Как живет ИБ в индустрии финтеха после санкций, ухода всех зарубежных вендоров и средств защиты? Мы не стали предполагать, а просто спросили CISO крупных банков и финтех компаний — Денис Якимова из Альфа Банк, Виктора Булкина из РСХБ-Интех, Дмитрия Стурова из Ренессанс Кредит, Руслана Ложкина из Абсолют Банк и других.

Из материала вы узнаете:

— Какие новые угрозы и новые векторы атак появились в кризис. Как борются с этим банки;
— Что делать с прекращением поддержки ПО и средств защиты;
— Какие изменения случились в работе кибербезопасников в связи с кризисом.

Инджой — https://ib-bank.ru/bisjournal/blog/41

Резюме первого эфира с Денисом — с чего начать стартапам и компаниям, которых хотят выстроить процесс безопасной разработки

Вот несколько тезисов:

— Начать стоит с консалтинга, с поиска внешних экспертов, которые смогут оценить текущий уровень зрелости и построить дорожную карту по развитию процессов ИБ.
— Современный разработчик способен писать безопасный код, нужно лишь рассказать о возможных уязвимостях и инструментах, которые могут помочь в написании этого самого безопасного кода.
— Если еще не использовали сканеры кода, зависимостей, IaC, возможно стоит начать сперва с opensource.
— Не забывайте делать поиск секретов в коде, важно искать чувствительные данные не только в текущем коммите, но и по всей истории.
— Если у вас зрелая компания и встроены Security пайплайны, можно посмотреть в сторону фаззинга. Такой подход может помочь обнаружить ошибки в самых неожиданных местах.

Инструменты, которые были упомянуты (+ немного добавил от себя):

SAST:

- SonarQube
- Semgrep (более 20 языков)
- Gosec (Go)
- Bandit (Python)
- Security Code Scan (.NET)
- C++ (Flawfinder)
- JS (Eslint + security plugins)

SCA:

- Dependency track
- Dependency check
- Snyk

Container security:

- Trivy

Поиск секретов

- git-secrets
- Gitleaks
- TruffleHog

DAST:

- OWASP ZAP
- Nuclei
- Arachni

Как обещали продолжаем говорить о безопасной разработке в эфирах!

В следующий четверг, 11 августа в 18:00 зовем гостем Юрия Шабалина — ведущего архитектора Swordfish Security, автора канала @mobile_appsec_world и DevSecOps-евангелиста. А компанию составит специалист по безопасной разработке Awillix, эксперт в области внедрения и управления DevSecOps в организациях— Анастасия Худоярова.

Обсудим поиск секретов в коде, поиск уязвимостей и небезопасных конструкций.

До связи :)

Информационный партнер — https://t.iss.one/secmedia

25 августа в 16:00 выступаю в AppSec.Zone на Оffzone

Расскажу про SAST Semgrep и его интеграции в CI/CD. Разберем основы написания собственных правил сканирования.

Semgrep стремительно развивается и поддерживает уже более 25 языков программирования, позволяет сканировать код с data flow, IaC, выявлять секреты и недостатки конфигурации.

Приходите послушать и увидеться :)

#OFFZONE_2022
⠀
Несколько лет назад на OFFZONE я был модератором-сотрудником Bi.Zone, а вчера выступал на сцене AppSec и отвечал на вопросы из зала :)
⠀
Неизменным остается только высокий уровень организации конференции 🖤

Регулярный анализ защищенности помогает поддерживать безопасность. Но веб-, мобильные приложения и другие ИТ-продукты компаний не стоят на месте, они развиваются с учетом потребностей бизнеса, появляются новые функции, а значит и новые уязвимости. Уровень защищенности снова скатывается к низкому.

Чтобы исключить слепую зону между проверками существуют продукты, которые помогают поддерживать постоянно высокий уровень защищенности ИТ-инфраструктуры компании. Они автоматизируют действия специалистов и снижают затраты на безопасность.

О технических характеристиках, функциональных особенностях, достоинствах и недостатках таких продуктов, в том числе и нашего СVM, мы написали целый обзор на портале Cyber Media.

Видели, как вчера атаковали «Яндекс.Такси»?
Прокомментировал инцидент газете «Известия».
А вы, что думаете о причинах возникновения сбоя? Верите, что это конкурентная атака Wheely?

Часто администраторы совершают ошибки конфигурации Cloudflare, например, допускают обращение к веб-сервису напрямую по IP-адресу. Таким образом, злоумышленник может посмотреть историю изменения DNS-записей и найти реальный IP-адрес, находящийся за CF и отправлять запросы напрямую. Если это не дает результатов, есть и другие техники определения реального адреса, например: собираем поддомены и определяем их IP-адреса, возможно какой-то из сервисов находится не за CF и расположен на одном адресе с сервисом за CF.

Немного ссылок:

Bypassing Cloudflare WAF with the origin server IP address
Allow Cloudflare IP addresses

Привет всем секьюрити чемпионам!

Познакомились на конференции с Артемом Кадушко и теперь вместе выйдем в третий эфир про безопасность приложений.
📌В среду 14 сентября в 18:00.

Артем — Application Security Engineer, основатель белорусского сообщества по компьютерной безопасности Bulba Hackers. Занимается пентестами и делает разработку безопасной.

Анастасия — специалист по безопасной разработке Awillix, эксперт в области внедрения и управления DevSecOps в организациях.

Поговорим про основные проблемы при внедрении процесса SSDLC, про SCA и DAST-анализаторы, интересные кейсы и разные факапы.

Приходите поболтать, всех ждем :)

Информационный партнер — https://t.iss.one/secmedia

Запись вчерашнего эфира, пожалуйста 🫴
Ставьте лайки, если формат прямых эфиров вам нравится.
Пишите комментарии, какие темы еще нужно обсудить)

Недавно у нас вышла колонка на Daily Moscow. Если хотите разбавить новостной контент чем-то нормальным, то прочитайте о том:
⠀
— Как зарождался этичный хакинг в России;
— Как ИБ-специалисты становятся белыми хакерами;
— Какие атаки существуют и как их имитация помогает бизнесу защититься;
— Проблемы и векторы развития сферы пентестов;
— И наш опыт того, как растить стартап в сфере кибербезопасности, когда тебе никто не доверяет :)
⠀
Ссылка → https://dailymoscow.ru/business-and-finance/biznes-na-vzlomah-kak-vyglyadit-industriya-etichnogo-hakinga-v-rossii

Накопилось много историй про Red Team, и мы решили поделиться кейсами, про то, как проводятся такие проекты, в чем их особенность и кому они вообще нужны.
⠀
Читайте на Хабре — https://habr.com/ru/post/694064/

Познай свой Exchange сервер и OWA

Многие компании используют решение от Microsoft для организации отправки и получения писем, но мало кто знает, какие недостатки и уязвимости могут существовать в Exchange и OWA.

Общеизвестные уязвимости, некоторые из них:

▫️ ProxyLogon: позволяет злоумышленнику обойти аутентификацию и выдать себя за администратора.

▫️ ProxyShell: набор из трех уязвимостей, которые позволяют удаленное выполнение кода без аутентификации.

▫️ ProxyToken: позволяет злоумышленнику получить письма произвольных пользователей.

Многие их них — цепочки из нескольких уязвимостей, например, ProxyShell объединяет в себя CVE-2021-34473, CVE-2021-34523, CVE-2021-31207.

Чтобы проверить, уязвим ли сервер к подобным багам, можно воспользоваться сканерами, например, Nuclei или готовыми скриптами от сообщества.

Некоторые версии имеют недостатки, которые могут помочь в организации бушующих атак.

Известные недостатки:

▫️Перечисление имени пользователя на основе времени (Timing-Based Username Enumeration): атака заключается в том, что OWA отвечает с задержкой, если при аутентификации указана существующая учетная запись, даже если пароль неверный. Таким образом, злоумышленник может определить email-адреса сотрудников для последующих атак.

▫️Password Spraying: атака, при которой фиксируется пароль, а логин перебирается. Применяется, чтобы обойти механизм блокировки учетной записи при неправильно введенном пароле более N-раз за промежуток времени.

Как быть?

→ Держим свое ПО в актуальном состоянии и применяем обновления безопасности.
→ Используем строгую парольную политику и двухфакторную аутентификацию.
→ Если география легитимных пользователей известная, блокируем остальных по Гео-признакам.
→ Использование CAPTCHA (сложно для OWA, но возможно).

Кстати, у кого-то был опыт использования https://www.messageware.com/epg/? Поделитесь своим мнением)

Запись моего доклада с #OFFZONE_2022

Разобрали SAST Semgrep, его интеграции в CI/CD и основы написания собственных правил сканирования.

Semgrep развивается и поддерживает уже более 25 языков программирования, позволяет сканировать код с data flow, IaC, выявлять секреты и недостатки конфигурации.

Инджой!

https://www.youtube.com/watch?v=MRSxQBTREec&list=PL0xCSYnG_iTt3mZRIpqq30bVIGezgAMIv&index=4