Size: a a a
2021 May 17
Компания
По сути, это свежий (от 31 марта 2021) обзор и сравнение
- OPA
- Gatekeeper
- MagTape
- Kyverno
- k-rail
К сожалению, на момент публикации Kubewarden еще не был выпущен, и он тут не рассматривается.
Все решения описываются по следующим пунктам:
1) Создание политик
2) Реакция на недоступность
3) Возможность фонового сканирования
4) Расширяемость кода и данных
5) Архитектура и развитие используемых политик
6) Возможность работы вне
Материал просто
Amazon опубликовала серию постов "Policy-based countermeasures for Kubernetes" [1,2].По сути, это свежий (от 31 марта 2021) обзор и сравнение
policy engines, который поможет вам выбрать наиболее подходящий для вашей компании. Среди рассматриваемых кандидатов:- OPA
- Gatekeeper
- MagTape
- Kyverno
- k-rail
К сожалению, на момент публикации Kubewarden еще не был выпущен, и он тут не рассматривается.
Все решения описываются по следующим пунктам:
1) Создание политик
2) Реакция на недоступность
webhook (fail open vs. fail closed)3) Возможность фонового сканирования
4) Расширяемость кода и данных
5) Архитектура и развитие используемых политик
6) Возможность работы вне
Kubernetes кластера (встраивание в CI\CD)Материал просто
MUST READ, а policy engine уже должен быть неотъемлемой частью вашего Kubernetes кластера!Detecting Malicious Activity in CI/CD Pipeline with Tracee and Codecov story.
Aqua Security показали один из примеров, как можно использовать относительно новый инструмент Tracee. Напоминаю, что Tracee - это утилита, которая помогает собирать информацию об активности приложения, которое развернуто на сервере с Tracee, в режиме runtime на основе технологии eBPF (по аналогии с тем, как работают движки Container Runtime в современных средствах защиты класса CSP).
Так вот Аква предлагает запускать Tracee в CI/CD, анализируя аномальную активность собираемых и разворачиваемых приложений. При этом у Tracee появился встроенный набор сигнатур.
Сам автор поста заявляет, что данный механизм защиты может помочь предотвратить индицент аналогичный тому, что произошел с Codecov в апреле 2021 года, когда злоумышленники подменили скрипт Bash Uploader, используемый в Codecov-actions для Github, Codecov CircleCl Orb и Codecov Bitrise Step. Злоумышленнику удалось воспользоваться ошибкой в используемом Codecov процессе создания образа Docker, позволившей ему извлечь учетные данные, необходимые для внесения изменений в скрипт Bash Uploader (наглядный пример supply chain атаки).
Ненавистники сигнатур занегодуют, но стоит признать, что сам по себе подход имеет право на существование.
Помимо анализа работы ПО, используемого в CI/CD на наличие аномалий, важно не забывать про механизмы защиты самого процесса CI/CD: MFA, хранение секретов, изоляция окружений, сетевая безопасность и многое другое. Этой теме в будущем будут посвящены отдельные посты.
#attack #dev #ops
Aqua Security показали один из примеров, как можно использовать относительно новый инструмент Tracee. Напоминаю, что Tracee - это утилита, которая помогает собирать информацию об активности приложения, которое развернуто на сервере с Tracee, в режиме runtime на основе технологии eBPF (по аналогии с тем, как работают движки Container Runtime в современных средствах защиты класса CSP).
Так вот Аква предлагает запускать Tracee в CI/CD, анализируя аномальную активность собираемых и разворачиваемых приложений. При этом у Tracee появился встроенный набор сигнатур.
Сам автор поста заявляет, что данный механизм защиты может помочь предотвратить индицент аналогичный тому, что произошел с Codecov в апреле 2021 года, когда злоумышленники подменили скрипт Bash Uploader, используемый в Codecov-actions для Github, Codecov CircleCl Orb и Codecov Bitrise Step. Злоумышленнику удалось воспользоваться ошибкой в используемом Codecov процессе создания образа Docker, позволившей ему извлечь учетные данные, необходимые для внесения изменений в скрипт Bash Uploader (наглядный пример supply chain атаки).
Ненавистники сигнатур занегодуют, но стоит признать, что сам по себе подход имеет право на существование.
Помимо анализа работы ПО, используемого в CI/CD на наличие аномалий, важно не забывать про механизмы защиты самого процесса CI/CD: MFA, хранение секретов, изоляция окружений, сетевая безопасность и многое другое. Этой теме в будущем будут посвящены отдельные посты.
#attack #dev #ops
Техника scheme flooding позволяет деанонимизировать пользователей Tor
Специалисты компании FingerprintJS, являющейся производителем библиотеки для снятия отпечатков браузера в целях предотвращения мошенничества, рассказали о новом методе снятия отпечатков, способном генерировать устойчивый идентификатор в разных браузерах для настольных компьютеров, в том числе Tor. По словам специалистов, если пользователь просматривает одни web-сайты через Safari, Firefox или Chrome, а другие – через Tor, существует вероятность того, что посторонний сможет связать истории всех браузеров с помощью уникального идентификатора, тем самым деанонимизировать пользователя и следить за его действиями в Сети.
https://www.securitylab.ru/news/520157.php
Специалисты компании FingerprintJS, являющейся производителем библиотеки для снятия отпечатков браузера в целях предотвращения мошенничества, рассказали о новом методе снятия отпечатков, способном генерировать устойчивый идентификатор в разных браузерах для настольных компьютеров, в том числе Tor. По словам специалистов, если пользователь просматривает одни web-сайты через Safari, Firefox или Chrome, а другие – через Tor, существует вероятность того, что посторонний сможет связать истории всех браузеров с помощью уникального идентификатора, тем самым деанонимизировать пользователя и следить за его действиями в Сети.
https://www.securitylab.ru/news/520157.php
Решил протестировать данную систему и вот что выяснил. Если не предохраняться, метод действительно работает и вас могут идентифицировать.
Самым действенным способом противодействия является отключение java-скриптов, но в таком случае многие сайты ломаются и перестают работать. Альтернативным вариантом стало применение браузера Firefox с включённой контейнеризацией и использование расширения Privacy Possum. Результаты можно видеть на скриншотах. Предохраняйтесь. 😎
Самым действенным способом противодействия является отключение java-скриптов, но в таком случае многие сайты ломаются и перестают работать. Альтернативным вариантом стало применение браузера Firefox с включённой контейнеризацией и использование расширения Privacy Possum. Результаты можно видеть на скриншотах. Предохраняйтесь. 😎
В фреймворке Symfony иногда не отключают профайлер, который может помочь получить различную техническую информацию о целевой системе. Находится он в роуте
app_dev.php.
Но не все знают, что можно вызвать
Если этот контроллер доступен, интереснее вызвать сразу последнюю страницу
/app_dev.php/_configurator, который запустит установку движка (оно тебе надо?). Если этот контроллер доступен, интереснее вызвать сразу последнюю страницу
/app_dev.php/_configurator/final, который покажет текущий конфиг сайта.2021 May 18
Terraform с Нуля до Сертифицированного Профессионала (2020)
https://cloud.mail.ru/public/jLhs/46HKW3eE5/
https://www.udemy.com/course/rus-terraform/
#DevSecOps #DevSec #Terraform #HashiCorp
https://cloud.mail.ru/public/jLhs/46HKW3eE5/
https://www.udemy.com/course/rus-terraform/
#DevSecOps #DevSec #Terraform #HashiCorp
https://www.youtube.com/channel/UC3uA9YivEe70U6diNUzdcIw/videos
видео по механикам работы Checkmarx
видео по механикам работы Checkmarx
Власти легализуют продажу данных россиян
Минцифры отличилось новой инициативой. Там предложили давать разработчикам искусственного интеллекта доступ к госданным. Но не просто так, а за деньги. Стоимость будут определять исходя из сложности и объема данных(по сути, от их ценности).
Вице-премьер Дмитрий Чернышенко, который у нас курирует технологии, говорит, что единая фабрика данных «делает государство уникальным оператором, который имеет в своём распоряжении неограниченное количество дата-сетов и их комбинаций».
Не может не согласиться с вице-премьером. Такие возможности для тотального контроля не каждый день дарит.
Минцифры отличилось новой инициативой. Там предложили давать разработчикам искусственного интеллекта доступ к госданным. Но не просто так, а за деньги. Стоимость будут определять исходя из сложности и объема данных(по сути, от их ценности).
Вице-премьер Дмитрий Чернышенко, который у нас курирует технологии, говорит, что единая фабрика данных «делает государство уникальным оператором, который имеет в своём распоряжении неограниченное количество дата-сетов и их комбинаций».
Не может не согласиться с вице-премьером. Такие возможности для тотального контроля не каждый день дарит.
