Operaciones de Seguridad

Las herramientas Open Source del equipo de seguridad de Netflix

Hace ya tres años del primer lanzamiento de software de open source que lanzó el equipo de Netflix Cloud Security. A día de hoy, cuentan con más de a 15 proyectos de código abierto , y como no, Netflix lo esta haciendo realmente bien en este ámbito también (He de reconocer que soy un gran admirador de la cultura Netflix y de su gran trabajo).

Muchas de las herramientas que ha lanzado el equipo de Netflix tienen como objetivo facilitar la seguridad en organizaciones de desarrollo de software de alta velocidad y distribuido, siendo la automatización una parte importante del enfoque. Actualmente, la escalabilidad, la velocidad y la integración deberían ser las claves que permiten que la empresa se mueva rápido.

Netflix lo esta haciendo realmente bien, y por que no, fijarnos en como lo están haciendo en el ámbito de la seguridad. Y por ello, os dejo las aplicaciones que el equipo de seguridad de Netflix ha desarrollado:

  • Security Monkey fue la primera versión del equipo OSS de Netflix por Junio de 2014. Security Monkey es una herramienta para monitorear la seguridad en entornos cloud (originalmente y como entorno más importante, AWS - Amazon Web Services), incluyendo análisis y respuesta a configuraciones erróneas, vulnerabilidades y otros temas de seguridad. En marzo de 2017, los ingenieros de Google agregaron el soporte de Google Cloud Platform a Security Monkey .

  • Scumblr , Sketchy y Workflowable fueron anunciadas y lanzadas en conjunto en Agosto de 2014. Juntos, sirven como una plataforma de contribución y flujo de trabajo en inteligencia de seguridad de varios recursos en Internet (por ejemplo, vertederos de credenciales, relevancias de medios sociales), pero que ha evolucionado para convertirse en la plataforma de automatización principal del equipo de seguridad de Netflix. Scumblr es una aplicación web que te permite configurar varias búsquedas web y recopilar y actuar sobre dichos resultados. Sketchy es una API basada en tareas para tomar capturas de pantalla y rastrear texto de sitios web, y Workflowable es una joya de Ruby que añade funcionalidad de flujos de trabajo flexibles a las aplicaciones de Ruby on Rails.

  • FIDO , (Lanzada en Mayo de 2015) , o Fully Integrated Defense Operation es una herramienta para la respuesta automatizada de incidentes de seguridad . Comenzó como un experimento hace muchos años para ver cómo la vinculación en la API del sistema de asistencia técnica podría acelerar la respuesta a los incidentes de malware, y finalmente evolucionó en el sistema para la orquestación de respuestas de seguridad dentro de nuestro entorno corporativo de Netflix. En este momento, FIDO está obsoleto por parte de Netflix y el código ya no se mantiene, aunque sigue estando disponible, siendo una de las grandes joyas de la aportación.

  • Sleepy Puppy (Lanzada en Agosto de 2015) es una herramienta para gestionar las cargas útiles y la propagación de cross-site scripting (XSS) a lo largo del tiempo, ayudando a los equipos y hackers de seguridad de aplicaciones a rastrear y evaluar el impacto de los problemas XSS (históricamente uno de los tipos más extendidos de vulnerabilidad de aplicaciones web ). También se lanzó por parte de Netflix una extensión para Burp Proxy , una herramienta popular para las pruebas de seguridad en aplicaciones web.

  • Lemur , es un sistema para agilizar y automatizar la gestión y supervisión de certificados SSL / TLS, fue lanzado en septiembre de 2015 . La gestión de certificados PKI y SSL ha sido un problema históricamente difícil, y es por ello que el equipo de seguridad de Netflix desarrolló Lemur. En la conferencia AppSecUSA se cubrió el uso de Lemur en contexto de la gestión de TLS en toda la empresa y en AWS ,como ejemplo de cómo automatizar la seguridad.

  • BLESS (Lanzada en Mayo de 2016), o Servicio SSH efímero de bastionado de Lambda, es una Autoridad de Certificado SSH (CA) que funciona con la función AWS Lambda y que se utiliza para firmar claves públicas SSH. El uso de una CA SSH proporciona una variedad flexible de opciones como autorizador, especialmente en entornos de gran escala y de rápido movimiento como Netflix o empresas de gran tamaño.

  • HubCommander (Lanzada en Febrero de este mismo año) es un framework de bot Slack utilizados para la gestión basada en ChatOps de las organizaciones GitHub . Permite proporcionar autoservicio simple basado en Slack para varias acciones GitHub de nivel administrativo, manteniendo el control de acceso y un registro de auditoría. Pero que aunque el mantenimiento de GitHub era su intención original, sus nuevas versiones son un framework de bot más general.

  • Stethoscope (Lanzada a la vez que HubCommander) es un sistema que recopila información sobre diversos temas de seguridad relacionados con el usuario final (por ejemplo, seguridad de dispositivos) y proporciona a los usuarios finales consejos claros y útiles para mejorar la seguridad. Netflix lo usa para alinearse con la cultura de brindar a los empleados la libertad y el contexto para administrar con seguridad sus propios dispositivos.

  • BetterTLS (Lanzada en Abril de 2017) es un conjunto de pruebas para clientes HTTPS que implementan la verificación de la extensión de certificado de restricciones de nombre. Utilizado para identificar y ayudar a corregir los problemas de implementación en las tan variadas ofertas de TLS de varios proveedores.

  • Repokid y Aardvark (Junio ​​de 2017) son herramientas que simplifican y agilizan el proceso de implementación de mínimo privilegio en AWS IAM (Identity and Access Management). Estas herramientas funcionan observando activamente los servicios de AWS que utilizan un rol de IAM y recortando los permisos eliminando el acceso a los servicios no utilizados.

  • Repulsive Grizzly y Cloudy Kraken son herramientas que lanzadas el mes de julio para el proyecto Skunkworks, se esta haciendo público el código, pero no se estan planeando actualizaciones periódicas o mantenimiento a largo plazo. Estas herramientas ayudan a simular ataques DDoS en los entornos de Netflix , con Repulsive Grizzly simplificando la coordinación y la ejecución de pruebas y Cloudy Kraken actuando como framework de orquestación AWS para escalar las pruebas.

Estos son los 15 proyectos de Open Source que Netflix a liberado, los cuales podemos seguir su evolución en GitHub o la cuenta @NetflixOSS en Twitter.

Author image

Ruben.Ramiro

Profesional en Tecnologías de la seguridad y ciberseguridad en Telefónica. Apasionado de los MOOC y la autoformación. Si me tuviese que definir, tendría que ir muchísimo al gimnasio. UHHA!
  • Madrid
comments powered by Disqus