Павел Пархомец из Wildberries рассказал про то, как они эволюционно развивали самописный сканер распределенной инфраструктуры. В итоге сделали его на SaltStack и описывают как IaC. Речь именно об активном сканере. В качестве движков используются опенсурсные утилиты. Сами пилят детекты на Nuclei. Хостовые сканеры (OVAL) в Wildberries тоже используют, но это другой проект. О нём тоже ждём доклад. 😉
Почему пилили своё, а не взяли коммерческий сканер? Дешевле было своё написать и получилось лучше заточиться под свою конкретную инфру.
Вышло прикольное интервью с Антоном Жаболенко, руководителем команды информационной безопасности и противодействия мошенничеству Wildberries. Что там интересного:
🔸 Путь Антона от реверсера и пентестера к руководителю по ИБ 🔸 Куда сейчас хайрит ИБ Wildberries и какие предъявляются требования: AppSec, InfraSec, SOC, Compliance (методологи) 🔸 Как делать сбалансированную ИБ: "чтобы одновременно было удобно пользователю и максимально неудобно мошеннику" 🔸 Чем подход Wildberries по встраиванию ИБ в системы и операции отличается от классического внедрения наложенных средств защиты 🔸 Как проходит день руководителя по ИБ: "в день может быть до 14 встреч, созвонов и калибровок", нужно "сделать так, чтобы 150 человек бежали в одну сторону, делали это синхронно и при этом добивались нужных результатов" 🔸 Про то, как в Wildberries внедряли программу Bug Bounty
Наверняка старая шутка, но я раньше не слышал. Единственный безопасник в организации как агент 007: 🔸 0 сотрудников, 🔸 0 бюджета на инструменты безопасности, 🔸 7 инцидентов в неделю.
Алексей Федулаев на SafeCode сегодня рассказал. 🙂 Жиза. 😅
Антон Жаболенко (CISO Wildberries) рассказывает про комплексный Continuous Vulnerability Management в сессии "Как устроена безопасность в технологически зрелой компании?" на SafeCode.
Процесс включает в себя:
🔸 различные сканирования уязвимостей (как из Интернета, так и из внутренней сети) 🔸 внутренний RedTeam 🔸 пентесты (внешние подрядчики) 🔸 RedTeam (внешние подрядчики) 🔸 внутренние аудиты 🔸 публичное bug bounty
Это источники, которые генерят поток продетектированных проблем компании, чтобы Defense команда могла итеративно и циклично эти проблемы исправлять.
Такой подход применяется преимущественно в технологически зрелых компаниях, потому что он
🔻 дорогой 🔻 сложный 🔻 тяжело найти экспертов для выстраивания
Но только таким образом можно смотреть комплексно на проблемы, которые есть в компании с точки зрения ИБ.
Если использовать одну команду исследователей (подрядчиков или in-house), у неё неизбежно будет "замыливаться глаз".
Некоторые заметки по итогам митапа Яндекс-а. Зафиксирую, чтобы не забылось. Для тех, кто не смотрел, полное видео уже доступно.
1. Прикольная тема из Яндекс Финтех про "одна команда - один Golden Image":
"У нас большой стек. У нас сервисы пишутся и на Kotlin, и на плюсах, и для разных языков мы используем разные Golden Image-ы. Но стараемся, чтобы внутри команды, которая пишет на одном фреймворке и на одном языке сформировался какой-то единый образ, который будет использоваться внутри этой команды. У нас есть набор этих золотых образов, которые используются конкретными командами. Все контейнеры, которые получаются мы пушим в наш registry. Вопрос сколько их сложный, т.к. у нас микросервисная архитектура и у нас очень много микросервисов."
➡️ Вопрос: Используете ли вы distroless образы в Банке, да и в Яндексе в целом, к примеру Google distroless, чтобы минимизировать поверхность атаки и уменьшить размер самих образов? Ответ: нет, но очень хотим к этому прийти ➡️ Вопрос: Если не секрет, что у вас за базовый образ? Аstra Linux? 😉 Ответ: отвечу, что такой же как и во всем Яндексе )
Вполне возможно это секрет полишинеля на основе какого Linux-дистрибутива базовые образы в Яндексе делают, но я не знаю. Если кто знает - шепните в личку, любопытно. 😉
2. То, что Яндекс Финтеху комфортно в Яндекс Облаке это понятное дело. Но будет ли так же комфортно другим банкам и финтехам?
➡️Вопрос: Возвращаясь к сертификации банка в облаке по стандартам PCI DSS и ГОСТам. Я смогу запустить такой банк в я.облаке и получить содействие при прохождении аудита со стороны Команды облака или это единичный случай для «родственной» компании? Ответ: Можно это получить как отдельную услугу в Облаке. ➡️ Вопрос: прям услуга Облака или рекомендованная внешняя команда? Ответ: В Облаке есть архитекторы и premium support.
3. В Wildberries и Яндекс Финтех для организации привилегированного доступа к Linux-инфраструктуре используют Teleport. Почему именно его? Как минимум половина доклада команды Wildberries была про обоснование этого выбора. Очень подробно и убедительно. Единственное жаль, что тема в основном крутилась про то как безопасно дать доступ до нужных серверов и дать/не дать root-а, но не про хитрое ограничение прав пользователя на хосте. А это у Wildberries есть, т.к. Teleport у них сильно допиленный:
"Команда переписала админку Teleport-а полностью с нуля. Написала свой PAM-модуль, который учитывает роли, которые передаются телепортом при аутентификации и на основе этого настраивает sudo. Но мы сегодня про это подробно не рассказывали, потому что оно опять же не поместилось."
Про sudo тема интересная, будем ждать следующего раза. 🙂
Это мой личный блог. Всё, что я пишу здесь - моё личное мнение, которое никак не связано с моим работодателем. Все названия продуктов, логотипы и бренды являются собственностью их владельцев. Все названия компаний, продуктов и услуг, упоминаемые здесь, упоминаются только для идентификации. Упоминание этих названий, логотипов и брендов не подразумевает их одобрения (endorsement). Вы можете свободно использовать материалы этого сайта, но было бы неплохо, если бы вы разместили ссылку на https://avleonov.ru и отправили мне сообщение об этом на me@avleonov.com или связались со мной любым другим способом.
