Hey folks!
On June 4-5th, we invite you to the conference Let's Talk #Security by DevOpsDays Ukraine community ⚙️

🛡 A two-day virtual event is dedicated to security integration throughout the IT lifecycle. We'll discuss context-based security, cloud hacking scenarios, information security in the cloud, defense against cyberattacks and the complexities of cyber warfare, vulnerability management implementation with AWS services, OWASP Top Web Application Security Risks, and more.

Presentations, ignite talks and open space discussion await you!

Check out agenda & register 👉 https://www.devopsdays.com.ua
When? June 4-5
Where? Online

Join for free!

AWS + CVE-2024-6387 (RCE vulnerability in OpenSSH)

Amazon Linux 2 - Not Affected ✅
Amazon Linux 2023 - Pending Fix ⚠️

https://explore.alas.aws.amazon.com/CVE-2024-6387.html

CVE-2024-6387 description:

https://www.wiz.io/blog/cve-2024-6387-critical-rce-openssh

Based on what is currently known about this vulnerability, Wiz Research estimates that widespread exploitation is unlikely.

The vulnerability has only been proven as exploitable under lab conditions on 32-bit Linux/glibc systems with ASLR. Exploitation on 64-bit systems has not been proven but is believed to be possible.

#security

Полезная ссылочка для вечных дискуссий о "небезопасности облаков".

https://www.abc.net.au/news/2024-07-04/amazon-contract-top-secret-australian-military-intelligence/104057196

#security

AWS for DORA (Digital Operational Resilience Act) =
• WAF (Well-Architected Framework)
• IAM
• KMS
• Shield
• Config
• Backup
• CloudTrail
• GuardDuty
• CloudWatch
• Security Hub
• Resilience Hub
• Audit Manager
• Trusted Advisor

https://d1.awsstatic.com/fs-compliance-center/pdf-summaries/AWS-User-Guide-to-the-Digital-Operational-Resilience-Act.pdf

#security

Длинный список реально хороших ресурсов по AWS security:

https://medium.com/@goodycyb/practical-checklist-for-aws-cloud-security-engineer-3271f9afb338

#security

Student SCP policy — политика для защиты аккаунтов, предназначенных для изучения AWS.

Покрыты все нужные сервисы, запрещены неадекватные действия по биллингу, запрещены действия, которые могут иметь долгосрочный и неотвратимый характер.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "StudentSCPpolicy",
      "Effect": "Deny",
      "Action": [
        "athena:CreateCapacityReservation",
        "aws-marketplace:AcceptAgreementRequest",
        "aws-marketplace:CreateAgreementRequest",
        "aws-marketplace:CreatePrivateMarketplaceRequests",
        "aws-marketplace:Subscribe",
        "backup:CreateLogicallyAirGappedBackupVault",
        "backup:PutBackupVaultLockConfiguration",
        "bedrock:CreateFoundationModelAgreement",
        "bedrock:CreateProvisionedModelThroughput",
        "cloudfront:CreateSavingsPlan",
        "devicefarm:PurchaseOffering",
        "directconnect:ConfirmCustomerAgreement",
        "dynamodb:PurchaseReservedCapacityOfferings",
        "ec2:AcceptReservedInstancesExchangeQuote",
        "ec2:CreateCapacityReservation",
        "ec2:CreateCapacityReservationFleet",
        "ec2:CreateReservedInstancesListing",
        "ec2:LockSnapshot",
        "ec2:PurchaseCapacityBlock",
        "ec2:PurchaseHostReservation",
        "ec2:PurchaseReservedInstancesOffering",
        "ec2:PurchaseScheduledInstances",
        "eks:CreateEksAnywhereSubscription",
        "elasticache:PurchaseReservedCacheNodesOffering",
        "elemental-appliances-software:CreateOrderV1",
        "elemental-appliances-software:SubmitOrderV1",
        "es:PurchaseReservedElasticsearchInstanceOffering",
        "es:PurchaseReservedInstanceOffering",
        "freertos:CreateSubscription",
        "glacier:CompleteVaultLock",
        "glacier:PurchaseProvisionedCapacity",
        "groundstation:ReserveContact",
        "iottwinmaker:UpdatePricingPlan",
        "iq:ApprovePaymentRequest",
        "mediaconnect:PurchaseOffering",
        "medialive:PurchaseOffering",
        "memorydb:PurchaseReservedNodesOffering",
        "organizations:LeaveOrganization",
        "organizations:DeleteOrganization",
        "organizations:RemoveAccountFromOrganization",
        "outposts:CreateOrder",
        "panorama:ProvisionDevice",
        "quicksight:Subscribe",
        "quicksight:UpdateSPICECapacityConfiguration",
        "rbin:LockRule",
        "rds:PurchaseReservedDBInstancesOffering",
        "redshift:AcceptReservedNodeExchange",
        "redshift:PurchaseReservedNodeOffering",
        "route53domains:AcceptDomainTransferFromAnotherAwsAccount",
        "route53domains:RegisterDomain",
        "route53domains:RenewDomain",
        "route53domains:TransferDomain",
        "route53domains:TransferDomainToAnotherAwsAccount",
        "s3:PutBucketObjectLockConfiguration",
        "s3:PutObjectLegalHold",
        "s3:PutObjectRetention",
        "s3-object-lambda:PutObjectLegalHold",
        "s3-object-lambda:PutObjectRetention",
        "savingsplans:CreateSavingsPlan",
        "shield:CreateSubscription",
        "snowball:CreateJob",
        "snowball:CreateLongTermPricing"
      ],
      "Resource": "*"
    }
  ]
}

Student SCP policy не имеет ограничений на адекватные действия и создание любых ресурсов, что могут потребоваться для изучения. Поэтому предполагается обязательная настройка AWS Budgets и алертов.

Если требуется более жёсткие ограничений, то нужно использовать Allow List Approach — вместо запрещения проблемных лишь разрешать нужные.

#security #organizations #scp

Пароли нонче в моде от 16 символов.

https://www.cisa.gov/secure-our-world/require-strong-passwords

#security

AWS VDP (Vulnerability Disclosure Program) is a standardized pathway to allow you to disclose vulnerabilities to AWS.

https://hackerone.com/aws_vdp

This is not a bug bounty but it has private bug bounty programs.

#security #VDP #BugBounty

fwd:cloudsec Europe 2024

https://www.youtube.com/playlist?list=PLCPCP1pNWD7Og_iduC9DzLo-9fH389_1y

P.S. Отдельно советую посмотреть Build Your Own CloudTrail, где про CEDAR, но не занудно, а интересно.

#security

MFA (Multi-Factor Authentication).

#security #пятничное

Безопасность — это деньги. Лайфхак от CISO.

🔹 CISO (руководитель отдела информационной безопасности) Star Health (одна из крупнейших страховых компаний в Индии) продал китайскому хакеру доступ в систему за 43k$.

🔸 Хакер успел скачать 5ТБ данных, прежде чем его креды перестали работать.

🔹 На возмущения хакера был получен ответ, что руководство тоже хочет свою долю и ценник за доступ вырос до 150k$.

🔸 В ответ хакер потребовал свои деньги обратно, иначе он выложит скачанное.

🔹 Договориться не получилось и хакер слил данные 31 миллиона индийских граждан в публичный доступ.

Первоисточник:

https://x.com/deedydas/status/1844192307823902978

Какая мораль у этой истории? Внедряйте best practices в области безопасности и требуйте свою долю, чтобы даже CISO не имел доступ к приватным данным.

#security

Data perimeter on AWS + RCP:

https://aws.amazon.com/identity/data-perimeters-on-aws/

Updated whitepaper:

https://docs.aws.amazon.com/whitepapers/latest/building-a-data-perimeter-on-aws/

#security

RCP policy для защиты от переключения извне в любую IAM Role любого вашего AWS аккаунта вашей AWS Organization:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Deny",
            "Principal": "*",
            "Action": "sts:AssumeRole",
            "Resource": "*",
            "Condition": {
                "StringNotEqualsIfExists": {
                    "aws:PrincipalOrgID": "o-012345aabb"
                },
                "BoolIfExists": {
                    "aws:PrincipalIsAWSService": "false"
                }
            }
        }
    ]
}

Данная RCP жёстко убивает любые попытки взломать любой ваш аккаунт на уровне IAM. В том числе возможности оставить себе "дырочку" ходить в свой аккаунт для уволившихся сотрудников через шаринг переключения в IAM Role из какого-то AWS аккаунта.

#RCP #IAM #security

Постквантовая криптография наступает/-ила

Тема PQC (Post-Quantum Cryptography) сильно продвинулась в 2024-м году. Во-первых, 2024-м году NIST утвердил три главных алгоритма, с которыми предстоить жить, внедрять, переходить в будущем. Сложные названия переименовали для простоты.

◽ ML-KEM (Module-Lattice Key-Encapsulation Mechanism) — бывший CRYSTALS-Kyber

◽ ML-DSA (Module-Lattice Digital Signature) — бывший CRYSTALS-Dilithium

◽ SLH-DSA (Stateless Hash Digital Signature) — бывший Sphincs+

Во время re:Invent 2024 вышел достаточно объёмный план перехода AWS на PQC по всем фронтам:

https://aws.amazon.com/blogs/security/aws-post-quantum-cryptography-migration-plan/

Кто впервые слышит про PQC, то кратко — с прогрессом в области квантовых вычислений можно будет взламывать подавляющее большинство привычных методов шифрования на ура. Некоторые утверждают, что это свершившийся факт ещё пару лет назад.

Для простоты, если вы используете как бы безопасный сейчас TLS 1.2, то в недалёком будущем любой дурак из спецслужб с квантовым компьютером, имеющим достаточное количество кубит, сделает это на лету. И даже если это будет через десяток лет (и даже не один), то проблема в том, что уже сейчас можно записать, чтобы после расшифровать.

Поэтому так форсируется переход на алгоритмы, которые не получится взломать даже с помощью самых суровых квантовых компьютеров.

Интересно, что некоторые (безопасники Австралии) бегут впереди PQC-паровоза и уже сейчас предупреждают, что самые ходовые алгоритмы шифрования будут запрещены к использованию после 2030-го года:

🔹 AES-128 и AES-192
🔸 RSA — все
🔹 SHA-224 и SHA-256
🔸 HMAC-SHA256
🔹 DH и ECDH — все
🔸 ECDSA — все

Такие же планы есть у NIST, лишь на пяток лет позже. Уверен, что AWS внедрит это ещё раньше. Поэтому стоит держать в голове уже сейчас, выбирая себе допустимые алгоритмы шифрования, ежели у вас серьёзный по этой части проект.

Интересно отметить, что Google Chrome начиная с 131-й версии (которая должна быть у вас на момент написания поста) поддерживает ML-KEM.

Полезные ссылки:

https://aws.amazon.com/security/post-quantum-cryptography/

https://csrc.nist.gov/news/2024/postquantum-cryptography-fips-approved

#PQC #security

RCP (Resource control policies) examples:

https://github.com/aws-samples/data-perimeter-policy-examples/tree/main/resource_control_policies

◽ identity_perimeter_rcp – Enforces identity perimeter controls on resources within your Organizations organization.
◽ network_perimeter_rcp – Enforces network perimeter controls on resources within your Organizations organization.
◽ data_perimeter_governance_rcp – Includes controls for protecting data perimeter controls’ dependencies, such as session tags used to control their scope.

Note that the RCP policy do not grant any permissions; they only restrict access by explicitly denying specific data access patterns. You still have to grant appropriate permissions with explicit Allow statements in identity-based or resource-based policies.

#RCP #security

Стыд и скрам:

Within minutes, we found a publicly accessible ClickHouse database linked to DeepSeek, completely open and unauthenticated, exposing sensitive data. It was hosted at oauth2callback.deepseek.com:9000 and dev.deepseek.com:9000.

https://www.wiz.io/blog/wiz-research-uncovers-exposed-deepseek-database-leak

#security

Preventing Data Leaks in RAG Pipelines with Bedrock

🔹 Securing the RAG Ingestion Pipeline

https://aws.amazon.com/blogs/security/securing-the-rag-ingestion-pipeline-filtering-mechanisms/

🔹 Hardening the RAG Chatbot Architecture

https://aws.amazon.com/blogs/security/hardening-the-rag-chatbot-architecture-powered-by-amazon-bedrock-blueprint-for-secure-design-and-anti-pattern-migration/

🔹 Building Secure and Scalable RAG Applications with Bedrock

https://aws.amazon.com/blogs/machine-learning/building-scalable-secure-and-reliable-rag-applications-using-amazon-bedrock-knowledge-bases/

#Bedrock #security

Comparison of different WAFs

◽️ AWS WAF
◽️ CloudFlare WAF
◽️ Google Cloud Armor
◽️ F5
◽️ Fortinet FortiWeb
◽️ Imperva Cloud WAF
◽️ Microsoft Azure WAF
◽️ NGINX ModSecurity
◽️ open-appsec

https://www.openappsec.io/post/best-waf-solutions-in-2024-2025-real-world-comparison

To make it easier to understand, I have added clearer captions to the graph.

#security

AWS Trust Center — single source of truth for security and compliance.

https://aws.amazon.com/trust-center/

Like Amazon Builders' Library but for security.

#security