MicroBurst: A PowerShell Toolkit for Attacking Azure
Репозиторий с набором powershell скриптов для анализа и эксплуатации уязвимостей в Azure. Репозиторий также содержит ссылки на статьи и презентации посвещённые анализу защишености инфраструктуры Azure.
Ссылка на репозиторий: https://github.com/NetSPI/MicroBurst
Сценарий пост-эксплуатации в Azure от ребят из NETSPI (с применением MicroBurst).
Оригинальная статья со всеми деталями: https://blog.netspi.com/attacking-azure-cloud-shell/
За материал спасибо @cloud_sec
#azure #tools #ops #attack
Репозиторий с набором powershell скриптов для анализа и эксплуатации уязвимостей в Azure. Репозиторий также содержит ссылки на статьи и презентации посвещённые анализу защишености инфраструктуры Azure.
Ссылка на репозиторий: https://github.com/NetSPI/MicroBurst
Сценарий пост-эксплуатации в Azure от ребят из NETSPI (с применением MicroBurst).
Оригинальная статья со всеми деталями: https://blog.netspi.com/attacking-azure-cloud-shell/
За материал спасибо @cloud_sec
#azure #tools #ops #attack
GitHub
GitHub - NetSPI/MicroBurst: A collection of scripts for assessing Microsoft Azure security
A collection of scripts for assessing Microsoft Azure security - NetSPI/MicroBurst
Cloud WAF Comparison Using Real-World Attacks
https://medium.com/fraktal/cloud-waf-comparison-using-real-world-attacks-acb21d37805e
#waf #aws #azure #ops
https://medium.com/fraktal/cloud-waf-comparison-using-real-world-attacks-acb21d37805e
#waf #aws #azure #ops
Azure Security Benchmark
Недавно был анонсирован Azure Security Benchmark v1 (ASB), содержащий более 90 рекоммендаций безоопасности, основанных на отраслевых стандартах и передовых практиках, таких как CIS. ASB интегрирован с Azure Security Center, что позволяет отслеживать, составлять отчеты и оценивать соответствие с эталонным тестом с помощью панели мониторинга Security Center.
#azure #ops
Недавно был анонсирован Azure Security Benchmark v1 (ASB), содержащий более 90 рекоммендаций безоопасности, основанных на отраслевых стандартах и передовых практиках, таких как CIS. ASB интегрирован с Azure Security Center, что позволяет отслеживать, составлять отчеты и оценивать соответствие с эталонным тестом с помощью панели мониторинга Security Center.
#azure #ops
ScoutSuite 5.8.0
Scout Suite - это инструмент аудита безопасности с открытым исходным кодом, который позволяет оценить состояние безопасности облачных сред (AWS, Azure, GCP, OCI). Используя API, предоставляемые облачными провайдерами, Scout Suite собирает данные о конфигурации и выделяет риски безопасности.
Cloud Security Suite - Installation and initiation of an AWS audit
Cloud Security - Implementing NCC ScoutSuite on my Azure Account
Относительно недавно вышла новая версия 5.8.0, поддерживающая KMS, Secrets Manager в AWS, App Service Web Apps, Security Center Compliance Results в Azure. Обещают, что сканирование в GCP должно выполняться быстрее.
#news #aws #azure #tools #gcp #ops
Scout Suite - это инструмент аудита безопасности с открытым исходным кодом, который позволяет оценить состояние безопасности облачных сред (AWS, Azure, GCP, OCI). Используя API, предоставляемые облачными провайдерами, Scout Suite собирает данные о конфигурации и выделяет риски безопасности.
Cloud Security Suite - Installation and initiation of an AWS audit
Cloud Security - Implementing NCC ScoutSuite on my Azure Account
Относительно недавно вышла новая версия 5.8.0, поддерживающая KMS, Secrets Manager в AWS, App Service Web Apps, Security Center Compliance Results в Azure. Обещают, что сканирование в GCP должно выполняться быстрее.
#news #aws #azure #tools #gcp #ops
Terraform Foundational Policies Library
HashiCorp объявила, что выпускает библиотеку на базе правил Santinel для Terraform Cloud and Enterprise из более чем 40 элементов управления, основанных на CIS Benchmarks, для защиты облачных сервисов, включая сети, базы данных, хранилища и вычислительные сервисы.
#terraform #aws #azure #gcp #ops
HashiCorp объявила, что выпускает библиотеку на базе правил Santinel для Terraform Cloud and Enterprise из более чем 40 элементов управления, основанных на CIS Benchmarks, для защиты облачных сервисов, включая сети, базы данных, хранилища и вычислительные сервисы.
#terraform #aws #azure #gcp #ops
Cloud Pentesting Cheatsheet.pdf
151.8 KB
Cloud Pentest Cheatsheets
Полезное репо для тестирования публичных облаков (AWS, Amazon, GCP) на проникновение. Помимо команд, приведенных для проверки безопасности облака, в репо можно найти перечень инструментов (pacu, weirdaal для AWS, MicroBurst, PowerZure для Azure и другие), а также парочку стендов для практики (Cloudgoat, SadCloud,...)
Полезно будет не только для red team. Прикладываю в формате pdf.
#aws #azure #gcp #tools #ops #attack
Полезное репо для тестирования публичных облаков (AWS, Amazon, GCP) на проникновение. Помимо команд, приведенных для проверки безопасности облака, в репо можно найти перечень инструментов (pacu, weirdaal для AWS, MicroBurst, PowerZure для Azure и другие), а также парочку стендов для практики (Cloudgoat, SadCloud,...)
Полезно будет не только для red team. Прикладываю в формате pdf.
#aws #azure #gcp #tools #ops #attack
What Modern CI/CD Should Look Like
В середине июня John Kinsella написал статью "Insecure by Default: Kubernetes CICD Reference Diagrams". В ней он расписал несколько пунктов, касающихся проверки безопасности, которых нет на картинках в гугле по запросу "kuberntes cicd". Отдельный кирпич был брошен в облачных провайдеров, которые не упоминают о безопасности, в том время как клиенты обращаются к их статьям за рекомендациями. Получив огромное количество запросов "ну тогда покажи как надо", John выпустил статью "What Modern CI/CD Should Look Like", в которой постарался изложить свое видение безопасного пайплайна для AWS, Azure и GCP ( John, кстати, вице-президент по Container Security в Qualys и выступает на конференциях Infosec World)
#aws #azure #gcp #k8s #dev #ops
В середине июня John Kinsella написал статью "Insecure by Default: Kubernetes CICD Reference Diagrams". В ней он расписал несколько пунктов, касающихся проверки безопасности, которых нет на картинках в гугле по запросу "kuberntes cicd". Отдельный кирпич был брошен в облачных провайдеров, которые не упоминают о безопасности, в том время как клиенты обращаются к их статьям за рекомендациями. Получив огромное количество запросов "ну тогда покажи как надо", John выпустил статью "What Modern CI/CD Should Look Like", в которой постарался изложить свое видение безопасного пайплайна для AWS, Azure и GCP ( John, кстати, вице-президент по Container Security в Qualys и выступает на конференциях Infosec World)
#aws #azure #gcp #k8s #dev #ops
Introducing the State of Open Source Terraform Security Report 2020
Bridgecrew просканировали 2,6 тыс. модулей в Terraform Registry с помощью своего open-source инструмента Checkhov, который в настоящее время содержит 300 проверок соответствия и безопасности в AWS, Azure и Google Cloud.
Получилось примерно следующее:
- Каждый второй модуль имеет ошибки конфигурации
- Во втором квартале 2020 года наблюдался самый высокий показатель соотношения неправильно настроенных модулей
- 8 из 10 самых популярных модулей настроены неправильно
- Наиболее распространенные неправильные настройки относятся к категориям «Резервное копирование и восстановление», «Ведение журнала» и «Шифрование».
Сам отчет можно посмотреть здесь.
Chechov - open-source инструмент для статического анализа IaC от Terraform, Cloudformation, Kubernetes, Serverless или ARM Templates.
#report #terraform #aws #azure #gcp #dev #ops
Bridgecrew просканировали 2,6 тыс. модулей в Terraform Registry с помощью своего open-source инструмента Checkhov, который в настоящее время содержит 300 проверок соответствия и безопасности в AWS, Azure и Google Cloud.
Получилось примерно следующее:
- Каждый второй модуль имеет ошибки конфигурации
- Во втором квартале 2020 года наблюдался самый высокий показатель соотношения неправильно настроенных модулей
- 8 из 10 самых популярных модулей настроены неправильно
- Наиболее распространенные неправильные настройки относятся к категориям «Резервное копирование и восстановление», «Ведение журнала» и «Шифрование».
Сам отчет можно посмотреть здесь.
Chechov - open-source инструмент для статического анализа IaC от Terraform, Cloudformation, Kubernetes, Serverless или ARM Templates.
#report #terraform #aws #azure #gcp #dev #ops
Forwarded from CloudSec Wine
Cyber_Security_on_Azure_An_IT_Professional’s_Guide_to_Microsoft.pdf
12.1 MB
🔹Cyber Security on Azure
Cyber Security on Azure explains how this 'security as a service' (SECaaS) business solution can help you better manage security risk and enable data security control using encryption options such as Advanced Encryption Standard (AES) cryptography. Discover best practices to support network security groups, web application firewalls, and database auditing for threat protection. Configure custom security notifications of potential cyberattack vectors to prevent unauthorized access by hackers, hacktivists, and industrial spies.
#azure #literature
Cyber Security on Azure explains how this 'security as a service' (SECaaS) business solution can help you better manage security risk and enable data security control using encryption options such as Advanced Encryption Standard (AES) cryptography. Discover best practices to support network security groups, web application firewalls, and database auditing for threat protection. Configure custom security notifications of potential cyberattack vectors to prevent unauthorized access by hackers, hacktivists, and industrial spies.
#azure #literature
CloudSecDocs
Один из крутых инженеров Marco Lancini, за активностью которого слежу, релизнул cloudsecdocs.com. Это большая Интернет-энциклопедия по безопасности облаков.
Вот что уже можно почитать:
- Secure SDLC: сканеры, работа с секретами, compliance as code, лабы, моделирование угроз, метрики, логирование
- Docker и Kubernetes, что это, какие компоненты, как деплоить и работать с этим
- Моделирование угроз для Docker и Kubernetes
- Опиcание RBAC
- Описание важных компонентов с точки зрения безопасности k8s
- Атаки и пентест на контейнеры
- Компоненты AWS и Azure, а также их защита
- Угрозы и методология тестирования облаков
#aws #gcp #azure #dev #ops #k8s #docker #attack
Один из крутых инженеров Marco Lancini, за активностью которого слежу, релизнул cloudsecdocs.com. Это большая Интернет-энциклопедия по безопасности облаков.
Вот что уже можно почитать:
- Secure SDLC: сканеры, работа с секретами, compliance as code, лабы, моделирование угроз, метрики, логирование
- Docker и Kubernetes, что это, какие компоненты, как деплоить и работать с этим
- Моделирование угроз для Docker и Kubernetes
- Опиcание RBAC
- Описание важных компонентов с точки зрения безопасности k8s
- Атаки и пентест на контейнеры
- Компоненты AWS и Azure, а также их защита
- Угрозы и методология тестирования облаков
#aws #gcp #azure #dev #ops #k8s #docker #attack
Cloud Security Newsletter #1
Когда я ищу новый материал для канала, то часто сталкиваюсь со статьями и докладами, которые относятся к облачной безопасности. Как правило весь материал я отправляю сюда.
В этот раз я решил оформить это в виде подборки единым постом.
Cloud Controls Matrix (CCM) v4 - вышла новая версия матрицы безопасности облаков. Данный фреймворк объединяет требования ISO, NIST, PCI DSS и других нормативных документов, применяемых к облакам в едином файле.
Publishing Checkov Terraform Quality Checks to Azure DevOps Pipelines. - Встраивание Checkov для проверки Terraform в Azure Pipelines шаг за шагом.
How We Escaped Docker in Azure Functions. История про побег из Docker контейнера за счет уязвимости в Azure Functions.
Redefining Security in 2021. О том, что из себя представляют сервисы безопасности в Alibaba Cloud.
Cloud Security Table Top Exercises. Набор из возможных сценариев атак в AWS, которые стоит взять во внимание при аудитах.
New whitepaper: Designing and deploying a data security strategy with Google Cloud. Новый whitepaper от команды GCP по выстраиванию безопасности данных, покрывающий разделы Identity, Boundary, Access и Visibility.
#aws #gcp #azure #ops #dev
Когда я ищу новый материал для канала, то часто сталкиваюсь со статьями и докладами, которые относятся к облачной безопасности. Как правило весь материал я отправляю сюда.
В этот раз я решил оформить это в виде подборки единым постом.
Cloud Controls Matrix (CCM) v4 - вышла новая версия матрицы безопасности облаков. Данный фреймворк объединяет требования ISO, NIST, PCI DSS и других нормативных документов, применяемых к облакам в едином файле.
Publishing Checkov Terraform Quality Checks to Azure DevOps Pipelines. - Встраивание Checkov для проверки Terraform в Azure Pipelines шаг за шагом.
How We Escaped Docker in Azure Functions. История про побег из Docker контейнера за счет уязвимости в Azure Functions.
Redefining Security in 2021. О том, что из себя представляют сервисы безопасности в Alibaba Cloud.
Cloud Security Table Top Exercises. Набор из возможных сценариев атак в AWS, которые стоит взять во внимание при аудитах.
New whitepaper: Designing and deploying a data security strategy with Google Cloud. Новый whitepaper от команды GCP по выстраиванию безопасности данных, покрывающий разделы Identity, Boundary, Access и Visibility.
#aws #gcp #azure #ops #dev
Telegram
CloudSec Wine
All about cloud security
Contacts:
@AMark0f
@dvyakimov
About DevSecOps:
@sec_devops
Contacts:
@AMark0f
@dvyakimov
About DevSecOps:
@sec_devops
Cigna/confectionery
Confectionery - набор правил Conftest для поиска мисконфигураций Terraform (AWS, Azure). Хочу отметить удобное разделение правила по доменам, например, EKS, EC2, KMS и так далее.
Кстати, внимательные читатели заметили, что в последнем сравнении инструментов сканирования Terraform, которое я публиковал, вышла новая версия, из-за чего сильно изменился баланс сил :) Там, кстати, нет Conftest, так как инструмент не предполагает встроенный набор правил.
#terraform #aws #azure #dev #ops
Confectionery - набор правил Conftest для поиска мисконфигураций Terraform (AWS, Azure). Хочу отметить удобное разделение правила по доменам, например, EKS, EC2, KMS и так далее.
Кстати, внимательные читатели заметили, что в последнем сравнении инструментов сканирования Terraform, которое я публиковал, вышла новая версия, из-за чего сильно изменился баланс сил :) Там, кстати, нет Conftest, так как инструмент не предполагает встроенный набор правил.
#terraform #aws #azure #dev #ops
GitHub
GitHub - Cigna/confectionery: A library of rules for Conftest used to detect misconfigurations within Terraform configuration files
A library of rules for Conftest used to detect misconfigurations within Terraform configuration files - Cigna/confectionery
Forwarded from CloudSec Wine (Артем Марков)
🔶🔷🔴 Mapping of On-Premises Security Controls Versus Services Offered by Major Cloud Providers
By the link below you can find the fifth version of a diagram that started in March 2017, with just AWS and Azure versus On-Premises. The diagram began as an effort to make a translation between the typical on-premises security controls that everybody, more or less, knows what they do and the various services advertised by major public cloud providers. As the cloud providers tend to assign catchy names to products that quite often transcend the initial functionality of the on-prem control, it becomes harder and harder to stay up-to-date on what service does what.
https://www.managedsentinel.com/mapping-of-on-premises-security-controls-versus-services-offered-by-major-cloud-providers/
#aws #azure #gcp
By the link below you can find the fifth version of a diagram that started in March 2017, with just AWS and Azure versus On-Premises. The diagram began as an effort to make a translation between the typical on-premises security controls that everybody, more or less, knows what they do and the various services advertised by major public cloud providers. As the cloud providers tend to assign catchy names to products that quite often transcend the initial functionality of the on-prem control, it becomes harder and harder to stay up-to-date on what service does what.
https://www.managedsentinel.com/mapping-of-on-premises-security-controls-versus-services-offered-by-major-cloud-providers/
#aws #azure #gcp