Makrushin

За сценой SafeCode: как Программный Комитет делает разработку безопаснее

Безопасность приложений — обязательное требование для любой компании, если она создает качественный продукт. На конференции SafeCode разработчики делятся лайфхаками по безопасной разработке.

В этом году я присоединился к Программному Комитету SafeCode, чтобы вместе с крутой командой сделать программу еще полезнее для всех, кто хочет быть в теме.

В главной студии я расскажу, как прошел мой первый сезон в команде. Разберем, как мы собираем программу: на что обращаем внимание, когда рассматриваем заявки, и что нужно знать тем, кто хочет выступить. Это отличный шанс разобраться, как попасть в ряды спикеров и чем можно удивить на конференции.

Выбор инструментов для безопасной разработки: важность контекста и интеграции

Когда разработчик попадает в большой корпоративный конвейер, в котором на каждом этапе разработки развернут security-гейт, то от обилия всевозможных утилит и проверок у него может закружиться голова.

SCA, SAST, DAST, IAST, MAST, WAF - эти аббревиатуры уже стали привычными. CSPM, KSPM, ASOC, ASPM, ASPE, CNAPP, DSPM, CWP, RASP, SSPM, CVM, ASM, AST - вот тут уже может поплыть даже начинающий инженер ИБ.

Понимание актуальных инструментов и продуктов пригодится не только для обеспечения безопасности процесса разработки, но и для того чтобы регулярно сверяться с картой и отвечать на вопрос: нужны ли нам новые решения или старые инструменты еще справляются? Каждый отвечает на этот вопрос сам, а я помогаю выделить основные тренды в безопасной разработке:

1. Контекст важнее всего.

Security-инструменты отличаются своим “шумом”: они создают слишком много предупреждений и инсайдов. Новые продукты делают упор на контекст, в котором обнаружилась проблема. При ограниченном ресурсе, это помогает выставить приоритет.

2. ASPM и ИИ - два ключевых “агента изменений” в разработке.

Application Security Posture Management (ASPM) - продукт, который помогает управлять безопасностью приложений на всех этапах разработки, и который пока еще не стал стандартом в SDL. Про потенциал ИИ уже рассказывал.

3. Курс на консолидацию.

Зрелая команда разработки использует примерно 15 инструментов безопасности. Каждый инструмент решает свою задачу и возможно, делает ее хорошо. Но эффективно управлять этим оркестром можно только, если есть “панель управления для дирижера”.

Вернемся к вопросу: нужны ли нам новые решения или старые инструменты еще справляются?

“Атаки на разработчиков” в Ярославле

Что security-исследователю делать на конференции, посвященной разработке и AI? 🤔

Пугать разработчиков

Делиться опытом в исследовании уязвимостей в цикле разработки и рассказывать о примерах атак, которые может упростить ИИ. А в конце этих историй поговорить о сценариях применения LLM для задач обеспечения безопасности в SDL. Кстати, Уставший техдир рекомендует, потому что уже слышал эти истории в своем пока еще неопубликованном подскате.

Поехали на Yappi Days - познакомимся и сделаем новую задачу для OSINT. Промокод для друзей и коллег: MAKRUSHIN30

Еще больше способов оценить наступательные способности ИИ

Сразу два новых бенчамарка стали доступны для анализа возможностей ИИ в поиске уязвимостей и тестировании на проникновение:

* Cybench - набор из 40 заданий Capture the Flag (CTF), которые содержат подзадачи для более точной оценки способностей языковых модели. Задания разбиты на категории, знакомые CTF-игрокам.

* XBOW Validation Benchmarks. Компания XBOW специализируется на разработке средств автономной симуляции атак. Ее набор состоит из 104 бенчмарков, каждый из которых содержит множество уязвимостей и множество вариантов их обнаружения.

Жду появления в классических CTF-соревнованиях команды, состоящей из LLM-агента и его оператора.

Как заметили в комментариях к посту про OSINT в Сетке, я не просто так шел по средней дамбе в Перми. Я направлялся на мероприятие «Инфофорум», чтобы в неформальной обстановке обсудить ключевые приоритеты в информационной безопасности.

Уверен, в каждом регионе появится свой центр экспертизы в кибербезопасности, который будет учитывать специфику угроз для предприятий региона. Что-то вроде локальной команды реагирования на инциденты CERT. А подобные мероприятия - это региональная точка притяжения экспертов и технологических инноваций.

Опечатки в GitHub Actions запускают вредоносные действия

Про атаки typosquatting в зависимостях при разработке ПО я уже рассказывал, когда проводил исследование вредоносных компонентов, которые ждут, когда разработчик подключит вредоносный код в свой проект. Оказалось, что эта техника атак может применяться и для подключения вредоносных GitHub Actions.

GitHub Actions - это сервис, который позволяет автоматизировать процессы сборки, тестирования, развертывания своего приложения и множество других рутинных действий. Многообразие рутинных задач можно автоматизировать, а подходящие автоматизации можно найти в Маркетплейсе. Только есть проблема: кто угодно может создать произвольный Action и опубликовать его под произвольным именем.

Что если, кто-то создаст организацию «trufllesecurity», затем создаст Action «trufllesecurity/trufflehog» и разместит в нем код, который собирает все секреты из CI/CD? Когда разработчик вместо «uses: trufflesecurity/trufflehog» допустит опечатку и напишет «uses: trufllesecurity/trufflehog» - в его пайплайне запустится вредоносное действие.

Пока злоумышленники собирают с миру по нитке, следуем рекомендациям, чтобы не оказаться в этом клубке:
* перепроверяем названия всех используемых GitHub Actions;
* явно прописываем конкретные версии Actions;
* рассказываем своим коллегам-разработчикам о проблеме.

Коллекция уязвимостей в инструментах наступательной безопасности

Кто атакует атакующего? Тот, кто охотится за доступами к зараженной инфраструктуре. Или тот, кто пытается обнаружить злодея. Поэтому идея “hacking back”, старая как мир, по-прежнему актуальна.

Уязвимости в инструментах Red Team, а точнее - в средствах администрирования зараженной инфраструктуры, открывают новые возможности для конкурирующих между собой злодеев.

Нашел коллекцию, в которой для каждой уязвимости есть детальное описание. Это поможет экспертам по наступательной безопасности задуматься и о своей защите. И спросить себя: а не пора ли повысить уровень паранойи от минимума к оптимуму?

⭐️Добавляем коллекцию в закладки.

Провинциальный OSINT: где я?

Продолжаем отрабатывать навыки определения места по фото.

⭐️ На этот раз задача со звездочкой: определить город, где сделано это фото, и мероприятие по информационной безопасности, которое меня сюда привело.

Фото сделал специально без явных теней. Если среди нас не окажется местных жителей, то в комментариях добавлю больше локаций.

О чем может рассказать тень на фото?

Ответ: о твоем местоположении.

Полезный инструмент в коллекции OSINT-исследователя. Позволяет определить примерные координаты места, где была сделана фотография. Утилита использует параметры высоты объекта, длины его тени, дату и время, и затем проводит оценку мест, где могла появиться тень с такими параметрами.

Те, кто не хочет раскрывать свое местоположение - начинают блюрить тени на фотках. И перестают их постить.

И еще 10 золотых километров🥇

Отравление пайплайна разработки

Мы уже изучали, как злоумышленник может навредить разработчику и заразить зависимости в цепочке поставок. А вот сам CI/CD-пайплайн - дирижёр конвейера разработки - мы ещё не рассматривали. При этом GitLab и GitHub всё чаще закрывают уязвимости в своих продуктах, что говорит о внимании злодеев к ключевым технологиям в инфраструктуре.

OWASP давно опубликовал документ CICD Top 10 Risks. Значительная часть рекомендаций по защите отдана на сторону разработчика и владельца репозитория: не доверяй pull request от сторонних контрибьюторов, аккуратнее прописывай правила автоматического слияния веток кода, не запускай сборку недоверенных обновлений кода рядом со сборками основной ветки и так далее. Однако злодей активно использует уязвимости в самих CI/CD-платформах для внедрения имплантов, поэтому одних рекомендаций, требующих внимания разработчика - недостаточно.

Можно изучить подборку актуальных методов эксплуатации GitHub Actions, чтобы понять типичный сценарий атаки на CI-окружение (который также был замечен в дикой природе):

1. Атакующий изменяет конфигурационный файл CI в репозитории, к которому у него есть доступ, и внедряет в этот файл команду «отдай мне переменные окружения с ценными данными».

2. Затем заносит изменения непосредственно в основную ветку репозитория или отправляет pull request с изменениями из ветки или форка.

3. Если у атакующего нет возможности вносить изменения напрямую в файл конфигурации CI, то он может внедрить вредоносный код в файлы, на которые ссылается CI-конфиг.

4. Далее атакующий отправляет pull request, который заставляет CI-платформу запустить процесс сборки на основе вредоносного конфига.

5. Так как процесс сборки практически всегда обращается к чувствительным данным и привилегированным учётным записям, то в итоге атакующий выполняет команду «отдай мне переменные окружения» на хосте, где выполняется сборка.

🤔 Как защищаемся?

GitHub-звезды могут обмануть разработчика

Как мы обычно оцениваем репутацию какого-нибудь GitHub-репозитория? Чаще всего на основе количества звезд и активности в этом репозитории. Для кого-то из разработчиков число звезд напрямую определяет степень доверия к этому репозиторию.

В связи с этим растет количество фейковых звезд на GitHub: их уже насчитывается более 3,7 миллионов. Эти звезды создают ложное впечатление популярности проектов, которые на самом деле скрывают вредоносное ПО или какой-либо мошеннический контент. Злодеи используют их для обмана разработчиков, маскируя опасные репозитории под успешные проекты.

Чтобы защитить себя от этого вида мошенничества анализируем всю активность в проекте. Например, изучаем обсуждения в репозитории и репутацию авторов.

Моделируем угрозы по-быстрому: STRIDE

Бывают ситуации, когда необходимо быстро подготовить модель угроз. Например, внезапно команда разработки решила самостоятельно провести Security Design Review для новой фичи. Или только что образованной команде безопасности продукта потребовалось определить приоритеты в анализе защищенности. А еще бывает так, что в стартапе, где все занимаются всем, потребовалось выстроить процесс безопасной разработки, и нужно с чего-то начать.

Рецепт быстрой подготовки модели угроз:

1. берем методологию STRIDE;
2. садимся вместе со всеми причастными командами и совместно заполняем шаблон;
3. получаем таблицу угроз и действий для их устранения;
4. опционально: к обнаруженным угрозам добавляем оценку рисков по модели DREAD;
5. опционально: автоматизируем процесс с помощью инструмента STRIDE GPT.

Августовский #дайджест: топ постов

* Как оценить возможности ИИ в обнаружении уязвимостей?

* Побег из контейнера: обзор техник

* Платформа разработки: гайдлайны

* Доступ к данным из удаленных и приватных репозиториев GitHub

* ИИ ассистент для security-аналитика

* Подборка исследований с Black Hat 2024

* Запуск security-проекта: шаблоны и чеклисты для быстрого старта

@makrushin

Запуск security-проекта: шаблоны и чеклисты для быстрого старта

Встретил полезный ресурс с шаблонами для запуска security-проектов. Программа багбаунти, тестирование на проникновение, процедуры реагирования на инциденты и управления уязвимостями - документы пригодятся новой команде безопасности, владельцу продукта или начинающему CISO в каком-нибудь стартапе.

В репозитории содержатся:

* чеклисты для подготовки к запуску;
* описание процессов и плейбуки;
* примеры метрик и шаблоны документов.

Вместе с командой ИУ10 МГТУ им. Баумана мы накатили обновление в образовательную программу кафедры «Защита информации» и подготовили проект, который добавит разработчику новые суперспособности.

Перевернем календарь и запустим трансформацию ⚡️

Подборка исследований с Black Hat 2024

В августе прошли крупнейшие ИБ-мероприятия, и уже можно встретить обзоры наиболее «громких» исследований с точки зрения медиа.

Возьмем доклады Black Hat, изучим материалы и самостоятельно выделим перспективные направления. Моя подборка:

* “From Weapon to Target: Quantum Computers Paradox” - исследование вопросов безопасности квантовых компьютеров и процесса квантовых вычислений. Несмотря на активное обсуждение влияния квантовых вычислений на классическую криптографию, вопросы безопасности самих квантовых систем остаются малоизученными. Авторы анализируют уязвимости и возможные векторы атак на квантовые вычислительные инфраструктуры, включая программное обеспечение и облачные сервисы. Примеры выявленных проблем: кража токенов аутентификации, изменение квантовых цепочек программ в SDK, а также атаки на квантовые процессоры.

* “SnailLoad: Anyone on the Internet Can Learn What You're Doing” - интересная техника составления профиля пользователя без каких-либо вспомогательных инструментов посередине (без агентов на его рабочей станции или прокси-серверов в его сети). Канал утечки данных находится в задержках сети, которые появляются, когда пользователь взаимодействует с онлайн-контентом. Анализируя эти задержки, злоумышленник может точно определить действия пользователя, что может привести к раскрытию конфиденциальной информации и деанонимизации. Эта техника подчеркивает уязвимость даже защищенных сессий браузера перед сложными атаками на основе временных характеристик (timing-атаки).

* “Listen to the Whispers: Web Timing Attacks that Actually Work” - и еще одно исследование timing-атак, но уже в контексте безопасности веб-приложений. Приведены примеры ситуаций, когда атакуемая система раскрывает конфиденциальные данные из-за разных временных задержек при обработке запросов. Техника пригодится для обнаружения скрытой поверхности атаки и определения некорректных настроек прокси-серверов.

* “Deep Backdoors in Deep Reinforcement Learning Agents” - техника интеграции «вредоносных нейронов» в нейронную сеть. В исследовании описаны сценарии компрометации ИИ-агентов на этапе их обучения и последствия неправильных решений, которые эти агенты могут принимать в промышленности, автономном транспорте и кибербезопасности.

⭐️ Подборка исследований Black Hat 2023.

#дайджест @makrushin

ИИ ассистент для security-аналитика

Продолжаем собирать и применять сценарии использования ИИ для задач безопасности. Новый кейс использования для разработки правил выявления угроз:

* Аналитик загружает в LLM техники атак, описанные в формате блогпоста или отчета об угрозе.
* В запросе к LLM аналитик указывает синтаксис, в котором должно быть описано правило детекта.
* Модель генерирует правила детекта. Некоторые правила могут иметь неправильный синтаксис или быть результатом галлюцинации. Аналитик выявляет некорректные правила и корректирует свой запрос (промпт).

Самый ресурсоемкий для аналитика этап - это составление точного промпта. Поэтому важно отработать навык prompt engineering.

Так как написание правил - это процесс, который зачастую происходит в свободное от обработки инцидентов время, то данный сценарий залетает в бэклог к лидеру Security Operations.

Ага, примерно так security-инженер видит новую команду Платформы