Cracking the Vault: как искали и нашли zero-day в HashiCorp Vault
Всем привет! 👋
Команда Cyata обнаружила девять ранее неизвестных zero-day уязвимостей в ядре HashiCorp Vault, некоторые были в коде почти десяток лет. Баги затрагивали как open-source, так и Enterprise версии и уже были исправлены HashiCorp.
Это не memory corruption или race condition, а тонкие логические уязвимости в аутентификации, идентификации и политиках Vault — они подрывают Vault как основу «модели доверия» инфраструктуры. Cyata выявили их вручную, через глубокий анализ логики.
Кратко по находкам:
🎯 Userpass backend:
- CVE-2025-6010: различный ответ при неверном логине → можно узнать, существует ли пользователь
- CVE-2025-6004: изменение регистра (
- CVE-2025-6011: тайминговая атака через разную обработку несуществующих юзеров
🎯 LDAP backend + MFA:
- CVE-2025-6004 (опять): из-за некорректной нормализации (пробелы, регистр) можно обойти блокировку
- CVE-2025-6003: при
🎯 TOTP MFA — целая цепочка багов:
- Выдаёт разные ошибки по
- Тримминг пробелов отключает защиту
-
→ всё это объединено в CVE-2025-6016
🎯 Аутентификация по сертификатам и entity impersonation:
- CVE-2025-6037: в non-CA режиме владелец приватного ключа может подменить
🎯 Privilege escalation и RCE — самые критичные:
- CVE-2025-5999: позволяет поднять привилегии до root через неверную нормализацию
- CVE-2025-6000 — первый публичный RCE в Vault, позволяющий взять систему под полный контроль через каталог плагинов (цепочка из disclosure → запись файла → выставление execute → регистрация плагина)
Статья (≈38 мин) технически глубокая и нацеленная на практику — авторы показывают не только факт находки, но и путь обнаружения через схемы и видео.
Всем привет! 👋
Команда Cyata обнаружила девять ранее неизвестных zero-day уязвимостей в ядре HashiCorp Vault, некоторые были в коде почти десяток лет. Баги затрагивали как open-source, так и Enterprise версии и уже были исправлены HashiCorp.
Это не memory corruption или race condition, а тонкие логические уязвимости в аутентификации, идентификации и политиках Vault — они подрывают Vault как основу «модели доверия» инфраструктуры. Cyata выявили их вручную, через глубокий анализ логики.
Кратко по находкам:
🎯 Userpass backend:
- CVE-2025-6010: различный ответ при неверном логине → можно узнать, существует ли пользователь
- CVE-2025-6004: изменение регистра (
Admin vs admin) сбрасывает счетчик блокировок- CVE-2025-6011: тайминговая атака через разную обработку несуществующих юзеров
🎯 LDAP backend + MFA:
- CVE-2025-6004 (опять): из-за некорректной нормализации (пробелы, регистр) можно обойти блокировку
- CVE-2025-6003: при
username_as_alias=true и MFA по EntityID, MFA может вообще не тригериться 🎯 TOTP MFA — целая цепочка багов:
- Выдаёт разные ошибки по
reuse, позволяя узнать, был ли использован код- Тримминг пробелов отключает защиту
one-time-use-
TTL и глобальный кэш позволяют обойти rate-limit через entity-switching или ожидание создав skew window→ всё это объединено в CVE-2025-6016
🎯 Аутентификация по сертификатам и entity impersonation:
- CVE-2025-6037: в non-CA режиме владелец приватного ключа может подменить
CN и аутентифицироваться от имени другой сущности🎯 Privilege escalation и RCE — самые критичные:
- CVE-2025-5999: позволяет поднять привилегии до root через неверную нормализацию
policy- CVE-2025-6000 — первый публичный RCE в Vault, позволяющий взять систему под полный контроль через каталог плагинов (цепочка из disclosure → запись файла → выставление execute → регистрация плагина)
Статья (≈38 мин) технически глубокая и нацеленная на практику — авторы показывают не только факт находки, но и путь обнаружения через схемы и видео.
Cyata | The Control Plane for Agentic Identity
Cracking the Vault: how we found zero-day flaws in authentication, identity, and authorization in HashiCorp Vault - Cyata | The…
Introduction: when the trust model can’t be trusted Secrets vaults are the backbone of digital infrastructure. They store the credentials, tokens, and certificates that govern access to systems, services, APIs, and data. They’re not just a part of the trust…
10🔥12👍6❤2
10–11 сентября в Москве проходит IT Elements 2025 — крупнейшая конференция об ИТ-инфраструктуре, сетях, кибербезопасности, данных и ИИ. 2000+ участников ежедневно, топовые спикеры и реальные кейсы.
Подготовили для вас подборку выступлений по теме DevSecOps, которые советуем посетить:
Доклад «Keyless commit sign. Как подписывать коммиты без использования секретного ключа?» (Павильон ИБ с 17:00 до 17:30)
СПИКЕР: Саленый Дмитрий, DevSecOps-инженер, Единый ЦУПИС
Доклад «ML-инструменты в безопасности облака» (Павильон ИБ с 16:30 до 17:00)
СПИКЕР: Яньков Павел, Cloud Security Expert, Т-Банк
Круглый стол «Безопасная разработка. От слов к делу» (Зал «Энергия» с 18:00 до 19:00)
МОДЕРАТОР: Антон Конопак, руководитель отдела DevSecOps, «Инфосистемы Джет»
СПИКЕРЫ: Алина Сагирова, TechLead Application Security Business Partner, Альфа-банк
Георгий Старостин, директор дирекции информационной безопасности «Согаз»
Илья Шаров, руководитель центра практик DevSecOps, МТС Web Services
Максим Щедрин, начальник управления тестирования безопасности ГК «Иннотех»
Подробности на сайте конференции.
Подготовили для вас подборку выступлений по теме DevSecOps, которые советуем посетить:
Доклад «Keyless commit sign. Как подписывать коммиты без использования секретного ключа?» (Павильон ИБ с 17:00 до 17:30)
СПИКЕР: Саленый Дмитрий, DevSecOps-инженер, Единый ЦУПИС
Доклад «ML-инструменты в безопасности облака» (Павильон ИБ с 16:30 до 17:00)
СПИКЕР: Яньков Павел, Cloud Security Expert, Т-Банк
Круглый стол «Безопасная разработка. От слов к делу» (Зал «Энергия» с 18:00 до 19:00)
МОДЕРАТОР: Антон Конопак, руководитель отдела DevSecOps, «Инфосистемы Джет»
СПИКЕРЫ: Алина Сагирова, TechLead Application Security Business Partner, Альфа-банк
Георгий Старостин, директор дирекции информационной безопасности «Согаз»
Илья Шаров, руководитель центра практик DevSecOps, МТС Web Services
Максим Щедрин, начальник управления тестирования безопасности ГК «Иннотех»
Подробности на сайте конференции.
it-elements.ru
IT Elements. Главное ИТ-событие этой осени. 10-11 сентября, Москва
IT Elements – бесплатная конференция про инфраструктуру, сети, безопасность, данные и ИИ. Это про будущее | Открыта регистрация
👍7🔥5❤4
AspGoat: vulnerable ASP.NET Web App
Всем привет!
В полку «damn vulnerable»-приложений прибыло. Недавно был выпущен проект Asp.Goat – заведомо уязвимое приложение, созданное на базе ASP.NET.
Внутри «все по классике»:
🍭 XSS
🍭 CSRF
🍭 SQLi
🍭 XXE
🍭 LFI
🍭 RCE и не только
Небольшое демо того, как выглядит приложение можно найти в GitHub-репозитории проекта.
Запускается с использованием Docker и сразу доступно для исследования и изучения, альтернативный способ – через
P.S. На всякий случай напоминаем, что цель подобных проектов – обучение и только обучение ☺️
Всем привет!
В полку «damn vulnerable»-приложений прибыло. Недавно был выпущен проект Asp.Goat – заведомо уязвимое приложение, созданное на базе ASP.NET.
Внутри «все по классике»:
🍭 XSS
🍭 CSRF
🍭 SQLi
🍭 XXE
🍭 LFI
🍭 RCE и не только
Небольшое демо того, как выглядит приложение можно найти в GitHub-репозитории проекта.
Запускается с использованием Docker и сразу доступно для исследования и изучения, альтернативный способ – через
dotnet.P.S. На всякий случай напоминаем, что цель подобных проектов – обучение и только обучение ☺️
GitHub
GitHub - Soham7-dev/AspGoat: AspGoat is an intentionally vulnerable ASP.NET Core application for learning and practicing web application…
AspGoat is an intentionally vulnerable ASP.NET Core application for learning and practicing web application security. - Soham7-dev/AspGoat
🔥4
Krew — менеджер плагинов kubectl
Всем привет!
Когда-то давно упоминали krew 1, 2, 3. Но так и не рассказали, что это такое. Krew — пакетный менеджер, работает как apt или brew, но для плагинов kubectl.
🎯 Помогает находить, устанавливать и обновлять плагины
🎯 Делает плагины кроссплатформенными и легко управляемыми
🎯 В каталоге более 300 плагинов: от RBAC-аудита до инструментов отладки сети и работы с секретами
Дополнительно можно посмотреть топ 15 kubectl плагинов для security инженеров в 2025 по мнению Sysdig или другие обзоры 1, 2
Однако стоит помнить о рисках безопасности:
Исследование Trend Micro отмечает, что «любой желающий может разработать свой kubectl-плагин и опубликовать его через Krew. При этом нет никакой проверки безопасности»
Используете krew в работе?
Всем привет!
Когда-то давно упоминали krew 1, 2, 3. Но так и не рассказали, что это такое. Krew — пакетный менеджер, работает как apt или brew, но для плагинов kubectl.
🎯 Помогает находить, устанавливать и обновлять плагины
🎯 Делает плагины кроссплатформенными и легко управляемыми
🎯 В каталоге более 300 плагинов: от RBAC-аудита до инструментов отладки сети и работы с секретами
Дополнительно можно посмотреть топ 15 kubectl плагинов для security инженеров в 2025 по мнению Sysdig или другие обзоры 1, 2
Однако стоит помнить о рисках безопасности:
Исследование Trend Micro отмечает, что «любой желающий может разработать свой kubectl-плагин и опубликовать его через Krew. При этом нет никакой проверки безопасности»
Используете krew в работе?
Sysdig
Top 15 Kubectl plugins for security engineers in 2025 | Sysdig
Let's dig deeper into this list of kubectl plugins that we strongly feel will be very useful for anyone, especially security engineers.
👍7❤2🔥2
Secure Vibe Coding Guide
Всем привет!
Vibe Coding стал уже чем-то обыденным и все больше и больше людей его используют и создают ПО «совместно» с LLM.
И где-где, а вот тут безопасность точно нужна. В соответствии с исследованием, около 40% генерируемого кода не является безопасным.
В статье Автор рассматривает check list, который, по его мнению, может быть полезен при обеспечении ИБ для Vibe Coding.
Например:
🍭 Vibe Coding Security Fundamentals
🍭 Application Security и API Security-практики
🍭 AI Specific Risks
🍭 Secure Vibe Coding Prompts и не только
Для каждого раздела приводятся общие рекомендации и небольшие уточнения по ним.
Чего-то сверх детального вы не найдете, но «общий взгляд» на вопрос получился достаточно интересный.
Всем привет!
Vibe Coding стал уже чем-то обыденным и все больше и больше людей его используют и создают ПО «совместно» с LLM.
И где-где, а вот тут безопасность точно нужна. В соответствии с исследованием, около 40% генерируемого кода не является безопасным.
В статье Автор рассматривает check list, который, по его мнению, может быть полезен при обеспечении ИБ для Vibe Coding.
Например:
🍭 Vibe Coding Security Fundamentals
🍭 Application Security и API Security-практики
🍭 AI Specific Risks
🍭 Secure Vibe Coding Prompts и не только
Для каждого раздела приводятся общие рекомендации и небольшие уточнения по ним.
Чего-то сверх детального вы не найдете, но «общий взгляд» на вопрос получился достаточно интересный.
Substack
Secure Vibe Coding Guide
1: Introduction
👍12
Погружение в Kubernetes Security Context
Всем привет!
Kubernetes предлагает разные возможности, которые можно использовать для повышения степени защищенности кластера.
Одной из таких возможностей является Security Context. Если вы еще не знакомы с тем, что это такое и зачем оно нужно, то эта статья может вам подойти.
Автор разбирает:
🍭 Что это такое, какие бывают и в чем между ними разница
🍭 Pod-Level Security Context
🍭 Container-Level Security Context
🍭 Различия между Pod-Level и Container-Level
🍭 Рекомендации по использованию и не только
Для каждого отдельно взятого Security Context приводится описание, сценарии использования и небольшой демонстрационный пример.
То, что надо для первичного ознакомления и погружения в тематику 😊
Всем привет!
Kubernetes предлагает разные возможности, которые можно использовать для повышения степени защищенности кластера.
Одной из таких возможностей является Security Context. Если вы еще не знакомы с тем, что это такое и зачем оно нужно, то эта статья может вам подойти.
Автор разбирает:
🍭 Что это такое, какие бывают и в чем между ними разница
🍭 Pod-Level Security Context
🍭 Container-Level Security Context
🍭 Различия между Pod-Level и Container-Level
🍭 Рекомендации по использованию и не только
Для каждого отдельно взятого Security Context приводится описание, сценарии использования и небольшой демонстрационный пример.
То, что надо для первичного ознакомления и погружения в тематику 😊
🔥6❤1
AppSec и реагирование на инциденты ИБ
Всем привет!
Недавно на Tryhackme появилась новая комната, которая объединяет в себе безопасность приложений и реагирование на инциденты ИБ.
«Комната» состоит из 5 основных частей, если не считать Introduction и Conclusion.
Участников ожидает:
🍭 AppSec IR Fundamentals
🍭 Preparing for Application Incidents
🍭 Responding to an Application Incident
🍭 Remediation and Recovery
🍭 Practical
Для прохождения не требуется каких-то особенных знаний, за исключением общего понимания концептов безопасности приложений и реагирования на инциденты ИБ.
«Комната» рассчитана на 60 минут. Удачи! 😊
Всем привет!
Недавно на Tryhackme появилась новая комната, которая объединяет в себе безопасность приложений и реагирование на инциденты ИБ.
«Комната» состоит из 5 основных частей, если не считать Introduction и Conclusion.
Участников ожидает:
🍭 AppSec IR Fundamentals
🍭 Preparing for Application Incidents
🍭 Responding to an Application Incident
🍭 Remediation and Recovery
🍭 Practical
Для прохождения не требуется каких-то особенных знаний, за исключением общего понимания концептов безопасности приложений и реагирования на инциденты ИБ.
«Комната» рассчитана на 60 минут. Удачи! 😊
TryHackMe
AppSec IR
An introduction into the overlapping worlds of AppSec and IR.
🔥7❤1
Kubernetes Copilot
Всем привет!
Еще один пример использования LLM при работе с Kubernetes – небольшая утилита, получившая название Kubernetes Copilot.
Для работы потребуется
Kubernetes Copilot позволяет:
🍭 Анализировать проблемы, возникающие с определенным ресурсом
🍭 Проводить аудит безопасности выбранного ресурса (как раз тут и используется
🍭 Выполнять команды, получаемые из prompt
🍭 Генерировать манифесты Kubernetes и не только
Примеры команд можно найти в GitHub Repo проекта. Все очень минималистично и просто.
Единственное, чего не хватает – примеров результатов работы Kubernetes Copilot.
Всем привет!
Еще один пример использования LLM при работе с Kubernetes – небольшая утилита, получившая название Kubernetes Copilot.
Для работы потребуется
kubectl, Trivy (об этом чуть позже) и, конечно же, API-ключ для взаимодействия с LLM. На текущий момент поддерживается OpenAI, Gemini и Ollama.Kubernetes Copilot позволяет:
🍭 Анализировать проблемы, возникающие с определенным ресурсом
🍭 Проводить аудит безопасности выбранного ресурса (как раз тут и используется
Trivy)🍭 Выполнять команды, получаемые из prompt
🍭 Генерировать манифесты Kubernetes и не только
Примеры команд можно найти в GitHub Repo проекта. Все очень минималистично и просто.
Единственное, чего не хватает – примеров результатов работы Kubernetes Copilot.
GitHub
GitHub - feiskyer/kube-copilot: Kubernetes Copilot powered by AI (OpenAI/Claude/Gemini/etc)
Kubernetes Copilot powered by AI (OpenAI/Claude/Gemini/etc) - feiskyer/kube-copilot
👍5🔥2❤1👏1
Надо ли переосмысливать подход к Vulnerability Management?
Всем привет
Процесс управления уязвимостями, если очень сильно упростить, сводится к тому, чтобы найти некую «CVE» и устранить ее путем обновления версии уязвимого компонента.
Да, очень и очень упрощенный сценарий (как поиска, так и устранения уязвимости), но для сегодняшнего поста подойдет.
Как правило, есть некое «окно», в котором отсутствует exploit, что делает уязвимость не такой опасной и дает больше времени на ее устранение.
А что, если… AI научится генерировать exploit для разных CVE за считанные минуты? Именно этому и посвящена статья.
Что сделали Авторы:
🍭 Взяли модель
🍭 Начали собирать информацию о «CVE» (git repo проекта, уязвимые версии, версии без уязвимости, описание «CVE» и т.д.)
🍭 Собранная информация использовалась в prompts, целью которых было найти уязвимый код и дать детальное описание уязвимости
🍭 Генерация exploit! Но не просто «пример кода», а PoC и уязвимое приложение, на котором он был протестирован
Подробности всех шагов с примерами и комментариями можно найти в статье. В результате Авторам получилось создать exploits за очень короткий промежуток времени. Ознакомиться с ними можно по ссылкам, доступным в статье.
Получается, что надо переосмыслить подход к управлению уязвимостями? Что практика «обнаружить и обновить» перестанет работать со временем? Усилить контроль среды исполнения, чтобы даже при наличии CVE эксплуатировать ее было невозможно? …
Что вы думаете по этому поводу?
Всем привет
Процесс управления уязвимостями, если очень сильно упростить, сводится к тому, чтобы найти некую «CVE» и устранить ее путем обновления версии уязвимого компонента.
Да, очень и очень упрощенный сценарий (как поиска, так и устранения уязвимости), но для сегодняшнего поста подойдет.
Как правило, есть некое «окно», в котором отсутствует exploit, что делает уязвимость не такой опасной и дает больше времени на ее устранение.
А что, если… AI научится генерировать exploit для разных CVE за считанные минуты? Именно этому и посвящена статья.
Что сделали Авторы:
🍭 Взяли модель
qwen3:8b, впоследствии - openai-oss:20b🍭 Начали собирать информацию о «CVE» (git repo проекта, уязвимые версии, версии без уязвимости, описание «CVE» и т.д.)
🍭 Собранная информация использовалась в prompts, целью которых было найти уязвимый код и дать детальное описание уязвимости
🍭 Генерация exploit! Но не просто «пример кода», а PoC и уязвимое приложение, на котором он был протестирован
Подробности всех шагов с примерами и комментариями можно найти в статье. В результате Авторам получилось создать exploits за очень короткий промежуток времени. Ознакомиться с ними можно по ссылкам, доступным в статье.
Получается, что надо переосмыслить подход к управлению уязвимостями? Что практика «обнаружить и обновить» перестанет работать со временем? Усилить контроль среды исполнения, чтобы даже при наличии CVE эксплуатировать ее было невозможно? …
Что вы думаете по этому поводу?
Substack
Can AI weaponize new CVEs in under 15 minutes?
If AI can mass-produce exploits, how much time do defenders really have left?
👍10
GH_CS_WIZ.pdf
11 MB
Advanced GitHub Security Best Practices
Всем привет!
Wiz не остановить! На этот раз команда подготовила небольшой cheatsheet (~ 13 страниц), посвященный вопросам безопасности GitHub.
Материал покрывает такие темы, как:
🍭 Enforce Robust Authentication
🍭 Safeguarding GitHub Organizations
🍭 Safeguarding GitHub Repositories
🍭 Strengthen Security with GitHub Actions
Для каждого раздела приводятся рекомендации о том, как и что можно настроить. Включая практически «пошаговые инструкции» и сриншоты.
Помимо этого, есть «Actionable Tips» - некий набор лучший практик и советов, о том, на что стоит обратить внимание.
Коротко, по делу и без воды. То, что надо!
Всем привет!
Wiz не остановить! На этот раз команда подготовила небольшой cheatsheet (~ 13 страниц), посвященный вопросам безопасности GitHub.
Материал покрывает такие темы, как:
🍭 Enforce Robust Authentication
🍭 Safeguarding GitHub Organizations
🍭 Safeguarding GitHub Repositories
🍭 Strengthen Security with GitHub Actions
Для каждого раздела приводятся рекомендации о том, как и что можно настроить. Включая практически «пошаговые инструкции» и сриншоты.
Помимо этого, есть «Actionable Tips» - некий набор лучший практик и советов, о том, на что стоит обратить внимание.
Коротко, по делу и без воды. То, что надо!
👍3❤2
Runtime анализ с JAR Inspector
Всем привет!
«Используется ли артефакт, содержащий уязвимости, в промышленной среде?» - именно этот вопрос побудил Автора создать JAR Inspector.А еще Log4Shell, куда уж без него ☺️
Идея достаточно простая: создать решение, которое анализирует JVM, получает перечень всех загруженных JAR и подсказывает, какие из них используются, а какие – нет.
Результатом стал JAR Inspector, который:
🍭 Предоставляет информацию о JAR-файлах в режиме реального времени
🍭 Отображает все приложения и их зависимости (включая транзитивные) в едином окне
🍭 Показывает информацию о том, что загружено и что используется
🍭 Архитектура минималистична: небольшой агент, который получает информацию о JAR, HTTP-сервер и Web UI, который отображает информацию.
Запускается, в том числе, и через Docker, если хочется попробовать у себя.
Больше информации можно найти в статье и в GitHub-репозитории проекта.
Всем привет!
«Используется ли артефакт, содержащий уязвимости, в промышленной среде?» - именно этот вопрос побудил Автора создать JAR Inspector.
Идея достаточно простая: создать решение, которое анализирует JVM, получает перечень всех загруженных JAR и подсказывает, какие из них используются, а какие – нет.
Результатом стал JAR Inspector, который:
🍭 Предоставляет информацию о JAR-файлах в режиме реального времени
🍭 Отображает все приложения и их зависимости (включая транзитивные) в едином окне
🍭 Показывает информацию о том, что загружено и что используется
🍭 Архитектура минималистична: небольшой агент, который получает информацию о JAR, HTTP-сервер и Web UI, который отображает информацию.
Запускается, в том числе, и через Docker, если хочется попробовать у себя.
Больше информации можно найти в статье и в GitHub-репозитории проекта.
Microsoft News
Building a Runtime JAR inspector in 10 hours
Last Friday I was reviewing our backlog items in the Java Engineering Group, and found an idea we had when Log4Shell happened. To this day, there is still no main stream solution to “find in production where a given JAR is being used“. Why runtime truth matters…
👍8🔥2
Использование Canary Tokens: опыт Grafana Labs
Всем привет!
Canary Tokens – некоторая «обманка», которая выглядит, как легитимный API-ключ, URL, файл или еще что-то.
Его задача – максимально рано оповестить ИБ-команду о том, что что-то идет не так.
Например, если злоумышленник пытается проверить «только что найденный API-ключ (который является Canary Token)», то об этом сразу должна узнать ИБ-команда.
В статье рассказывается о том, как этот подход использует команда Grafana Labs и как он помог им в идентификации реальной атаки, произошедшей в мае 2025.
Статья содержит информацию:
🍭 Что такое Canary Tokens
🍭 Инфраструктура Grafana Labs по работе с Canary Tokens
🍭 Жизненный цикл Canary Tokens
🍭 Общее описание стратегии использования Canary Tokens и не только
В результате получилась отличная статья, которая наглядно показывает подход и выгоду от использования Canary Tokens.
А применяете ли вы их у себя?
Всем привет!
Canary Tokens – некоторая «обманка», которая выглядит, как легитимный API-ключ, URL, файл или еще что-то.
Его задача – максимально рано оповестить ИБ-команду о том, что что-то идет не так.
Например, если злоумышленник пытается проверить «только что найденный API-ключ (который является Canary Token)», то об этом сразу должна узнать ИБ-команда.
В статье рассказывается о том, как этот подход использует команда Grafana Labs и как он помог им в идентификации реальной атаки, произошедшей в мае 2025.
Статья содержит информацию:
🍭 Что такое Canary Tokens
🍭 Инфраструктура Grafana Labs по работе с Canary Tokens
🍭 Жизненный цикл Canary Tokens
🍭 Общее описание стратегии использования Canary Tokens и не только
В результате получилась отличная статья, которая наглядно показывает подход и выгоду от использования Canary Tokens.
А применяете ли вы их у себя?
Grafana Labs
Canary tokens: Learn all about the unsung heroes of security at Grafana Labs | Grafana Labs
Learn why the use of canary tokens let us spot a recent intrusion and swarm quickly in response, and find out why you should be using canary tokens to prevent serious security incidents in the future.
5🔥3
Погружение в Kubernetes Services
Всем привет!
Services – одна из основных сущностей Kubernetes, которая «нужна» как ИТ, так и ИБ-специалистам.
Если вы искали что-то, что поможет лучше понять их «устройства», отличия, ключевые принципы и т.д., то эта статья может быть вам полезна.
В ней Авторы рассматривают:
🍭 Общие концепты Services
🍭 Типы Services (ClusterIP, NodePort, LoadBalancer и т.д.)
🍭 Основы Service Discovery
🍭 Работа с Services, их настройка, поиск проблем и т.д.
Примеры, конфигурации, пояснения – все это есть в статье. Хороший обзорный материал «для начала».
Рекомендуем!
Всем привет!
Services – одна из основных сущностей Kubernetes, которая «нужна» как ИТ, так и ИБ-специалистам.
Если вы искали что-то, что поможет лучше понять их «устройства», отличия, ключевые принципы и т.д., то эта статья может быть вам полезна.
В ней Авторы рассматривают:
🍭 Общие концепты Services
🍭 Типы Services (ClusterIP, NodePort, LoadBalancer и т.д.)
🍭 Основы Service Discovery
🍭 Работа с Services, их настройка, поиск проблем и т.д.
Примеры, конфигурации, пояснения – все это есть в статье. Хороший обзорный материал «для начала».
Рекомендуем!
🔥4
Обзорная экскурсия по eBPF
Всем привет!
Возможно, про eBPF уже не говорят «из каждого утюга», но технология используется повсеместно и показывает весьма хорошие результаты.
Как в observability, так и в сетевых технологиях и информационной безопасности.
Если хочется узнать про eBPF чуть больше, то рекомендуем ознакомиться со статьей. В ней авторы делают небольшой «тур» по технологии и рассматривают её с разных сторон.
Например:
🍭 Что такое eBPF, почему она важна
🍭 Как работает eBPF, что она делает «на самом деле»
🍭 Использование eBPF для observability, сети и ИБ
🍭 Ключевая проблематика и не только
В статье достаточно глубоко (и с примерами) описано как и что работает, что позволит лучше понять внутреннее устройство и возможные сценарии использования eBPF.
Всем привет!
Возможно, про eBPF уже не говорят «из каждого утюга», но технология используется повсеместно и показывает весьма хорошие результаты.
Как в observability, так и в сетевых технологиях и информационной безопасности.
Если хочется узнать про eBPF чуть больше, то рекомендуем ознакомиться со статьей. В ней авторы делают небольшой «тур» по технологии и рассматривают её с разных сторон.
Например:
🍭 Что такое eBPF, почему она важна
🍭 Как работает eBPF, что она делает «на самом деле»
🍭 Использование eBPF для observability, сети и ИБ
🍭 Ключевая проблематика и не только
В статье достаточно глубоко (и с примерами) описано как и что работает, что позволит лучше понять внутреннее устройство и возможные сценарии использования eBPF.
Luca Cavallin
A Tour of eBPF in the Linux Kernel: Observability, Security and Networking | Blog
eBPF lets you run small, verified programs inside the Linux kernel, enabling fast observability, security, and networking without changing application code. This practical tour explains why eBPF matters now, how programs are compiled, verified, JITed, and…
👍1
KubeNodeUsage: анализ потребления ресурсов k8s
Всем привет!
Бывает, что надо в моменте посмотреть на потребление ресурсов узлами кластера Kubernetes и pod'ами, которые в нем запущены. И не всегда хочется лезть в условную Grafana.
Тут может помочь KubeNodeUsage: минималистичная утилита, которая поможет решить описанную выше задачу.
Она получает информацию о Node и Pod Metrics от Kubernetes API и отображает ее конечному пользователю в «человекочитаемом» формате.
Ее функционал минималистичен, но практичен:
🍭 Отображение метрик для Memory, CPU, Disk
🍭 Фильтрация (по именам, «цвету», labels)
🍭 Сортировки
🍭 «Регулировка» количества отображаемой информации
Все это доступно прямо из терминала, работает быстро, результаты – наглядные.
Пример того, как это выглядит можно найти в GitHub Repo проекта.
Всем привет!
Бывает, что надо в моменте посмотреть на потребление ресурсов узлами кластера Kubernetes и pod'ами, которые в нем запущены. И не всегда хочется лезть в условную Grafana.
Тут может помочь KubeNodeUsage: минималистичная утилита, которая поможет решить описанную выше задачу.
Она получает информацию о Node и Pod Metrics от Kubernetes API и отображает ее конечному пользователю в «человекочитаемом» формате.
Ее функционал минималистичен, но практичен:
🍭 Отображение метрик для Memory, CPU, Disk
🍭 Фильтрация (по именам, «цвету», labels)
🍭 Сортировки
🍭 «Регулировка» количества отображаемой информации
Все это доступно прямо из терминала, работает быстро, результаты – наглядные.
Пример того, как это выглядит можно найти в GitHub Repo проекта.
GitHub
GitHub - AKSarav/KubeNodeUsage: KubeNodeUsage is a Terminal App designed to provide insights into Kubernetes node and pod usage.…
KubeNodeUsage is a Terminal App designed to provide insights into Kubernetes node and pod usage. It offers both interactive exploration and command-line filtering options to help you analyze your c...
👍3👎1
Application Attack Matrix
Всем привет!
Если у инфраструктуры есть MITRE ATT&CK, то почему бы не сделать ее аналог для приложений? И его сделали!
По ссылке можно найти Application Attack Matrix, созданный командой Oligo Security и вдохновленный известной матрицей MITRE.
Матрица «разбита» на 4 основных домена:
🍭 Pre-Intrusion (Reconnaissance, Resource Development)
🍭 Intrusion (Gain Access, Payload Execution)
🍭 Post-Intrusion (Deeping Control, Expanding Control)
🍭 Impact (Impact)
Для каждого домена приведен набор тактик, в которых описаны потенциальные действия злоумышленников.
Для некоторых – рекомендации по обнаружению и по предотвращению.
Помимо этого, на сайте доступна информация по известных атакам.
Для каждой атаки описаны используемые тактики и приведена дополнительная информация. Например, свидетельства, ссылки на полезные ресурсы.
P.S. Сама матрица, а не статья, доступна вот тут 😊
Всем привет!
Если у инфраструктуры есть MITRE ATT&CK, то почему бы не сделать ее аналог для приложений? И его сделали!
По ссылке можно найти Application Attack Matrix, созданный командой Oligo Security и вдохновленный известной матрицей MITRE.
Матрица «разбита» на 4 основных домена:
🍭 Pre-Intrusion (Reconnaissance, Resource Development)
🍭 Intrusion (Gain Access, Payload Execution)
🍭 Post-Intrusion (Deeping Control, Expanding Control)
🍭 Impact (Impact)
Для каждого домена приведен набор тактик, в которых описаны потенциальные действия злоумышленников.
Для некоторых – рекомендации по обнаружению и по предотвращению.
Помимо этого, на сайте доступна информация по известных атакам.
Для каждой атаки описаны используемые тактики и приведена дополнительная информация. Например, свидетельства, ссылки на полезные ресурсы.
P.S. Сама матрица, а не статья, доступна вот тут 😊
www.oligo.security
Introducing the Application Attack Matrix for Modern App Security | Oligo Security
Discover the Application Attack Matrix—a community-driven framework mapping real-world TTPs against cloud-native, microservice, and API-driven applications.
👍8
Forwarded from DevSecOps Assessment Framework (DAF)
Новый релиз DAF!
Всем привет! Спешим поделиться важным событием: очередной релиз DAF случился. В нем мы многое пересмотрели, изменили и улучшили.
Что добавилось и изменилось:
1. Появился маппинг на ПЗ ЦБ - очень важное дополнение DAF для финансовых организаций. Общее количество маппингов достигло 6!
2. Добавили автомаппинг на ГОСТ 56939-2024 (новая вкладка). Это было нелегко, но мы справились, теперь можно проводя аудит по DAF и сразу же получать результат относительно 4х фреймворков - ГОСТ 56939, DSOMM, SAMM, PT Table Top!
3. Актуализировали Карту DAF
4. Изменились названия вкладок:
— Маппинг со стандартами -> Практики
— Heatmap -> Результаты аудита
5. Во вкладке "Результаты аудита" появилась сводная информация по % выполненных практик доменов и поддоменов, а также вычисление текущего уровня зрелости Компании по DAF
6. Добавилась вкладка "Общее, домены, поддомены", концептуально описывающая "что надо защищать" с декомпозицией от общего к частному
7. Во вкладке "Кирилламида" добавился новый вид Кирилламиды с отображением % выполнения практик каждого уровня
8. Исправили битые ссылки, опечатки, прочие косяки с визуаломи добавили новые
Что перенесено на следующий релиз:
1. Новые способы расчета и оформление вкладки "FTE DevSecOps"
Отдельным релизом в октябре выйдет перевод DAF на английский язык. В связи с чем у нас к вам, дорогие друзья, есть просьба: если вы или ваши коллеги\знакомые можете написать и опубликовать материалы (статья, обзор, анонс и пр.) по английской версии DAF на каких-либо зарубежных площадках для англоговорящего коммьюнити Appsec\DevSecOps - дайте нам знать, пожалуйста (можно комментарием под этим постом).
Ну и на сладкое 🍰
Планируем сделать небольшие видеоролики о том, что такое DAF, как он устроен и как правильно им пользоваться. Ждите анонсов!
Всем привет! Спешим поделиться важным событием: очередной релиз DAF случился. В нем мы многое пересмотрели, изменили и улучшили.
Что добавилось и изменилось:
1. Появился маппинг на ПЗ ЦБ - очень важное дополнение DAF для финансовых организаций. Общее количество маппингов достигло 6!
2. Добавили автомаппинг на ГОСТ 56939-2024 (новая вкладка). Это было нелегко, но мы справились, теперь можно проводя аудит по DAF и сразу же получать результат относительно 4х фреймворков - ГОСТ 56939, DSOMM, SAMM, PT Table Top!
3. Актуализировали Карту DAF
4. Изменились названия вкладок:
— Маппинг со стандартами -> Практики
— Heatmap -> Результаты аудита
5. Во вкладке "Результаты аудита" появилась сводная информация по % выполненных практик доменов и поддоменов, а также вычисление текущего уровня зрелости Компании по DAF
6. Добавилась вкладка "Общее, домены, поддомены", концептуально описывающая "что надо защищать" с декомпозицией от общего к частному
7. Во вкладке "Кирилламида" добавился новый вид Кирилламиды с отображением % выполнения практик каждого уровня
8. Исправили битые ссылки, опечатки, прочие косяки с визуалом
Что перенесено на следующий релиз:
1. Новые способы расчета и оформление вкладки "FTE DevSecOps"
Отдельным релизом в октябре выйдет перевод DAF на английский язык. В связи с чем у нас к вам, дорогие друзья, есть просьба: если вы или ваши коллеги\знакомые можете написать и опубликовать материалы (статья, обзор, анонс и пр.) по английской версии DAF на каких-либо зарубежных площадках для англоговорящего коммьюнити Appsec\DevSecOps - дайте нам знать, пожалуйста (можно комментарием под этим постом).
Ну и на сладкое 🍰
Планируем сделать небольшие видеоролики о том, что такое DAF, как он устроен и как правильно им пользоваться. Ждите анонсов!
GitHub
Release 2025.09.30 · Jet-Security-Team/DevSecOps-Assessment-Framework
Список изменений:
Появился маппинг на ПЗ ЦБ - очень важное дополнение DAF для финансовых организаций. Общее количество маппингов достигло 6!
Добавили автомаппинг на ГОСТ 56939-2024 (новая вкладка)...
Появился маппинг на ПЗ ЦБ - очень важное дополнение DAF для финансовых организаций. Общее количество маппингов достигло 6!
Добавили автомаппинг на ГОСТ 56939-2024 (новая вкладка)...
15🔥19❤🔥6👏4👍1🤡1
Kubernetes Architecture Diagrams
Всем привет!
Мы уже несколько раз писали про средства автоматизации создания графического представления взаимосвязи ресурсов кластера Kubernetes – diagrams as code.
По ссылке можно найти Awesome-подборку, в котором собрано много материалов по теме.
Например:
🍭 Набор иконок
🍭 Средства для создания диаграмм «в ручном режиме»
🍭 Средства для автоматизированного создания диаграмм
Для каждой из рассматриваемых утилит приводится общая информация: лицензия, популярность (звезды, forks), активность. Поддерживаемые ресурсы k8s и не только.
Дополнительно представлены данные о сравнении рассматриваемых утилит по разным критериям.
Точно есть из чего выбрать! 😊
Всем привет!
Мы уже несколько раз писали про средства автоматизации создания графического представления взаимосвязи ресурсов кластера Kubernetes – diagrams as code.
По ссылке можно найти Awesome-подборку, в котором собрано много материалов по теме.
Например:
🍭 Набор иконок
🍭 Средства для создания диаграмм «в ручном режиме»
🍭 Средства для автоматизированного создания диаграмм
Для каждой из рассматриваемых утилит приводится общая информация: лицензия, популярность (звезды, forks), активность. Поддерживаемые ресурсы k8s и не только.
Дополнительно представлены данные о сравнении рассматриваемых утилит по разным критериям.
Точно есть из чего выбрать! 😊
GitHub
GitHub - philippemerle/Awesome-Kubernetes-Architecture-Diagrams: Awesome Kubernetes Architecture Diagrams
Awesome Kubernetes Architecture Diagrams. Contribute to philippemerle/Awesome-Kubernetes-Architecture-Diagrams development by creating an account on GitHub.
🔥5👍2😱1
Реализация multi-tenancy в Kubernetes
Всем привет!
Представим, что кластером Kubernetes одновременно пользуются несколько команд и надо реализовать multi-tenancy.
Одной из сложностей, с которой можно столкнуться, является изоляция: вычислительные ресурсы, сетевое взаимодействие, хранилища и т.д.
По умолчанию, в Kubernetes нет такой опции «из коробки», однако! Есть возможности, которые позволят это реализовать.
В статье Автор разбирает:
🍭 Использование Namespaces и RBAC
🍭 Создание сетевых политик
🍭 Работа с Security Policies (Kyverno, OPA Gatekeeper и их аналоги)
🍭 Виртуальные кластеры и не только
Используя все это можно сделать надежное разграничение всего для корректной работы множества пользователей.
Автор разбирает ключевые сложности, с которыми можно столкнуться и способы их решения.
В результате имеем хорошую, большую и достаточно подробную статью по теме.
Всем привет!
Представим, что кластером Kubernetes одновременно пользуются несколько команд и надо реализовать multi-tenancy.
Одной из сложностей, с которой можно столкнуться, является изоляция: вычислительные ресурсы, сетевое взаимодействие, хранилища и т.д.
По умолчанию, в Kubernetes нет такой опции «из коробки», однако! Есть возможности, которые позволят это реализовать.
В статье Автор разбирает:
🍭 Использование Namespaces и RBAC
🍭 Создание сетевых политик
🍭 Работа с Security Policies (Kyverno, OPA Gatekeeper и их аналоги)
🍭 Виртуальные кластеры и не только
Используя все это можно сделать надежное разграничение всего для корректной работы множества пользователей.
Автор разбирает ключевые сложности, с которыми можно столкнуться и способы их решения.
В результате имеем хорошую, большую и достаточно подробную статью по теме.
Medium
🔒 Kube Roommates: Securing and Isolating Your Multi-Tenant Cluster with Open Source
Introduction 🚀
Новый Trivy Operator Dashboard!
Всем привет!
Нет, это не обновление дашборда для Grafana, который позволяет визуализировать метрики, получаемые с Trivy Operator’a.
Это отдельный проект, разработанный группой энтузиастов, когда они поняли, что «нет ничего подходящего».
Он позволяет:
🍭 Отображать информацию по уязвимостям, SBoM, аудитам конфигураций, секретов и т.д.
🍭 Фильтровать данные для отображения релевантной информации
🍭 Выгружать данные (в CSV-формате)
🍭 Показывать «граф отчетов» для анализируемого ресурса
🍭 Сравнивать отчеты между собой (в том числе между разными namespace) и не только
Устанавливается максимально просто: нужен кластер с установленным на нем Trivy Operator, а дальше
Что делать дальше описано в инструкции по эксплуатации. Крайне рекомендуем ее прочитать, т.к. там много всего интересного.
Выглядит как то, что хочется попробовать!
Всем привет!
Нет, это не обновление дашборда для Grafana, который позволяет визуализировать метрики, получаемые с Trivy Operator’a.
Это отдельный проект, разработанный группой энтузиастов, когда они поняли, что «нет ничего подходящего».
Он позволяет:
🍭 Отображать информацию по уязвимостям, SBoM, аудитам конфигураций, секретов и т.д.
🍭 Фильтровать данные для отображения релевантной информации
🍭 Выгружать данные (в CSV-формате)
🍭 Показывать «граф отчетов» для анализируемого ресурса
🍭 Сравнивать отчеты между собой (в том числе между разными namespace) и не только
Устанавливается максимально просто: нужен кластер с установленным на нем Trivy Operator, а дальше
helm install и готово.Что делать дальше описано в инструкции по эксплуатации. Крайне рекомендуем ее прочитать, т.к. там много всего интересного.
Выглядит как то, что хочется попробовать!
GitHub
GitHub - raoulx24/trivy-operator-dashboard: Trivy Operator Dashboard: A comprehensive tool for Trivy Operator. Offers various dashboards…
Trivy Operator Dashboard: A comprehensive tool for Trivy Operator. Offers various dashboards and interactive pages where you can browse and inspect Trivy Reports. Built with C#, .NET 9 (backend), A...
❤6