Hey folks!
On June 4-5th, we invite you to the conference Let's Talk #Security by DevOpsDays Ukraine community ⚙️
🛡 A two-day virtual event is dedicated to security integration throughout the IT lifecycle. We'll discuss context-based security, cloud hacking scenarios, information security in the cloud, defense against cyberattacks and the complexities of cyber warfare, vulnerability management implementation with AWS services, OWASP Top Web Application Security Risks, and more.
Presentations, ignite talks and open space discussion await you!
Check out agenda & register 👉 https://www.devopsdays.com.ua
When? June 4-5
Where? Online
Join for free!
On June 4-5th, we invite you to the conference Let's Talk #Security by DevOpsDays Ukraine community ⚙️
🛡 A two-day virtual event is dedicated to security integration throughout the IT lifecycle. We'll discuss context-based security, cloud hacking scenarios, information security in the cloud, defense against cyberattacks and the complexities of cyber warfare, vulnerability management implementation with AWS services, OWASP Top Web Application Security Risks, and more.
Presentations, ignite talks and open space discussion await you!
Check out agenda & register 👉 https://www.devopsdays.com.ua
When? June 4-5
Where? Online
Join for free!
🔥3❤2
AWS + CVE-2024-6387 (RCE vulnerability in OpenSSH)
Amazon Linux 2 - Not Affected ✅
Amazon Linux 2023 - Pending Fix ⚠️
https://explore.alas.aws.amazon.com/CVE-2024-6387.html
CVE-2024-6387 description:
https://www.wiz.io/blog/cve-2024-6387-critical-rce-openssh
#security
Amazon Linux 2 - Not Affected ✅
Amazon Linux 2023 - Pending Fix ⚠️
https://explore.alas.aws.amazon.com/CVE-2024-6387.html
CVE-2024-6387 description:
https://www.wiz.io/blog/cve-2024-6387-critical-rce-openssh
Based on what is currently known about this vulnerability, Wiz Research estimates that widespread exploitation is unlikely.
The vulnerability has only been proven as exploitable under lab conditions on 32-bit Linux/glibc systems with ASLR. Exploitation on 64-bit systems has not been proven but is believed to be possible.
#security
wiz.io
RCE vulnerability in OpenSSH: everything you need to know | Wiz Blog
Detect and mitigate CVE-2024-6387, a remote code execution vulnerability in OpenSSH. Organizations are advised to patch urgently.
😍3👻1
Полезная ссылочка для вечных дискуссий о "небезопасности облаков".
https://www.abc.net.au/news/2024-07-04/amazon-contract-top-secret-australian-military-intelligence/104057196
#security
https://www.abc.net.au/news/2024-07-04/amazon-contract-top-secret-australian-military-intelligence/104057196
#security
www.abc.net.au
Amazon wins $2b contract to store 'top-secret' Australian military intelligence
American technology giant Amazon will establish a "top-secret" data cloud to store classified Australian military and intelligence information under a partnership with the federal government.
👍8
AWS for DORA (Digital Operational Resilience Act) =
• WAF (Well-Architected Framework)
• IAM
• KMS
• Shield
• Config
• Backup
• CloudTrail
• GuardDuty
• CloudWatch
• Security Hub
• Resilience Hub
• Audit Manager
• Trusted Advisor
https://d1.awsstatic.com/fs-compliance-center/pdf-summaries/AWS-User-Guide-to-the-Digital-Operational-Resilience-Act.pdf
#security
• WAF (Well-Architected Framework)
• IAM
• KMS
• Shield
• Config
• Backup
• CloudTrail
• GuardDuty
• CloudWatch
• Security Hub
• Resilience Hub
• Audit Manager
• Trusted Advisor
https://d1.awsstatic.com/fs-compliance-center/pdf-summaries/AWS-User-Guide-to-the-Digital-Operational-Resilience-Act.pdf
#security
👍10
Длинный список реально хороших ресурсов по AWS security:
https://medium.com/@goodycyb/practical-checklist-for-aws-cloud-security-engineer-3271f9afb338
#security
https://medium.com/@goodycyb/practical-checklist-for-aws-cloud-security-engineer-3271f9afb338
#security
Medium
Practical Checklist for AWS Cloud Security Engineers — 2026
This blog is regularly updated with new resources that are useful for AWS Cloud Security Engineers.
👍9
Student SCP policy — политика для защиты аккаунтов, предназначенных для изучения AWS.
Покрыты все нужные сервисы, запрещены неадекватные действия по биллингу, запрещены действия, которые могут иметь долгосрочный и неотвратимый характер.
Student SCP policy не имеет ограничений на адекватные действия и создание любых ресурсов, что могут потребоваться для изучения. Поэтому предполагается обязательная настройка AWS Budgets и алертов.
Если требуется более жёсткие ограничений, то нужно использовать Allow List Approach — вместо запрещения проблемных лишь разрешать нужные.
#security #organizations #scp
Покрыты все нужные сервисы, запрещены неадекватные действия по биллингу, запрещены действия, которые могут иметь долгосрочный и неотвратимый характер.
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "StudentSCPpolicy",
"Effect": "Deny",
"Action": [
"athena:CreateCapacityReservation",
"aws-marketplace:AcceptAgreementRequest",
"aws-marketplace:CreateAgreementRequest",
"aws-marketplace:CreatePrivateMarketplaceRequests",
"aws-marketplace:Subscribe",
"backup:CreateLogicallyAirGappedBackupVault",
"backup:PutBackupVaultLockConfiguration",
"bedrock:CreateFoundationModelAgreement",
"bedrock:CreateProvisionedModelThroughput",
"cloudfront:CreateSavingsPlan",
"devicefarm:PurchaseOffering",
"directconnect:ConfirmCustomerAgreement",
"dynamodb:PurchaseReservedCapacityOfferings",
"ec2:AcceptReservedInstancesExchangeQuote",
"ec2:CreateCapacityReservation",
"ec2:CreateCapacityReservationFleet",
"ec2:CreateReservedInstancesListing",
"ec2:LockSnapshot",
"ec2:PurchaseCapacityBlock",
"ec2:PurchaseHostReservation",
"ec2:PurchaseReservedInstancesOffering",
"ec2:PurchaseScheduledInstances",
"eks:CreateEksAnywhereSubscription",
"elasticache:PurchaseReservedCacheNodesOffering",
"elemental-appliances-software:CreateOrderV1",
"elemental-appliances-software:SubmitOrderV1",
"es:PurchaseReservedElasticsearchInstanceOffering",
"es:PurchaseReservedInstanceOffering",
"freertos:CreateSubscription",
"glacier:CompleteVaultLock",
"glacier:PurchaseProvisionedCapacity",
"groundstation:ReserveContact",
"iottwinmaker:UpdatePricingPlan",
"iq:ApprovePaymentRequest",
"mediaconnect:PurchaseOffering",
"medialive:PurchaseOffering",
"memorydb:PurchaseReservedNodesOffering",
"organizations:LeaveOrganization",
"organizations:DeleteOrganization",
"organizations:RemoveAccountFromOrganization",
"outposts:CreateOrder",
"panorama:ProvisionDevice",
"quicksight:Subscribe",
"quicksight:UpdateSPICECapacityConfiguration",
"rbin:LockRule",
"rds:PurchaseReservedDBInstancesOffering",
"redshift:AcceptReservedNodeExchange",
"redshift:PurchaseReservedNodeOffering",
"route53domains:AcceptDomainTransferFromAnotherAwsAccount",
"route53domains:RegisterDomain",
"route53domains:RenewDomain",
"route53domains:TransferDomain",
"route53domains:TransferDomainToAnotherAwsAccount",
"s3:PutBucketObjectLockConfiguration",
"s3:PutObjectLegalHold",
"s3:PutObjectRetention",
"s3-object-lambda:PutObjectLegalHold",
"s3-object-lambda:PutObjectRetention",
"savingsplans:CreateSavingsPlan",
"shield:CreateSubscription",
"snowball:CreateJob",
"snowball:CreateLongTermPricing"
],
"Resource": "*"
}
]
}Student SCP policy не имеет ограничений на адекватные действия и создание любых ресурсов, что могут потребоваться для изучения. Поэтому предполагается обязательная настройка AWS Budgets и алертов.
Если требуется более жёсткие ограничений, то нужно использовать Allow List Approach — вместо запрещения проблемных лишь разрешать нужные.
#security #organizations #scp
🔥26👍6
Пароли нонче в моде от 16 символов.
https://www.cisa.gov/secure-our-world/require-strong-passwords
#security
https://www.cisa.gov/secure-our-world/require-strong-passwords
#security
Cybersecurity and Infrastructure Security Agency CISA
Require Strong Passwords | CISA
👍6🤯6
AWS VDP (Vulnerability Disclosure Program) is a standardized pathway to allow you to disclose vulnerabilities to AWS.
https://hackerone.com/aws_vdp
This is not a bug bounty but it has private bug bounty programs.
#security #VDP #BugBounty
https://hackerone.com/aws_vdp
This is not a bug bounty but it has private bug bounty programs.
#security #VDP #BugBounty
HackerOne
AWS VDP - Vulnerability Disclosure Program | HackerOne
The AWS VDP Vulnerability Disclosure Program enlists the help of the hacker community at HackerOne to make AWS VDP more secure. HackerOne is the #1 hacker-powered security platform, helping organizations find and fix critical vulnerabilities before they can…
🎉10👍1
fwd:cloudsec Europe 2024
https://www.youtube.com/playlist?list=PLCPCP1pNWD7Og_iduC9DzLo-9fH389_1y
P.S. Отдельно советую посмотреть Build Your Own CloudTrail, где про CEDAR, но не занудно, а интересно.
#security
https://www.youtube.com/playlist?list=PLCPCP1pNWD7Og_iduC9DzLo-9fH389_1y
P.S. Отдельно советую посмотреть Build Your Own CloudTrail, где про CEDAR, но не занудно, а интересно.
#security
YouTube
fwd:cloudsec Europe 2024
fwd:cloudsec is a non-profit conference on cloud security. At this conference you can expect discussions about all the major cloud platforms, both attack and...
👍4❤3
Безопасность — это деньги. Лайфхак от CISO.
🔹 CISO (руководитель отдела информационной безопасности) Star Health (одна из крупнейших страховых компаний в Индии) продал китайскому хакеру доступ в систему за 43k$.
🔸 Хакер успел скачать 5ТБ данных, прежде чем его креды перестали работать.
🔹 На возмущения хакера был получен ответ, что руководство тоже хочет свою долю и ценник за доступ вырос до 150k$.
🔸 В ответ хакер потребовал свои деньги обратно, иначе он выложит скачанное.
🔹 Договориться не получилось и хакер слил данные 31 миллиона индийских граждан в публичный доступ.
Первоисточник:
https://x.com/deedydas/status/1844192307823902978
Какая мораль у этой истории? Внедряйте best practices в области безопасностии требуйте свою долю, чтобы даже CISO не имел доступ к приватным данным.
#security
🔹 CISO (руководитель отдела информационной безопасности) Star Health (одна из крупнейших страховых компаний в Индии) продал китайскому хакеру доступ в систему за 43k$.
🔸 Хакер успел скачать 5ТБ данных, прежде чем его креды перестали работать.
🔹 На возмущения хакера был получен ответ, что руководство тоже хочет свою долю и ценник за доступ вырос до 150k$.
🔸 В ответ хакер потребовал свои деньги обратно, иначе он выложит скачанное.
🔹 Договориться не получилось и хакер слил данные 31 миллиона индийских граждан в публичный доступ.
Первоисточник:
https://x.com/deedydas/status/1844192307823902978
Какая мораль у этой истории? Внедряйте best practices в области безопасности
#security
🤯22🔥4👍2💯1
Data perimeter on AWS + RCP:
https://aws.amazon.com/identity/data-perimeters-on-aws/
Updated whitepaper:
https://docs.aws.amazon.com/whitepapers/latest/building-a-data-perimeter-on-aws/
#security
https://aws.amazon.com/identity/data-perimeters-on-aws/
Updated whitepaper:
https://docs.aws.amazon.com/whitepapers/latest/building-a-data-perimeter-on-aws/
#security
RCP policy для защиты от переключения извне в любую IAM Role любого вашего AWS аккаунта вашей AWS Organization:
Данная RCP жёстко убивает любые попытки взломать любой ваш аккаунт на уровне IAM. В том числе возможности оставить себе "дырочку" ходить в свой аккаунт для уволившихся сотрудников через шаринг переключения в IAM Role из какого-то AWS аккаунта.
#RCP #IAM #security
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Principal": "*",
"Action": "sts:AssumeRole",
"Resource": "*",
"Condition": {
"StringNotEqualsIfExists": {
"aws:PrincipalOrgID": "o-012345aabb"
},
"BoolIfExists": {
"aws:PrincipalIsAWSService": "false"
}
}
}
]
}Данная RCP жёстко убивает любые попытки взломать любой ваш аккаунт на уровне IAM. В том числе возможности оставить себе "дырочку" ходить в свой аккаунт для уволившихся сотрудников через шаринг переключения в IAM Role из какого-то AWS аккаунта.
#RCP #IAM #security
👍23🔥11