в рейтинге.

Инфраструктура киберполигона интегрирована с настоящим оборудованием, которое используется в реальной инфраструктуре предприятий. Это значит, что сценарии атак в этой среде вполне реальные.

Наша статистика:

1. атакующий осуществил 0 успешных атак во внутренней части защищаемой инфраструктуры и не смог пробраться дальше DMZ;
2. мы написали примерно 100 строчек кода (несколько скриптов автоматизации и конфиг auditd);
3. съели 9 пицц.

Поздравляем победителей и крепко жмем руку организаторам соревнования! Поднимаем кружку чая на кухне нашего Security Operations Center и возвращаемся к работе.

Где взять квалифицированных ИБ-специалистов?

Пятый выпуск подкаста ОБИБЭ посвящён острейшей теме кадрового голода и тому, как с этим вызовом справляются в МТС RED, «Лаборатории Касперского», Озоне и Авито.

Есть ли альтернатива релокации, какие основные сложности при найме, что нравится кандидатам, и надо ли готовить сотрудников со школьной скамьи?

«Наступательный ИИ» в руках атакующего

Концепция «наступательного ИИ» заключается в использовании технологий машинного обучения для осуществления вредоносных действий. Эти действия разделяются на два множества:
1. атаки на системы, использующие ИИ или «adversarial ML», которым мы с Иваном Капуниным посвятили отдельную лекцию;
2. атаки с использованием ИИ для совершенствования техник атакующего.

Авторы лаборатории Offensive AI подготовили интересный обзор сценариев применения ИИ в наступательных целях. Инсайты:
* авторы насчитали 33 техники, в которых атакующий может использовать ИИ, и разделили их на блоки: automation, campaign resilience, credential theft, exploit development, information gathering, social engineering, stealth;
* все сценарии атак могут быть разделены по следующим задачам: Предсказание, Генерация, Анализ, Извлечение, Принятие решения.

Для меня наиболее примечательными являются две задачи: Предсказание и Принятие решения. Посмотрим, какие исследования существуют в этом направлении.

Задачи «наступательного ИИ»: Предсказание и Принятие Решения

Авторы упомянутой работы, привели примеры сценариев, в которых ИИ помогает атакующему совершенствовать свои техники, делать прогноз развития атаки или принимать решение в процессе ее реализации:

1. Локализация уязвимостей в ПО. Например, помощь в разборе результатов фаззинга. И вот тут открывается возможность для совершенствования технологий автоматической генерации эксплойтов (automatic exploit generation).
2. Определение чувствительных атрибутов пользователя на основе публичной информации из социальных сетей, которые можно использовать для автоматизации атак с использованием методов социальной инженерии. Таким образом ИИ позволяет атаковать большее количество организаций с высокой точностью и меньшим количеством ресурсов со стороны атакующего.
3. Поиск наиболее значимой информации в процессе шпионажа. Например, ИИ может выделять ценные данные из массива и тем самым снижать объем передаваемой информации на стадии эксфильтрации данных. Кража данных может производиться быстрее и незаметно для средств мониторинга.

Для реализации задач категории «Принятие решения» в процессе анализа защищенности разработан инструмент AutoPentest-DRL, который использует алгоритмы глубинного обучения с подкреплением (deep reinforcement learning, DRL) для определения наиболее подходящего пути атаки в заданной сети. Результат работы этого фреймворка может быть передан в инструменты эксплуатации (например, Metasploit) для автоматизации работы пентестера. В графе возможных атак этот инструмент позволяет определить оптимальный путь и сократить время атакующего от момента закрепления в сети до продвижения к цели.

Что общего между инвестированием и кибербезопасностью?

Риски.

В тот период, когда Positive Technologies еще не вышла на биржу, мы организованной толпой с chief-друзьями Максимом Пустовым (тогда: COO в Positive Technologies) и Александром Гостевым (тогда и сейчас: Chief Technology Expert в Kaspersky) под пристальным вниманием Павла Кушелева (тогда: ведущий «Вести NET») обсуждали тренды на сложных технологических рынках ИТ и кибербезопасности, рассказывали о своих стратегиях инвестирования и управления рисками. Простым и понятным языком.

Запилили 4 выпуска “IT’s Positive Investing” и сложили их в Apple Podcasts и Яндекс Подкасты. Теперь можно провести ретроспективный анализ этого контента.

NIST Cybersecurity Framework v2.0: новая ключевая функция

Этим летом выйдет драфт второй версии фреймворка NIST CSF, который используется организациями по всему миру для построения процессов информационной безопасности и управления рисками. Текущая версия описывает пять функций жизненного цикла ИБ:

* Identify: определение ресурсов, которые нужно защищать
* Protect: определение мер защиты для каждого ресурса
* Detect: выявление инцидентов и новых угроз
* Respond: реагирование на инцидент с целью снижения последствий
* Recover: определение мер восстановления после инцидента

В драфте второй версии фреймворка этот список пополнится новой функцией. Я ожидал, что это будет что-то вроде “Predict”, как в модели адаптивной безопасности, про которую рассказал в статье “Проект Red Team”. Этот раздел мог бы раскрыть суперсилу ИИ для предиктивной аналитики и прогнозирования угроз. Но нет: в новой версии будет представлена функция “Govern”, которая закрепит полномочия человека в процессе управления политиками и ролями ИБ.

Прийдется делать свой апдейт к этому фреймворку и описывать функцию прогнозирования.

Знай свою поверхность атаки.

Какие ресурсы доступны онлайн? Сколько портов сейчас открыто? И сколько будет ресурсов в онлайне через 15 минут? Через день? А в эти выходные? Собирай информацию о поверхности атаки хотя бы каждый час.

Скорость шифровальщиков от момента компрометации до повреждения файлов - 5 минут 50 секунд. А сколько времени нужно тебе, чтобы разобраться в своем периметре?

На фотографии: поверхность атаки для бизнеса уровня Enterprise. Самые популярные открытые порты: ssh, почтовые и веб-сервисы. А вот самые непопулярные внизу: системы управления зданиями, принтеры, АСУ ТП. И кстати, оказалось, что все доступные системы управления зданиями содержат критическую уязвимость в протоколе niagara fox, которая позволяет получить доступ к операторской панели и всем подключенным системам: кондиционеры, вода, освещение, двери.

С чего начать мониторить периметр, если нет бюджета на дорогие сканеры? Опен-сорсный Nuclei поможет.