Шось давненько я не писав нічого за #SAMM -ом. Чи цікаво це комусь? Хоча яка мені різниця, що вам цікаво, якщо це цікаво мені 😄️️️️️️ тим паче, що я вже дописав пост)

Implementation | Secure Build | Build Process | L3

Третій рівень зрілості безпеки вашого білд процесу за SAMM настає коли ви впровадили обовʼязкові перевірки якості реалізації безпеки в артефакті та ви повністю впевнені, що скіпнути їх неможливо, або хоча б дуже важко (і ви можете довести це математично).  Тобто вам знадобиться якийсь бейслайн, невиконання якого буде валити білд. А от якщо білд зелений - значить і артефакт гарантовано задовольняє мінімальним вимогам безпеки.
 
Бенефіт
Підвищення впевненості, що вам не треба бігати перед релізом і думати, що треба зробити щоб "секʼюріті", чи пентестерів звати, чи хз. Ваш менеджмент буде розуміти, що якщо артефакт є, то значить він комплаєнт до якогось комплаєнсу, який описаний у вас на вікі. Буде менше стресу (правда лише у тих, хто не реалізовував самі перевірки, але це і є мета).
 
Активності
По-перше, нам знадобиться сам бейслайн, тобто мінімальний набір вимог з боку безпеки до конкретного артефакта. Штука дуже індивідуальна, то ж доведеться сидіти і формувати його. А для цього нам знадобиться розуміння профілю безпеки даного модуля (див. Design -> Threat assessment -> App Risk Profile). А для визначення профілю нам знадобиться інвентаризація та класифікація даних, що будуть процеситись модулем. То ж, не нехтуємо нудною роботою, вона важлива, хоч і нудна.
 
По-друге, нам доведеться якось написати автоматизовані перевірки, спираючись на створений бейслайн, а значить нам знадобиться скілл автоматизації.
 
По-третє, всі зауваження, що видали ваші кастомні тести на бейслайн, мають якось менеджитись:
👉 зрозумілі алерти про невідповідність вимогам,
👉 зберігання результатів по кожній перевірці з метаданим білда,
👉 можливість піддати результат аудиту та залишити коментарі і рішення по ним,
👉 мати можливість робити виключення, залишаючи коментарі-поснення кожного виключення.
👉 Бажано, щоб всі ці дії виконувались людьми, яких можна легко ідентифікувати, а не юзером admin.

Власне, все це зазвичай реалізовано в комерційних рішеннях типу SAST/DAST/SCA, і іноді навіть відносно нормально в опенсорсних. DependencyTrack, наприклад, але там є питання стосовно включення його в автоматизований пайплайн.
 
Якщо вам треба щось перевіряти таке, що неможливо автоматизувати, то доведеться перевірку робити організаційними заходами.
В ідеалі, все це можна перекласти на AQA та QA,  але вам доведеться дуже добре з ними потоварищувати. І про це є окремий пункт у розділі Verification.
 
По-четверте, виконуйте підписання коду на іншому, централізованому сервері, який не передає сертифікат туди, де виконується білд.
 
Допоміжне питання до самого себе
А ти точно заенфорсив автоматизовані перевірки у білд процесі?
 
Критерії якості відповіді:
1 Білд падає, якщо аплікуха не відповідає описаним у бейслані вимогам
2 У вас узгоджено максимальну прийнятну северіті для виявлених вразливостей
3 Ви автоматично журналюєте всі ворнінги (алерти) та фейли у централізованій системі
4 Ви переглядаєте тули та конфігурації для оцінки аплікухи на відповідність вимогам безпеки до неї хоча б раз на рік (якщо це має сенс, звісно)

Implementation | Secure Build | Build Process | L1
Implementation | Secure Build | Build Process | L2 

#SAMM

Весь третій рівень дуже схожий на те, про що зазвичай мріють менеджери, архітектори, та ще не вигорівші девопси, фантазуючи про кволіті гейти за допомогою САСТів/ДАСТів. Тепер ми знаємо, що це третій рівень зрілості. А як багато ви бачили тих, хто хочаб другий виконав нормально? Отож десь там, зазвичай, ті фантазії і залишаються. Десь на шляху до беклогу.

ProtonVPN вже роздає 50% знижки на честь Чорної пʼятниці. https://protonvpn.com/ru/blackfriday

Років 5 тому побачив рекомендацію в твітері купити Grammarly на чорну пʼятницю. З тих пір не можу злізти з платної підписки, навіть коли провтикав знижки. https://www.grammarly.com/black-friday Одна з найкращих покупок у житті. А що ви купуєте на чорну пʼятницю (Сталкер 2 не рахується)?

"Моссад. Найвидатніші операції ізраільської розвідки".
ISBN: 978-617-7973-87-3

Книга, яку не соромно порекомендувати.
В першу чергу буде цікава тим, хто небайдужий до алгоритмів роботи спецслужб, бо вся книга - це добірка операцій Моссада. Автори доволі детально описують процес планування операцій: головна мета, можливі сценарії виконання, ризики, таємний звʼязок, план комунікацій, план відходу, план припинення, подальша робота із наслідками або невдачами. Я вважаю корисно для всіх, кому доводиться планувати якісь проєкти або акції.

Історії розказані трохи “однобоко”, але приклади провалених операцій також наведені, що дуже важливо.

Також, я вважаю, книга може бути корисна всім, хто забезпечує безпеку підприємства або фіз. охорону осіб: деякі приклади прям дуже добре показують, що якісне моделювання загроз, планування заходів та їх виконання можуть значно подовжити роки життя обʼєктові захисту.
Більшість історій - це історії ліквідацій осіб на чужій території, або історії організацій витоків даних. За однією такою історією Netflix зняв серіал (хто б сумнівався) The Spy. Трохи додали там драми, але все одно непоганий. І на роль арабів підібрали арабів, що також вражає 🙂

Із мінусів: трохи завелика, аде доволі зручно читати по одній главі, бо вони є незалежними історіями.

Залюбки почитав би щось схоже про ГУР та операції інших Українських спецслужб.

#книжки

Британський оператор стільникового звʼязку викатив ШІ власного виробництва, як контрміру проти телефоних скамерів (колл-центри по нашому). Нажаль статистику ефективності знайти поки не вдалося, але в цілому стратегія справді крута: правильно підготовлена улюблена приманка, та атака у найболючіше - у витрачений час. https://youtu.be/RV_SdCfZ-0s?si=f1RCktHpHCI3R694

🔴 УВАГА! Попередження про фішинг (Армія+)

Шановні колеги,
Центр реагування на кіберінциденти Міністерства Оборони України повідомляє про підготовку фішингових атак, спрямованих на користувачів сервісу Армія+.

Будь ласка, зверніть увагу на наступні важливі моменти:

👉 Армія+ не має Desktop додатку. Якщо ви отримали пропозицію завантажити такий додаток, це шахрайство.
👉 Використовуйте тільки офіційні сайти для завантаження додатків. Переконайтеся, що ви завантажуєте додатки лише з офіційних джерел.
👉 Остерігайтеся підозрілих файлів. Не завантажуйте файли з невідомих джерел. Вони можуть містити шкідливе програмне забезпечення, яке встановлює доступ до вашого комп'ютера і відправляє ваші дані ворогу.
👉 Звертайте увагу на referer headers з вмістом workers[.]dev, які можуть бути:
hXXPs://beta-0-110[.]armyplus-desktop[.]workers[.]dev
hXXPs://beta-0-111[.]armyplus-desktop[.]workers[.]dev
hXXPs://beta-0-1110[.]armyplus-desktop[.]workers[.]dev
hXXPs://beta-0-1111[.]armyplus-desktop[.]workers[.]dev
hXXPs://beta-0-1112[.]armyplus-desktop[.]workers[.]dev
hXXPs://beta-0-1113[.]armyplus-desktop[.]workers[.]dev
hXXPs://beta-0-1114[.]armyplus-desktop[.]workers[.]dev
hXXPs://beta-0-1115[.]armyplus-desktop[.]workers[.]dev
hXXPs://beta-0-1116[.]armyplus-desktop[.]workers[.]dev
hXXPs://beta-0-1117[.]armyplus-desktop[.]workers[.]dev
hXXPs://beta-0-1118[.]armyplus-desktop[.]workers[.]dev
Якщо у вас є підозри щодо безпеки, негайно зверніться до чергового Центру реагування на кіберінциденти МОУ (+380967737370 Signal).

Прохання поширити серед ваших війскових.

А ось і деталей підвезли про підготовку атаки. Якщо коротко: фейковий сайт намагається напарити клієнту ШПЗ https://cert.gov.ua/article/6281701

1. Закон про захист персональних даних викинути у смітник як непрацюючий.
2. Написати новий, за яким заборонити (обмежити) державі зберігати дані.
3. Створити жорстку кримінальну відповідальність за НСД
4. Віддати зберігання даних приватному сектору, жорстко зарегулювавши цю вузьку галузь, передбачивши щедру гарантовану оплату за державний кошт.

Не здатні забезпечити нормальний захист - віддайте тим, хто здатен.

Volkswagen взяла участь у змаганнях з провалів в безпеці та втратила дані приблизно 800к користувачів електрокарів, включаючи персдані та GPS-треки. Тобто тепер у когось є база історії переміщень декількох сот тисяч людей. Сподіваюсь там будуть дані якого-небудь капітана кацапського ракетного судна, повітряного чи водоплавного, не суть.

Причиною називають місконфіг в AWS, що дозволяв публічний доступ до цих даних.

Також хочу додати, що, з мого досвіду, величезна кількість великих ентерпрайзів має борг в CSPM такого розміру, що простіше назвати його "наближається до нескінченності". Звісно, так не всюди, але дуже і дуже багато. Причини цьому у 95% управлінські. Нема нічого космічного у контролі за клаудним середовищем, особливо при наявності нормальної CSPM. Та і не те щоб дуже дорого найняти 2-4 людини під таку програму, за рік буде зовсім інша картина. Але це треба виконувати. Саме з цим проблеми у переважної більшості організацій.

Volkswagen. Das auto.

ШУКАЄМО СТАЖЕРІВ НА КІБЕРБЕЗ

В нас (в ЕПАМ) зараз є можливість взяти 3-4 стажера на кібербезпеку. Напрямки можна обрати: хмарна безпека (AWS, GCP, Azure - щось одне), безпека програмного забезпечення (AppSec), DevSecOps.
 
Тривалість: до трьох місяців (оплачувана)
Що ви будете робити:
1 Дуже багато та інтенсивно навчатися під наглядом ментора (людина з продакшену)
2 При гарних показниках можливо залучення на проєкт під наглядом на реальні задачі
3 Намагатися не зафейлити стажування
По завершенню: якщо ви достойно пройшли 3 місяці стажування, то отримуєте + одну личку до свого рівня та трішки більше до ЗП, заходите на проєкт та працюєте вже без ментора.
Без чого неможна зовсім ніяк: без англійської плюс-мінус нормальної і здатності її розкачати за три місяці самостійно.
На мою думку простіше за все програма зайде людям, хто вже має якийсь суміжний досвід: системне адміністрування, розробка, тестування, щось навколо безпеки, тощо.
Формат: можна віддалено, можна в офісі (Київ, Харків, Одеса, Львів, Івано-Франківськ, Ужгород).

Набір триває до 01.02.2025 включно.
Як податися: резюме ось сюди [email protected]