DevOps VS ИБ: кто кого? ⁉️

DevOps-инженеры хотят улучшить жизнь командам разработки и сократить T2M для бизнеса, а ибэшники живут в другой парадигме и привыкли к формальным подходам. Поэтому часто им сложновато договориться.

14 августа (четверг) в 18:00 приглашаем вас присоединиться к настоящему батлу DevOps и ИБ — со взаимными претензиями, дракой и реальными примерами из жизни.

Среди вопросов дискуссии:

🍭 Забытые секреты, неверные доступы и не только: чем пренебрегают команды DevOps?
🍭 Часто встречающиеся проблемы ИБ в пайплайнах.
🍭 Топ абсурдных требований от безопасников.
🍭 Кто такой ибэшник мечты?
🍭 Кто должен быть медиатором во время конфликтов?
🍭 Успешные кейсы интеграции DevOps и ИБ.

⤵️ Регистрация и подробная программа.

Что такое анализ достижимости? Часть 3!

Всем привет!

Завершающая статья из цикла, посвященного анализу достижимости (о первых двух мы писали тут и тут).

В последней части Автор рассказывает о сложностях, которые присущи Runtime Reachability. Одной из таких сложностей является то, что все понимаю ее по-разному.

Некоторые считают, что если зависимость загружена или если она используется, то уязвимость актуальна. Иные считают, что уязвимость актуальна при наличии внешнего доступа к анализируемому ресурсу.

С точки зрения Автора все несколько иначе:
🍭 Зависимость загружена и, возможно, используется. Имеет место быть. Ведь если нет зависимости, то не т и уязвимости. Но сильно не поможет.
🍭 Доступ по сети. Может быть использован для расстановки приоритетов. Если есть N приложений с уязвимостью, эксплуатируемой удаленно и только 2 доступны извне – то лучше обратить внимание на них
🍭 Исполнение уязвимой функции. Самое интересное – именно этот способ может позволить максимально эффективно отсеять лишнее. Ведь если зависимость загружена, это не означает, что используется уязвимый метод

Поэтому, для достижения лучшего результата можно использовать все три способа.

Нюанс в том, что информацию об исполнении уязвимой функции в runtime получить не так просто и крайне мало средств автоматизации.

В статье еще много полезной информации о том, на что обращать внимание при работе с уязвимостями в зависимостях и как можно попробовать оптимизировать этот процесс.

Рекомендуем!

Что такое анализ достижимости? Часть 2!

Всем привет!

Продолжение вчерашнего поста. Автор определился с тем, что такое анализ достижимости и пошел дальше.

Теперь его цель разобраться в том, какие виды такого анализа бывают, как они работают и в чем их разница.

Он выделяет 2 основных типа:
🍭 Статический анализ достижимости. Исследование исходного кода, библиотек, их использования и поиск уязвимых функций
🍭 Динамический анализ достижимости. Пакеты ОС, их использование, поиск уязвимых функций, идентификация вредоносного ПО

Далее Автор разбирает каждый из типов более детально и с примерами. Например, в чем разница между Package Level Reachability и Function Level Reachability, если говорить про статический анализ достижимости.

Помимо этого, в статье приводится очень хорошее описание сильных и слабых сторон для каждого из рассматриваемых способов анализа.

Что такое анализ достижимости?

Всем привет!

Этот термин (хоть он далеко и не новый) появляется все чаще и чаще. Но что он означает? Как обычно, разные специалисты/компании интерпретируют его по-своему.

В статье Автор пытается разобраться в вопросе и формирует свой ответ на то, что же это такое.

Начинается все со сравнения – каким был процесс управления уязвимостями раньше и каким он стал сейчас. Да, когда-то было достаточно просто обновить версию ПО. Однако, сканеры развиваются, начинают лучше понимать ПО и могут анализировать ОС, пакеты, зависимости, ПО и т.д.

Вследствие чего появляется больше данных и, увы, ложных срабатываний. И вот тут анализ достижимости может пригодиться.

Например, понимание того:
🍭 Загружена ли библиотека
🍭 Используется ли метод
🍭 Доступно ли ПО извне
🍭 Есть ли какие-то меры по ИБ

может сильно помочь. И да, CVE может и присутствовать, но эксплуатировать ее нельзя. Тогда это false positive?

Поэтому, по мнению Автора, анализ достижимости это не только про комбинирование практик SAST и SCA, но и про понимание контекста – инфраструктуры, средств защиты.

Таким образом получается, что цель не в снижении false positive, а в поиске true positive.

А что вы думаете по этому поводу и реализуете ли вы такой анализ у себя?

Gitxray: анализ GitHub репозиториев

Всем привет!

Продолжаем тему анализа безопасности open source проектов перед их использованием. Еще одним инструментом, который может помочь, является Gitxray.

Он позволяет собрать множество информации о репозитории для последующего анализа.

Например:
🍭 Искать чувствительную информацию в профилях contributors
🍭 Идентифицировать не настоящие (fake) или зараженные (infected) репозитории
🍭 Анализ времени commit’ов для идентификации аномалий
🍭 Предоставлять сведения об артефактах релизов, которые были изменены уже после релиза
🍭 И многое другое

Устанавливается и запускается крайне просто. Результаты работы утилиты предоставляются в виде наглядного html-отчета.

Больше информации об Gitxray можно найти в репозитории или в документации.

Open Source Project Security Baseline

Всем привет!

Еще один проект от OpenSSF, цель которого – снижение количества потенциальных уязвимостей за счет внедрения практик и повышение доверия пользователей к рассматриваемому проекту.

Материал содержит практики 3-х уровней: общие рекомендации (для всех) и отдельно для проектов, у которых (не) очень много пользователей.

Всего порядка 50 рекомендаций. Например:
🍭 Когда был выпущен релиз, то должна обновиться и документация
🍭 Должна вестись запись всех изменений (само изменение, Автор, дата)
🍭 Для каждого проекта должен быть указать контакт по вопросам ИБ
🍭 Перед тем, как принять изменение, необходимо убедиться, что тесты пройдены и функционал соответствует ожиданиям
🍭 Все релизные объекты должны быть однозначно «связаны» с релизом и многое другое

Указанные практики можно использовать, например, при оценке надежности open-source проекта или использовать у себя (да, применимы далеко не все, но можно найти вполне интересные).

Помимо этого, для каждой практики кратко описано зачем она нужна (какой риск она сокращает), приведен небольшой набор рекомендаций и соотношение с иными стандартами и фреймворками (SSDF, PCI DSS, SAMM и т.д.)

Zeropod: оптимизация потребления ресурсов в Kubernetes

Всем привет!

Бывают случаи, когда контейнеров очень много и понять, какие из них реально используются, а какие – нет, может быть достаточно сложно.

При этом они потребляют ресурсы, которые могут быть нужнее «соседу». Как быть? Например, делать scale down до 0. И именно это и делает Zeropod.

Если просто, то по истечении некоторого времени от последнего TCP-соединения, он делает checkpoint (используя CRIU) и scale down до 0.

После, если TCP-соединения появляется вновь, pod восстанавливается и продолжает работу. Для пользователя это происходит «бесшовно». При этом реализуется оптимизация использования вычислительных ресурсов кластера Kubernetes.

Более детально процесс и логика работы Zeropod описаны в GitHub-репозитории проекта. Помимо этого, в repo можно найти информацию по установке, настройке и возможностях утилиты.

Важно: концепт, возможно, и интересный, но использовать такое "у себя" лучше после плотного тестирования ☺️

А как вы думаете, есть ли в этом смысл или "нет, очень опасно и зачем оно вообще нужно"?

Используете проверку подписей и хэшей компонентов у себя в разработке?

Практика T-CODE-SC-2-3 предполагает проверку цифровых подписей и контрольных сумм компонентов. Казалось бы, звучит логично и даже просто. Но как обстоят дела на практике?

Что можно использовать прямо сейчас:
🔍 npm: npm ci --verify-store-integrity
🔍 pip: hashin добавляет sha256 в requirements.txt
🔍 poetry: poetry.lock содержит sha256
🔍 maven: проверка jar — sha256sum -c lib.jar.sha256
🔍 GPG/PGP: gpg --verify lib.jar.asc lib.jar

Чаще всего приходится писать свои скрипты: в пайплайне, в CI/CD или обвязке пакетных менеджеров. Готового единого решения, которое проверяет всё — пока нет.

А у вас как ?
- Используете ли вы проверку хэшей/подписей?
- Где реализовали — в CI, на ARM, в IDE?
- Какие инструменты подошли?
- Есть ли ограничения, которые мешают внедрению?
- Считаете ли эту практику соответствующей 2 уровню зрелости по DevSecOps Assessment Framework?

Делитесь опытом в комментах — особенно интересно мнение тех, кто реально внедрил такую проверку в прод.

OpenCVE: управление информацией об уязвимостях

Всем привет!

OpenCVE – проект, который позволяет управлять данными о CVE, получаемыми из различных источников (NVD, RedHat, MITRE, Vulnrichment и т.д.)

Из ключевых функций можно выделить:
🍭 Наличие интерактивного графического web-интерфейса
🍭 Возможность «подписки» на определенные CVE с последующим получением уведомлений об изменениях
🍭 Получение комплексной информации об уязвимостях
🍭 Отслеживание истории изменения CVE
🍭 Создание собственных дашбордов
🍭 Интеграция с используемыми сервисами через API/Webhook и не только

Решение платное, но есть бесплатный вариант с некоторым (не критическим) ограничением по функционалу.

Установка возможна как в облаке, так и on-premise.

Больше информации об OpenCVE можно найти в GitHub-репозитории проекта и в документации.