Table of Contents
Laborator 9: Reducerea Suprafaței de Atac
Obiective
Cerințe tehnologice
Funcționalități
1. Identificarea suprafeței de atac
2. Aplicarea măsurilor de reducere a suprafeței de atac
3. Securizarea imaginii containerului și infrastructurii
4. Integrarea măsurilor de securitate în pipeline-ul CI/CD
Evaluare
Resurse suplimentare
Laborator 9: Reducerea Suprafaței de Atac
Obiective
Înțelegerea conceptului de
suprafață de atac
și importanța minimizării acesteia
Identificarea punctelor de expunere și vulnerabilităților aplicației
Aplicarea strategiilor pentru reducerea suprafeței de atac
Implementarea principiilor de securitate prin design
Evaluarea impactului măsurilor de securitate asupra aplicației
Cerințe tehnologice
Scanare și analiză
: OWASP ZAP, Nikto, Trivy, Grype
Hardening
: Seccomp, AppArmor, SELinux, Docker Security Best Practices
Reducerea expunerii
: Firewall, Rate Limiting,
API
Gateway
Control acces
: Least Privilege Principle, RBAC
CI/CD Security
: GitHub Dependabot, SAST (Static Application Security Testing)
Funcționalități
1. Identificarea suprafeței de atac
Analiza componentelor expuse (endpoint-uri
API
, porturi deschise, dependențe externe)
Utilizarea tool-urilor de scanare pentru a descoperi vulnerabilități
Cartografierea suprafeței de atac prin OWASP ZAP sau Nikto
2. Aplicarea măsurilor de reducere a suprafeței de atac
Eliminarea componentelor și serviciilor neesențiale
Limitarea accesului la resurse prin firewall și rate limiting
Configurarea corectă a permisiunilor și implementarea RBAC
3. Securizarea imaginii containerului și infrastructurii
Reducerea dimensiunii containerului prin imagini minimale (Alpine, distroless)
Aplicarea politici de securitate pentru containere (Seccomp, AppArmor)
Blocarea accesului root și utilizarea de UID/GID non-privilegiate
4. Integrarea măsurilor de securitate în pipeline-ul CI/CD
Scanarea automată a vulnerabilităților înainte de deployment
Implementarea unei politici stricte de update și patching
Monitorizarea continuă a suprafeței de atac și a riscurilor noi
Evaluare
Identificarea corectă a punctelor de expunere ale aplicației (25%)
Implementarea măsurilor de reducere a suprafeței de atac (30%)
Aplicarea securizării containerelor și infrastructurii (30%)
Integrarea măsurilor în pipeline-ul CI/CD (15%)
Resurse suplimentare
[
https://owasp.org/www-project-zap/
OWASP ZAP - Web Security Scanner]
[
https://cwe.mitre.org
Common Weakness Enumeration (CWE)]
[
https://www.docker.com/blog/securing-your-containers
Docker Security Best Practices]
[
https://github.com/aquasecurity/trivy
Trivy - Vulnerability Scanner]
[
https://github.com/aquasecurity/grype
Grype - CVE Scanner]