Привет!

Pod Security Policy (PSP) – достаточно удобный механизм, который позволяет контролировать запуск privileged контейнеров, останавливать запуск из под root, управлять mount’ами и реализовать иные функции, полезные с точки зрения безопасности.

Однако, многие слышали новость о том, что Pod Security Policy могут быть убраны/переработаны/заменены в новых версиях Kubernetes (предположительно в версии 1.22). В статье автор описывает свой взгляд на происходящее с точки зрения предпосылок:

🍭 Неявные/неочевидные bindings
🍭 Вопросы поддержки различных runtime
🍭 Ограничение границ применения (только pods)
🍭 Сложности, связанные с test coverage при создании PSP

И некоторых рекомендаций относительно того, что можно сделать в рассматриваемой ситуации (если вы их используете):

🍭 Custom Admission Controllers
🍭 Open Policy Agent (OPA)
🍭 Использование сторонних решений

P.S. Информация про изменения Kubernetes: https://github.com/kubernetes/enhancements/tree/master/keps/sig-architecture/1635-prevent-permabeta

Привет!

Иногда хочется, чтобы все было просто и понятно, чтобы кто-то взял и «на пальцах» объяснил что-то, без сложных слов и «страшных» терминов! Если вам это знакомо, и вы хотели понять, что именно происходит в наиболее популярных web-атаках, то эта подборка видео может вас заинтересовать. Просто и понятно объясняются такие вещи как:

🍭 Open Redirect
🍭 HTTP parameter pollution
🍭 Insecure Direct Object Reference (IDOR)
🍭 XSS
🍭 CSRF и другие

Надеемся, что это видео помогут разобраться и станут первым шагом для дальнейшего изучения ☺️

И снова привет!

По ссылке доступен отчет, созданный по результатам прохождения интернатуры в AppSecco (мы уже писали о подобной работе в канале, и вот появилась еще одна!). Отчет описывает cоздание secure pipeline на основе Jenkins:

🍭 Использование SAST
🍭 Использование DAST
🍭 Использование SCA
🍭 Анализ качества исходного кода

В завершении приводится полностью описанный Jenkins pipeline: сперва в качестве блок схемы, а далее – в качестве pipeline script. Работы ребят в целом похожи, но есть и отличия.

Опять ловим себя на мысли, что такой формат отчетов по прохождению испытательного срока/стажерской программы – просто отличная идея! ☺️

P.S. Как и в прошлый раз preview не работает, поэтому дублируем ссылку сюда: https://intern-appsecco.netlify.app/

Всем привет! syscall2seccomp – это open source утилита, написанная на python, которая предназначена для создания собственных профилей Docker seccomp.

Работает она достаточно просто:
🍡Собирает информацию о системных вызовах, используя различные инструменты (sysdig или strace)
🍡Конвертирует полученные данные в формат JSON, используемый для создания собственных seccomp-профилей

Пример использования:
🍡Запустить sysdig (или strace)
🍡Запустить docker-контейнер
🍡Совершить необходимые действия в контейнере и погасить его
🍡Сконвертировать полученный файл с помощью python-скрипта в файл формата JSON
🍡Запустить контейнер с новым профилем

Более детальную информацию, а также ответы на дополнительные вопросы («Зачем использовать собственный seccomp-профиль?», «Зачем этот инструмент?» и пр) можно найти по ссылке.

Только ленивый не писал в последние месяцы про dockershim depratation в Kubernetes 1.20, релиз которого запланирован на 8 декабря.
Если кто вдруг пропустил или не в курсе, что такое dockershim - стоит заглянуть в свежий FAQ от комьюнити: https://kubernetes.io/blog/2020/12/02/dockershim-faq/
У нас есть несколько вопросов, ответьте, плиз.

Всем привет!

Сегодня опять за инструмент. Бесплатная утилита kubectl-who-can от Aqua Security выводит перечень RBAC разрешений для "глаголов" Kubernetes, что бывает полезным, когда надо посмотреть перечень сущностей, которые могут выполнять конкретное действие. Удобно получать информацию о том, "кто" может "что" и с "чем" в масштабах кластера, чтобы не делать много ручной работы. Кроме того утилита позволяет подсветить потенциально опасные права для сущности (например, delete psp)

Пример использования:
kubectl-who-can create pods выведет список ClusterRoleBinding, Subject, Type и Namespace с перечнем сущностей, у которых есть разрешение на выполнение создание подов.

Установка:
Установить утилиту можно с использованием krew, вручную или из собрать из source-ов. По ссылке описана как процедура установки, так и примеры использования

Привет!

Исследователи из компании Prevasio проанализировали 4 000 000 образов контейнеров, размещенных на Docker Hub на предмет наличия уязвимостей. Результат показал, что 51% из них содержит уязвимости различных уровней критичности. Распределение Malicious / Potentially Harmful Container Images получилось следующим:

🍭 44% - Coinminers
🍭 23% - Flatmap Stream, Malicious npm package(Bitcoin wallet stealer)
🍭 20% - Hacking tools
🍭 6,6% - Other
🍭 6,4% - Windows Malware

Не думаем, что результаты станут/стали откровением для ИБ-специалистов, однако, отчет запросто можно использовать в качестве reference при подготовке обоснования необходимости защиты контейнеров, чтобы наглядно показать что может «пойти не так» на достаточно большой выборке данных.

P.S. Сам отчет можно посмотреть по ссылке: https://prevasio.com/static/web/viewer.html?file=/static/Red_Kangaroo.pdf

Привет!

В статье автор наглядно демонстрирует примеры использования Amazon CodeGuru. Согласно информации с официальной страницы "Amazon CodeGuru – is a developer tool that provides intelligent recommendations to improve your code quality and identify an application’s most expensive lines of code. CodeGuru Reviewer uses machine learning to identify critical issues, security vulnerabilities, and hard-to-find bugs during application development to improve code quality". Трудно сказать, сколько тут правды, а сколько – маркетинга, но в статье рассмотрены примеры:

🍭 AWS API security best practices //на примере идентификации hardcoded credentials
🍭 Java crypto library best practices //на примере идентификации недостаточно криптостойкого алгоритма
🍭 Secure web applications //на примере идентификации некорректной обработки cookie
🍭 AWS Security best practices //на примере идентификации небезопасного хранения данных

Более полное описание инструмента и его возможностей можно найти на официальном сайте

Привет!

Иногда слышишь фразу «Ну DevSecOps это же S-SDLC, да?». И тут уже можно развести не один holy war, но мы не будем этого делать ☺️ Наткнулись на интересные статьи (один, два), в которых наглядно показаны ключевые термины, используемые при разработке:

🍭 ALM, Application Lifecycle Management
🍭 ADLM, Application Development Lifecycle Management
🍭 SDLC, Software Development Lifecycle
🍭 EAP/EAPT, Enterprise Agile Planning / Tool
🍭 DevOps, Development and Operations

В статьях представлена общая таксономия терминов, их взаимосвязь, описано что является чем, зачем используется и чем не является. Наглядно, с удобными схемами! Надеемся, что этот материал позволит структурировать картинку и ответит на вопрос «Ну DevSecOps это же S-SDLC, да?» ☺️

Всем привет! Ранее мы уже упоминали Falco в одном из своих постов. Сегодня расскажем немного подробнее.

Falco (а точнее Falco Project) – это open source инструмент, который реализует мониторинг поведенческой активности, позволяя выявлять аномальные действия в приложениях. Он выполняет контроль событий на уровне ядра операционной системы и собирает данные о контейнерах, приложениях, хосте и сетевой активности.

Что именно делает Falco?
Инструмент использует системные вызовы для реализации защиты и мониторинга системы:
🍡Разбор используемых системных вызовов Linux на уровне ядра
🍡Проверка потока данных на соответствие заданным правилам
🍡Оповещение в случае срабатывания правила

Что Falco проверяет?
Инструмент использует набор правил по умолчанию для выявления нестандартного поведения, например:
🍡Эскалация привилегий
🍡Изменение namespace с использованием утилиты setns
🍡Чтение/запись в известные директории (например, /etc, /usr/bin и пр)
🍡Выявление сетевых аномалий
🍡Запуск различных shells (sh, bash, csh и пр)
🍡Запуск ssh (ssh, scp и пр)
🍡И пр.

Что такое правила Falco?
Правила – это набор элементов, которые можно проверить на уровне системы. Они задаются в конфигурационном файле, который представляет собой YAML-файл, содержащий 3 типа элементов:
🍡Правила (Rules) – условия, в соответствии с которыми генерируется событие ИБ
🍡Макросы (Macros) – шаблоны условий правил, которые могут повторно использоваться в правилах или других макросах
🍡Lists (Списки) – наборы данных, которые могут быть включены в правила, макросы или другие списки

Пример правила:

- rule: program_accesses_file
  desc: track whenever a set of programs opens a file
  condition: proc.name in (cat, ls) and evt.type=open
  output: a tracked program opened a file (user=%user.name command=%proc.cmdline file=%fd.name)
  priority: INFO

Куда отправляются события ИБ от Falco?
Инструмент генерирует набор событий ИБ, которые могут быть направлены в разные источники, такие как:
🍡STDOUT
🍡Файл
🍡Syslog
🍡Сторонняя программа
🍡HTTP/S end point
🍡Клиент, работающий через gRPC API

Информация задается на уровне конфигурационного YAML-файла.

Пример вывода события (stdout):

10:20:05.408091526: Warning Sensitive file opened for reading by non-trusted program (user=root command=cat /etc/shadow file=/etc/shadow)

Дополнительную информацию можно найти в документации и здесь.

Привет!

В видео показывают и рассказывают про Snyk Infrastructure as Code – решение, которое позволяет проанализировать Terraform Modules, Kubernetes YAML и Helm Charts на предмет наличия ИБ-недостатков. Если вы не хотите слушать общую часть, то timecode на обзор – 10:15, последующую демонстрацию – 14:59, использование CLI - 22:41.

Принцип работы достаточно простой – необходимо реализовать интеграцию с GitLab/GitHub/BitBucket/Иное для получения доступа к файлам конфигураций, а после – запустить проверку. Альтернативный вариант – использование Snyk CLI для реализации проверок.

Ссылка на Snyk IaC: https://snyk.io/product/infrastructure-as-code-security/
Ссылка на документацию Snyk IaC: https://support.snyk.io/hc/en-us/categories/360001342678-Infrastructure-as-code

Привет!

В статье автор описывает контейнер, который он подготовил для ИБ-тестирования сред контейнеризации. Подход очень простой – сделать так, чтобы все «инструменты» были под рукой, чтобы не требовалось «установить еще вот это и это, а потом еще вот то» . Примеры того, что есть внутри:

🍭 Truffelhog
🍭 Kubectl-who-can
🍭 Nikto
🍭 nmap

Полную информацию о содержимом можно посмотреть тут. Ссылка на сам проект.

Привет, сегодня вторая часть нашей статьи про OpenShift Egress. В ней мы рассмотрели ситуации, когда нужно предоставить доступ трафику из PODов в другие VLAN'ы, а также описали, какие решения позволяют это реализовать, и как их правильно настроить! (Подсказка - Multus CNI).
Приятного чтения!
https://habr.com/ru/company/jetinfosystems/blog/533294/"

Tracee – это простой инструмент мониторинга процессов и контейнеров от Aqua Security. Он может отслеживать события процессов и контейнеров в реальном времени.

Главные особенности:
🥨 Поддержка eBPF.
🥨 Возможность мониторинга только новых процессов и/или контейнеров (т.е. созданных после запуска Tracee). Это помогает сосредоточиться только на актуальных событиях.
🥨 Очень простая фильтрация мониторинга. Настройка фильтра требует всего нескольких строк кода.

Помимо мониторинга, Tracee способен:
🥨 Захватывать файлы, которые записываются на диск или в память, и копировать их в хранилище.
🥨 Извлекать данные, которые динамически загружаются в память (например, когда приложение использует упаковщик).

Демонстрация работы Tracee доступна по ссылке: https://youtu.be/WTqE2ae257o
Гитхаб проекта: https://github.com/aquasecurity/tracee

Привет!

Наткнулись на отличную подборку материалов (форматов books, slides, video), в которую автор поместил материалы, собранные с большого количества конференций. Примеры материалов:

🍭 Container Security for RED and BLUE Teams! (slides, All Day DevOps)
🍭 Attacking and Auditing Docker Containers and Kubernetes Clusters (book,Def Con)
🍭 Container Security Monitoring using Open Source (video, All Day DevOps, 2018)

Подборка хорошо оформлена, простая и понятная навигация, интересное содержание. Надеемся, что вам пригодится!

Всем привет !

Компания RedHat подготовила отличный новогодний подарок сообществу DevSecOps - платформа контейнерной орrестрации OpenShift теперь поддерживает контейнеры Windows. C 12/18/2020 реализация Windows Containers в OpenShift 4.6 перешла стадию GA (Generally Available) и может быть использована в продуктивных решенияx.

Поддержка Windows Containers в OpenShift позволяет запускать Windows-приложения (например на базе .NET) в OpenShift без трудоемкой миграции подобных приложений на платформу Linux/.Net Core.

Для конфигурации и работы с узлами кластера на базе ОС Windows. RedHat разработала новый оператор - Windows Machine Config Operator. Именно этот оператор позволяет добавить Windows сервер в кластер OpenShift.

Пока что у Windows Containers на OpenShift есть ряд ограничений:
🍭Windows Containers поддерживаются только на платформе Windows Azure или AWS
🍭В качестве ОС может использоваться только Windows Server 2019

Но в ближайшем будущем RedHat обещает поддержку Windows Containers на on-permise платформах (WMware vSphere, RHV, RH OpenStack, Bare Metal).

Более подробно об этом в статье на OpenShift Blog: https://www.openshift.com/blog/announcing-general-availability-for-windows-container-workloads-in-openshift-4.6