Trajan: анализ безопасности CI/CD

Всем привет!

Trajan – open-source утилита от Praetorian, которая позволяет анализировать настройки CI/CD и идентифицировать в них ИБ-дефекты.

«Из коробки» доступна следующая функциональность:
🍭 32 плагина для идентификации небезопасных настроек
🍭 24 плагина для идентификации атак
🍭 Несколько «режимов работы»: enumerate, scan и attack
🍭 Наличие графического web-интерфейса

На текущий момент поддерживается GitHub Actions, GitLab CI, Azure DevOps и Jenkins.

Количество плагинов для идентификации небезопасных настроек и атак варьируется в зависимости от рассматриваемой CI-системы.

Больше подробностей про проект можно найти в GitHub-репозитории или вот в этой статье от Авторов Trajan.

Поиск вредоносных contributors в open-source: опыт DataDog

Всем привет!

DataDog – компания, которая много сил вкладывает в развитие open-source. Включая собственные разработки, которые ребята дают миру.

Когда «идешь в public» - будь готов к тому, что тебя могут «исследовать» и пытаться атаковать. DataDog – не исключение.

Supply chain атаки особенно популярны в наше время: от «воздействия» на название PR до различного вида инъекций, в результате чего может быть украдена информация, подменён артефакт и т.д.

Недавно мы писали о BewAIre – наработке Компании, которая позволяет определить, является ли PR вредоносным или нет.

Ребята пошли дальше и теперь направляют результаты работы BewAIre в свой SIEM для последующего реагирования со стороны их SIRT-команды.

И именно это помогло им найти несколько атак на их open-source проекты.

Случилось примерно следующее:
🍭 BewAIre указал на то, что один из PR в IaC Scanner (который, кстати, open-source) может быть вредоносным
🍭 Команда отреагировала и выяснила, что злоумышленник пытался внедрить вредоносный код в название файла
🍭 Инъекция заключалась в том, чтобы скачать подконтрольный злоумышленнику файл и выполнить его
🍭 На этом приключение не закончилось. Спустя несколько часов было открыто несколько issues, в описании которых содержался prompt injection

Хорошие новости в том, что подход DataDog показал свою результативность на практике и действия злоумышленника удалось предотвратить.

Что было в том prompt injection и что за файл надо было скачать и запустить – обо всём этом и не только можно прочесть в статье.

Timeline, анализ действий злоумышленника, используемые им подходы, рекомендации по повышению уровня безопасности – всё на месте!

Рекомендуем!

Изучаем Istio: the Hard Way

Всем привет!

Если вы хотели притронуться к технологии Service Mesh и руки всё никак не могли дойти, то, возможно, эта статья сможет вам помочь.

В ней Автор на примере Istio разбирает что это такое, как это работает и как настраивается.

Статья содержит разделы
🍭 Описание «лаборатории» (все материалы можно найти в этом репозитории)
🍭 Краткое описание логики работы Istio
Управление трафиком (VirtualServices, DestinationRules, Subsets)
🍭 Реализация ZeroTrust-концепта с использованием mTLS
🍭 Балансировка нагрузки и не только

Краткое описание того, что происходит приводится в статье.

Если нужно больше информации (например, для самостоятельного воспроизведения), то её можно найти в GitHub-репозитории.

The Agentic Coding Security Report

Всем привет!

В приложении можно найти небольшой отчёт (~ 14 страниц) от DryRun Security – The Agentic Coding Security Report.

В нём отражена точка зрения на вопрос: «AI-агенты всё чаще и чаще используются для разработки ПО. Но как это влияет на уровень информационной безопасности?».

Для этого команда «поставила задачу» трём агентам – Claude, Codex и Gemini – по разработке ПО с последующей его «доработкой» через PR.

По завершению «работы» итоговые варианты программного обеспечения были проанализированы на наличие ИБ-дефектов.

Если кратко, то:
🍭 87% PR содержали ИБ-дефекты
🍭 Большинство ИБ-дефектов были «Высокого» уровня критичности
🍭 Разные агенты допускали идентичные ошибки (Broken Access Control, TOCTOU, XSS, User Enumeration и т.д.)
🍭 Codex показал лучшие результаты ☺️

Больше деталей, включая описание подхода к реализации поставленной задачи и описание итоговых результатов, можно найти в отчёте.

Атака на цепочку поставки: LiteLLM

Всем привет!

Атака на Trivy – вероятно самая обсуждаемая тема нескольких последних недель.

Но не ей единой. Компрометации подверглась и LiteLLM.

47 000 скачиваний уязвимых версий (1.82.7, 1.82.8) за 46 минут.

Вредоносное ПО делает следующее:
🍭 Сбор чувствительных данных (SSH-ключи, информация из конфигурационных файлов, shell-история и т.д.)
🍭 Собранные данные зашифровываются и передаются на https://models.litellm.cloud
🍭 Кроме этого, если присутствует Kubernetes Service Account Token, то вредоносное ПО пытается получить доступ о всех секретах кластера и создать pod и сделать некоторый mount на узел кластера

Подробнее об атаке на LiteLLM можно прочесть в статьях: первая посвящена общему анализу и хронологии событий, вторая – описанию вредоносного ПО.

Kubelet: зачем он нужен и как устроен

Всем привет!

Kubelet – основной «агент» узлов кластера, который отвечает за жизненный цикл запускаемых на нём pod’ов.

Поэтому понимание принципов его работы крайне важно. Особенно, если pod постоянно находится в состояниях Pending или ContainerCreating.

Помочь в этом сможет статья, в которой Автор сделал очень неплохой «обзор» на Kubelet.

Материал содержит разделы:
🍭 Архитектура Kubelet
🍭 Основные (core) компоненты Kubelet
🍭 Описание процесса создания pod
Механизм синхронизации
🍭 Описание основных причин «падения» контейнеров и не только

Очень много различных схем, диаграмм последовательностей, примеров команд, позволяющих разобраться в происходящем.

Самое «то» для того, чтобы лучше представлять себе процесс создания pod и его основных «участников».

Infralens: анализ service-to-service взаимодействия

Всем привет!

Infralens – open-source проект, который использует eBPF для автоматического обнаружения и визуализации взаимодействия service-to-service в кластерах Kubernetes.

Из ключевых функций можно отметить:
🍭 Отсутствие инструментации: никаких sidecars, изменения кодовой базы
🍭 Отображение топологии в режиме реального времени
🍭 Поддержка IPv4 и IPv6
🍭 Аналитика потребляемых ресурсов (CPU, RAM) узлами кластера
🍭 Интерактивная визуализация и не только

Кроме этого, Infralens позволяет генерировать автоматическое описание используемых сервисов при помощи AI.

Такая документация включает в себя: что делает сервис, какие используются технологии для его создания, описание сетевого поведения и т.д.

Подробности про возможности Infralens, его архитектуру, способы установки и настройки можно найти в GitHub-репозитории проекта.

Безопасная работа с npm

Всем привет!

В GitHub-репозитории собраны лучшие практики, позволяющие повысить уровень информационной безопасности при работе с npm.

Глобально материал «разбит» на разделы:
🍭 npm Security Best Practices
🍭 Secure Local Development Best Practices
🍭 npm Maintainer Security Best Practices
🍭 npm Package Health Best Practices

Каждый из описанных выше разделов состоит из набора рекомендаций, перечень которых варьируется.

Для каждой рекомендации приводятся некоторые советы и набор команд, в которых указано как её можно реализовать на практике.

Кратко, по делу и ничего лишнего. Рекомендуем!

GitHub Actions: Security Roadmap

Всем привет!

События последних недель ясно дали понять, что безопасность цепочки поставки ПО – вещь достаточно важная и значимая.

Команда GitHub это понимает и ведёт работы в этом направлении. Недавно они опубликовали перечень нововведений, которые будут реализованы для повышения уровня информационной безопасности.

Ознакомиться с получившимся Security Roadmap можно по ссылке.

Если говорить в общем, то работа ведётся в трёх направлениях:
🍭 Ecosystem. Явное определение зависимостей и безопасная публикация
🍭 Attack Surface. Управление политиками, настройками по умолчанию и ограничение области действий учётных данных
🍭 Infrastructure. Контроль действий в реальном времени, ограничение сетевого взаимодействия runner’ов

Для каждой области в статье описано что именно планируется реализовать. Например, раздел dependencies, в котором можно явно указать необходимый перечень для сборки.

Или же создание политик, которые явно определяет кто именно/какое событие может запускать сборку.

И, конечно же, какой Roadmap без сроков – информацию о доступности нововведений можно найти в статье.

Безопасность CI/CD: рекомендации Latio

Всем привет!

Сканирование зависимостей и образов контейнеров на наличие уязвимостей практика, безусловно, полезная, но не всегда достаточная.

Особенно, когда речь касается безопасности процесса сборки. Причина проста – поверхность атаки гораздо больше.

Чтобы разобраться что к чему и с чего начать, можно воспользоваться рекомендациями от Latio.

Ребята собрали набор практик по следующим разделам:
🍭 Third-Party Packages
🍭 Container Images
🍭 GitHub Actions
🍭 Infrastructure-as-Code Modules
🍭 AI/ML Modules
🍭 IDE Extensions and Developer Tools

Для каждого раздела приведен checklist, состоящий из двух разделов.

Первый – Immediate Actions – описывает высокоприоритетные задачи, которые помогут значительно «сократить» поверхность атаки.

Второй – Long-term Initiatives – предлагает набор практик для развития и дальнейшего улучшения.

В завершении статьи можно найти примеры атак по рассмотренным выше областям.

Кстати, проверки всех checklist’ов можно автоматизировать с использованием Claude Code Plugin, ссылку на который можно найти в статье.

Self-Deployment: работа с ИТ-инфраструктурой

Всем привет!

В приложении можно найти полноценную книгу (~ 774 страницы), в которой собрана информация, которая может помочь погрузить в тематику работы с ИТ-инфраструктурой и Kubernetes в частности.

Автор написал её для разработчиков, чтобы они понимали не только «свою часть», но и «всю картину» в общем.

Книга содержит главы:
🍭 Introduction to Linux
🍭 Basics of the Shell Environment
🍭 Basic Linux Commands
🍭 Containerization and Docker
🍭 Kubernetes и не только

Материал хорошо структурирован и точно может быть полезен для тех, кто только начинает свой путь.

Примеры, пояснения, немного истории, ссылки на полезные материалы по рассматриваемой теме – всё внутри!

P.S. Если кто-то хочет материально отблагодарить Автора, то сделать это можно по ссылке

Vibe Security Radar

Всем привет!

Vibe Security Radar – проект, который помогает определить, что определённая уязвимость была добавлена в исходный код с использованием LLM.

Работает по следующему принципу:
🍭 Анализ уязвимости и поиск commit’a с исправлением
🍭 Идентификация «автора изменения»
🍭 Поиск AI-«сигналов»
🍭 Уточнение данных для того, чтобы убедиться, что «автор» - ИИ

На текущий момент было выявлено 78 таких уязвимостей, 43 из которых имеют уровень критичности High и Critical.

Для каждой такой уязвимости можно посмотреть информацию об LLM, которая её «добавила» и общие данные («сигналы», commit’ы с исправлениями и результаты анализа и т.д.).

Если хочется больше подробностей, то они представлены в GitHub-репозитории проекта.

Supply Chain Monitor

Всем привет!

Supply Chain Monitor от команды Elastic – open-source проект, задача которого – анализировать PyPi и npm пакеты на предмет компрометации.

Работает он следующим образом: из каждого индекса скачиваются последние версии пакетов, происходит анализ с его «предшественником» с использованием LLM.

Если в пакете есть что-то подозрительное, то происходит оповещение в Slack.

LLM «направлена» на поиск следующего:
🍭 Обфусцированный код (base64, exec, eval, XOR и т.д.)
🍭 Попытка установки сетевых соединений
🍭 Запись в файловую систему
🍭 Запуск процессов и/или shell-команд
🍭 Стеганография в медиа-данных и не только

Подробности о принципах работы, настройке, примерах оповещений и возможностях Supply Chain Monitor можно найти в GitHub-репозитории проекта.

ASAMM: agentic SAMM

Всем привет!

Да, это именно оно! «Расширение» OWASP Software Assurance Maturity Model (OWASP SAMM) при использовании AI-Driven разработки.

Автором расширения является Сергей Гордейчик.

ASAMM предлагает следующие функции:
🍭 Governance
🍭 Design
🍭 Implementation
🍭 Verification
🍭 Operations

Для каждой функции определен набор контролей и уровней зрелости (которых в модели определено 3 штуки). Всего получилось 17 контролей, «разбитых» по 5 функциям.

Дополнительно, в GitHub-репозитории можно найти примеры верхнеуровневых дорожных карт, которые помогут в реализации.

И это еще не всё! Если вам интересна таксономия угроз, характерных при работе с агентами, то и она есть в предоставленных Автором материалах.

Как идентифицировать побег из контейнера?

Всем привет!

«Какая именно телеметрия генерируется, когда совершается «побег» из контейнера?» – именно с этого вопроса началось путешествие Автора статьи.

Для того, чтобы ответить на свой вопрос он взял 3 популярных решения – Tetragon, Falco, Tracee и подготовил 15 различных сценариев.

Сценарии можно разбить на группы:
🍭 Misconfiguration escapes. Наиболее часто встречающиеся сценарии «побегов»
🍭 A baseline control. В этом сценарии Автор разбирал сколько событий сгенерируют решения на «обычный, ничего не делающий контейнер». Спойлер: Tetragon «выиграл»
🍭 CVE-based patterns. Идентификация определенных уязвимостей уровня ядра (Leaky Vessels, DirtyPipe и т.д.)
🍭 Capability abuse scenarios. Анализ действий привилегированного контейнера
🍭 A stress test. Он самый. Что будет, если злоумышленник будет генерировать миллионы syscalls в секунду?

Каждый такой сценарий запускался на своей собственной виртуальной машине (3 GB RAM, 2 vCPUs, Ubuntu 22.04, kernel 5.15.0-91-generic).

В результате… Никто не смог выявить все «побеги», хотя рассматриваемые решения подкрались достаточно близко.

Еще одним интересным наблюдение стало количество генерируемой информации.

Tetragon сгенерировал 1,2 GB данных, в то время как Tracee – 20 MB, а Falco – 36 MB.

И это далеко не всё. Настоятельно рекомендуем ознакомиться со статьей.

Кстати, в конце статьи можно найти ссылки на набор публикаций по теме для того, чтобы лучше разбираться в вопросе.

Рекомендуем!

Vesparian: API Discovery

Всем привет!

Vesparian – open-source проект от команды Praetorian, который обнаруживает API endpoints за счёт анализа «живого» HTTP-трафика с последующей генерацией спецификаций.

На текущий момент он умеет:
🍭 REST API Discovery
🍭 WSDL/SOAP Discovery
🍭 Headless Browser Crawling
🍭 Traffic Import и не только

Работает он в 2 этапа: «захват» траффика и генерация нужно спецификации.

Для REST – OpenAPI 3.0, GraphQL – GraphQL SDL и WSDL для WSDL/SOAP.

Подробнее о возможностях, запуске и настройке Vesparian можно прочесть в GitHub-репозитории проекта или вот в этой статье.

Фреймворки DAF и JCSF победили в премии Security UP: «Безопасность начинается с кода»!

Привет, друзья! Спешим похвастаться: наши фреймворки оценили на премии Security UP: «Безопасность начинается с кода», организованной ГК "Солар", Ассоциацией ФинТех и сообществом FinDevSecOps:
🦴Фреймворк оценки зрелости безопасности контейнерной инфраструктуры Jet Container Security Framework (JCSF) победил в номинации «Открытые горизонты: Open Source в безопасности ПО»
🦴Фреймворк оценки зрелости процессов безопасной разработки DevSecOps Assessment Framework (DAF) получил знак качества Ассоциации ФинТех.

Мы очень рады, что наш вклад в open source оценили столь уважаемые эксперты в области DevSecOps! Это очень вдохновляет нас и, надеемся, вас тоже на развитие безопасной разработки и DevSecOps в наших компаниях и во всем мире. Make DevSecOps great again!