CyberSec 2021 會後小記
與同事來聽了資安大會 5/6 (四) 的幾場議程,趁還有印象時做一些紀錄
IaC Security
講者:Chang Yu Wu Rakuya.inc IT MIS 資深經理
Security risks
Unlabeled resources
* Untagged assets
Configuration drift
* Snowflake servers
Data Transmissions
* Cyber-attacks are multiplying
Audit Logs
* Identifying potential threats
* Proactive Continuous Monitoring
secruity testing
講者公司內的 git flow 有多一層 secruity testing,全部都亮綠燈才能 merge 回主幹
Test-Driven Development (TDD)
進行 TDD,雖然可能開發週期會變長,但好處是可以達到正向循環
Write test -> Write code -> Refactor -> Write test ...
弱點的測試
包含四大類型,裡面又有各自該注意的細項
Source code
* Vulnerability scanning
* Static code analysis
Infra code
* incorrect configuration
* Vulnerability package
App service
* SQL injection
* XSS
* Wrong api call method
Network
* Firewall configuration
* ACL
Note:
Unauthorised users
Data leakage
Unauthorised access to critical resources increased attack surface
User and data access policy
確實做好 User、API 的權限控管
Conslusion
- Iac secrtity is a concept about how to coding for sucure strategy and inspect in development process.
- Enhance environmental security, transparency and consistency.
Early deployment
- How did a best way to maintain with agility
容器壞壞
講者:廖威捷 IBM Security 工程師
五種主要風險
Orchestration System Risks
* Unbounded admin access
* Weak or unmanaged credentials
* Unmanaged inter-container network traffic
* Mixed of workload sensitivity levels
Reglstry Risks
* Insecure connections to registries
* Stake images in registries
Host OS Risk
* Improper user access rights
* OS vulnerabilities
Image Risks
* Image vulnerabilities
* Image configuration
* Embedded malware
* Embedded secrets
* Image trust
Container Runtime Risks
* Vulnerabilities within the runtime software
* Unbounded network access from containers
* Insecure container runtime configurations
* Shared kernel
接下來都是影片示範如何操作 講者介紹了一個搜尋引擎 Shodan,可以尋找網路上的 IoT 設備並尋找漏洞
Container should not run as ROOT
privileged container is so bad
croups release agent feature
docker.sock exposed
bad imgae
open docker api
Attack Scenario III
1. Find out open docker host or unauthenticated kubelet k8s cluster
2. Create privileged container
3. Compromise the host
這場太精彩了,看得目不轉睛沒什麼記錄到 XD
雲端資料掉光光 ~ GCP 事件調查真實案例~
講者:王立弘 法泥系統 研發部雲端安全顧問
講者公司分享幫客戶排除問題的經驗分享
GCP 的服務帳號,是明文 JSON
使用 Cloud SQL Proxy 只能使用明文 JSON 進行驗證
Cloud SQL
連線 Cloud SQL 需要設定白名單 IP
- 但是如果使用服務帳號又具有 Public IP,就可以 Bypass
VPC 防火牆,沒辦法限制 Cloud SQL
- 一定需要使用 Private IP,才可以受到 VPC 控管
GCP
- Web GUI、gcloud SDK 不同調
- 行為不完全相同
- gcloud SDK 還分成 Beta、Alpha 版本
指令、參數、運作流程、甚至是 Audit Log 都不同
OpenAPI 趨勢下,第三方服務業者 (TSP) 的資安困境與解決之道
講者:Stanley Chou OneDegree 資安負責人
簡化資安為四個步驟
界定範圍 -> 風險評估 -> 風險處理 -> 持續性檢測
- 界定範圍 - 順著資料盤點服務
- 風險評估 - 決定資源投放順序 威脅 -> 曝險 -> 影響 -> 機率
- 風險處理
- 預防性方案
- 偵測性方案
持續性檢測 - 了解你的防禦有效性 合規評估 (管理面評估):頻率 年 曝險評估 (技術面評估):頻率 週 弱點評估 (技術面評估):頻率 月 滲透測試 (技術面評估):頻率 半年
高頻的技術面評估,才能有效降低資安曝險期