​Делать Infrastructure-as-code (IaC) сейчас модно, главное предварительно ознакомиться с лучшими практиками и не забыть подумать о безопасности. Для последнего существует несколько бесплатных утилит, как для конкретного решения, так и комплексных (например checkov).

Компания Checkmarx, многим известная своим SAST решением для анализа исходного кода, тоже решила сделать вклад в комьюнити и выпустила собственное opensource решение для статического анализа конфигураций — Keeping Infrastructure as Code Secure (KICS).

Поддерживает: Terraform, Kubernetes, Docker, Ansible, Helm и AWS CloudFormation.

А еще есть неплохая документация и запланированный на 15 апреля вебинар, где обещают рассказать о решении подробнее.

KICS > https://www.checkmarx.com/opensource/kics/
Docs > https://docs.kics.io
Git > https://github.com/Checkmarx/kics
Webinar > https://register.gotowebinar.com/register/3720624616764432144

Article:
Новые взломы на Pwn2Own 2021: побеждены Ubuntu Desktop, Windows 10, Zoom и кое-что еще
> https://habr.com/ru/company/selectel/blog/550182/

Открытое письмо Дениса Баранова исследовательскому сообществу: «Наши ключевые ценности – открытость информации и знаний для сообщества, ответственный подход к разглашению при исследовании систем на наличие уязвимостей и практический подход к кибербезопасности».

Ребята из Яндекса в рамках Positive Hack Days рассказали, как они повышают ИБ-осведомленность своих сотрудников, начиная от мемов, которые размещают в офисных кофе-поинтах и заканчивая обучающей платформой для поиска багов в коде. Последнюю кстати выложили в открытый доступ и на GitHub. Говорят было бы круто, если бы вы помогли в развитии и использовали их наработки у себя, например дописав тесты под свои языки и сценарии.

http://securitygym.ru
https://github.com/yandex/securitygym

​Эту неделю очень хочется начать с минутки мотивации, которой в последнее время мне не хватает чтобы регулярно вести канал.

Знакомьтесь, Кельвин Сиу (Kelvin Siu) из Гонконга, который за 12 месяцев получил 14 сертификаций. Пусть набор сертификатов странный, кажется Кельвин решил не мелочиться и сложить все яйца в одну корзину, но факт, что парень просто взял и за год закрыл такой объем сертификаций, малую часть которого многие закрывают годами.

Если вдаваться в детали, конечно там не так все просто — у него уже было 7 лет опыта в индустрии, а подготовка заняла куда больше времени, чем сама сдача (по 2-3 месяца подготовки на каждый экзамен). Судя по linkedin работает Кельвин аудитором в компании из большой четверки, а зная какие там бывают нагрузки мне вся ситуация кажется вообще легендарной.

Предлагаю порадоваться за Кельвина и пойти работать. Усерднее(!). Всем хорошей недели.

https://www.linkedin.com/pulse/thank-you-all-support-here-answers-your-questions-kelvin-siu/

Если вы еще не интегрировали MITRE ATT&CK в свои процессы, вот вам отличный повод еще раз понять, как применять фреймворк на практике — CISA выпустило свое краткое руководство, где с помощью общих инструкций и на примере трояна TrickBot показали как работать с MITRE ATT&CK и сопоставить поведение злоумышленника.

https://us-cert.cisa.gov/sites/default/files/publications/Best%20Practices%20for%20MITRE%20ATTCK%20Mapping.pdf

Кто пропустил, вчера Microsoft выкатила июньские обновления безопасности в рамках Patch Tuesday.

Коротко обзор:
[RU] https://news.microsoft.com/ru-ru/update-tuesday-microsoft-security-updates-jun2021/
[EN] https://krebsonsecurity.com/2021/06/microsoft-patches-six-zero-day-security-holes/

​Идея обучения своих сотрудников вопросам ИБ не является чем-то новым, но последнее время стремительно набирает популярность.

Поэтому в рамках этого партнерского материала хочу вам рассказать про своих знакомых из компании Secure-T, которые мне предложили разыграть среди подписчиков бесплатную проверку социалкой на 150 человек.

Ребята не первый год на рынке и уже обучают и тестируют более 10 тысяч сотрудников крупных организаций.

Вот немного статистики из их последних двух фишинговый рассылок:
1-й кейс — 46% сотрудников перешли по ссылке в открытом письме, а 14% ввели свои учетные данные в поддельные формы;
2-й кейс — 50% сотрудников перешли по ссылке в письме, а 28,5% ввели свои учетные данные в поддельные формы.

В рамках проверки они подготовят фишинговые шаблоны и проверят знания сотрудников в вашей организации. По завершении работ вам будет предоставлен отчет.

Условия для участия простые:
1. Быть подписанными на канал
2. Тыкнуть на кнопку «Я участвую»

Тянуть не будем, розыгрыш состоится уже в эту пятницу, результаты будут в 19:00. С победителем розыгрыша я дополнительно свяжусь.

Ну а для тех, кто хочет побольше узнать о деятельности ребят:
Сайт компании: https://secure-t.ru/
Сайт продукта: https://edu.secure-t.ru/

Для участия в розыгрыше нажмите на «Я участвую»
*****
Победители: Mak Mih

В Kaspersky решили не мелочиться и сделать VR игру для знакомства топ-менеджмента с рисками ИБ.

Такой Standoff на минималках)

https://www.kaspersky.com/blog/vr-interactive-simulation/40188/

Застрахуй братуху, застрахуй или зачем вам ИБ, если можно просто купить полис?

https://cloud.yandex.ru/insurance-offer
https://sber.insure/products/cyber/

Судя по количеству материалов по запросу "cybersecurity insurance" за рубежом это уже частая практика, посмотрим приживется ли у нас. Любопытно глянуть на реальные кейсы.

p.s ого первый пост с лета :0

Ого, а вы наверное и забыли, что подписаны на этот канал?

Судя по датам последних публикаций канал перешел в режим один пост в пол года. Причины этому максимально банальны — большое кол-во работы и как следствие частичная потеря интереса к ИБ. Как там это сейчас называется, выгорание?

За последний год удалось позаниматься интереснейшими проектами, задачами, пообщаться с крутыми специалистами и восстановиться.

Лишний раз убедился, что в ИТ и ИБ огромное количество талантливых и умных людей, которые вне публичного поля и просто тихо делают свою работу, делают ее по-настоящему!

Еще нужно сказать, что очень важно уметь делать перерывы и успевать просто пожить.

Основная идея этого лиричного текста в том, что я хочу попробовать восстановить привычную активность и возможно немного поменять формат. Посмотрим, но пока без обязательств 🌚

​​Сегодня частично затронем тему EndpointSecurity и поговорим про инструмент osquery. Исторически osquery сделали инфраструктурщики в Facebook, под свои задачи еще в 2013, а после публикации в опенсорс он завоевал сердечки и остальных.

Эта штука способа превратить ОС в реляционную базу данных, а вас вооружить всей мощью SQL чтобы с этими данными работать.

Глянуть историю процессов в динамике, найти стремные файлы используя YARA-правила или отобразить открытые порты — проще простого, собрать все недавние http запросы, включая JA3 от TLS — изи, нужно что-то посложнее? На самом деле все ограничивается вашей фантазией потому что у osquery есть свой SDK и возможность подключения расширений, написанных на плюсах, go или python.

Модель взаимодействия может быть тоже разной, агент может ждать запросы от мастера, или отгружать нужную инфу по шедулеру. Можно также организовать отправку всего этого добра в SIEM, напрямую в Elastic или еще какие IR системы.

Для тех, кто любит чтобы еще и красиво было можно сразу ставить в связке с fleetdm или osctrl для понятного и единого UI.

К слову для MacOS это вообще наверное лучшее, что существует на сегодняшний день для аналитики и мониторинга.

Помимо классики, osquery умеет в k8s, с помощью плагина kubequery, и частично в облака, но для этих целей уже лучше будет посмотреть в сторону cloudquery, правда это уже проект от других авторов и отдельная тема для разговора.

osquery > https://osquery.io/
cloudquery > https://www.cloudquery.io
k8s plugin > https://github.com/Uptycs/kubequery
UI > https://fleetdm.com, https://osctrl.net/
Overview > https://blog.palantir.com/osquery-across-the-enterprise-3c3c9d13ec55
QueryCon 2019 > http://www.youtube.com/watch?v=oaxappbTc2A&list=PLciHOL_J7IwoYxJ7FwJ-aomCBZViDBMas
osquery в мире AppSec > https://2019.zeronights.ru/wp-content/themes/zeronights-2019/public/materials/2_ZN2019_igor_grachev_evgenij_sidorov_andrej_kovalevOsquery_AppArmor.pdf
Старенькие конфиги для примера > https://github.com/palantir/osquery-configuration

На днях смотрел видео от Hashicorp и был приятно удивлен, что они сопровождают свои вебинары сурдопереводчиком для глухонемых. Я давно такого не видел, а тут еще и тематика такая. Показалось, что это прям очень круто!

Я в этой теме полный профан, но знаю что там существует несколько диалектов, и в целом язык может отличаться в зависимости от географии.

Интересно как он пополняется новыми жестами, ведь в IT куча сленговых слов и аббревиатур. А еще кажется можно это автоматизировать и визуализировать в режиме реального времени без участия человека, хотя с человеком это наверное намного приятнее. Крутая и узкоспециализированная профессия с погружением в область.

Кажется в текущих реалиях таких штук должно быть больше, в том числе на конференциях.

Наткнулся на проект Casdoor — это достаточно функциональная платформа для организации IAM и SSO с множеством интеграций, провайдеров и удобным интерфейсом. Может использоваться не только как IdP для OAuth, OIDC, SAML и CAS, но и как сервисный провайдер, а внутри куча крутилок для мапинга атрибутов, разные модели управления доступом (RBAC, ABAC, ACL), политики и даже поддержка WebAuthn!

В целом выглядит все очень круто — репа с 3,5к звездочек, удобные демо, если хочется потыкать в живую, документация, API, готовый SDK и пр.

Но нет ничего идеального. На гите десятки свежих issue, релизы выходят каждый день, а в демке бывает что-то не работает. Сложилось впечатление, что пытаются охватить необъятное.

Короче у ребят есть мощный потенциал, скорость разработки, активное коммьюнити под боком а учитывая, что проект еще молодой, вполне может стать намного более функциональной заменой для тот же Keycloak. Там правда уже есть замашки за монетизацию, поэтому очень надеюсь, что они в итоге останутся на светлой стороне.

Делитесь и своими находками :)

site > https://casdoor.org
git > https://github.com/casdoor/casdoor
demo > https://door.casdoor.com