Пентестингът на облачни среди може да се извършва в режими

Пентестингът на облачни среди може да се прави в режими на “черна кутия ” или “бяла кутия ” (снимка: CC0 Public Domain)

В непрестанно еволюиращия свят на киберзаплахите облачната сигурност се обрисува като сериозен фактор за организациите по целия свят. И въпреки всичко сигурността в облака нерядко бива подценявана. Ефективен способ за гарантиране на сигурността на облачната инфраструктура на организацията е тестването с навлизане – така наречен пентестинг.

Облачните калкулации включват детайли на предпазване, обработка и ръководство на данни и действие на приложения на отдалечени сървъри, постоянно предоставяни от трети страни – снабдители на услуги. Тази природа на услугите обаче е причина за уязвимости, такива като неоторизиран достъп, теч на данни, неправилни конфигурации. Тестването с навлизане служи като самодеен метод за идентифициране и справяне с сходни недостатъци.

Как работи пентестингът в облака?

Изначално тестването с навлизане симулира офанзиви от действителния свят. Целта на тестера е да открие и употребява уязвимостите в облачната инфраструктура и след това да рапортува на искащия индивид, нормално основния чиновник по осведомителна сигурност.

Цялата процедура се прави според напътствията на доставчиците на облачни услуги. Откритите уязвимости или недостатъци би трябвало да бъдат поправени допустимо най-скоро, преди който и да е действителен нападател да ги открие и да реши да ги употребява.
още по темата
По време на процеса може да бъдат открити и докладвани пробиви и течове на данни или други евентуални закани. Това е добре, тъй като разрешава да се подхващат дейни ограничения за повишение на облачната сигурност на организацията.

При облачния пентестинг наложително се подлагат на изпитване всички облачни съставни елементи: мрежовата инфраструктура, контролите за засвидетелствуване и за достъп, съхранението на данни, евентуалните виртуални машини, приложните програмни интерфейси, сигурността на приложенията.

Режими

Тестването за навлизане може да се извърши в режим „ черна кутия “. Това значи, че тестерите нямат предварителни знания за облачната инфраструктура и би трябвало да открият всичко сами, както би направил всеки външен атакуващ.

Съществува и тест за навлизане в „ бяла кутия “. При него тестерите имат знания за облачната среда и значително знаят в каква конюнктура се „ движат “.

Кои са най-честите облачни закани

Има няколко обичайни недостатъци, които е добре да се ревизират посредством пентестинга:

• Приложните програмни интерфейси разрешават взаимоотношение сред разнообразни софтуерни съставни елементи и услуги и от време на време са несигурни. Тези API може да са създадени без мисъл за сигурността и затова да съставляват накърнимост. Несигурните API могат да бъдат употребявани от нападатели за извличане на неоторизиран достъп или манипулиране на данни.

• Лошо внедрен надзор на достъпа – това може да се получи, когато неоторизирани консуматори получат достъп до сензитивна информация или запаси. Проблемът произтича от несъответстващо ръководство на потребителските позволения, слаби политики за пароли и погрешно боравене с потребителските функции.

• Остарелият програмен продукт, работещ в облака , т.е. подобен, който не се актуализира постоянно, е опасност за организацията. Той може да съдържа съществени уязвимости, които могат да бъдат употребявани за приемане на неоторизиран достъп или за манипулиране на корпоративните данни.

• Отвличането на профили е различен риск. Техники като фишинг, обществено инженерство или офанзива с груба мощ за отгатване на ключова дума могат да разрешат на атакуващ да открадне идентификационните данни на потребителите и да компрометира техните профили. След като потребителски акаунт бъде похитен, хакерът може да да манипулира или ексфилтрира данни.

• Уязвимостите на споделените технологии са друго предизвикателство. Облачните среди постоянно разчитат на споделена инфраструктура и платформи. Ако бъде открита накърнимост в главната технология, тя евентуално може да засегне голям брой клиенти, което да докара до пробиви в сигурността.

• Зловредният програмен продукт може да проникне в облачните среди посредством потреблението на уязвимости или пък благодарение на обществен инженеринг. Сигурността на данните и приложенията може да бъде компрометирана и нападателите могат да употребяват болестта, с цел да си обезпечат достъп до разнообразни елементи на корпоративната инфраструктура или да заразят повече консуматори, в това число гости на уеб страници.

• Неоторизираният достъп до чувствителни данни , съхранявани в облака, е сериозен проблем за фирмите. Това може да възникне заради слаби механизми за засвидетелствуване, компрометирани идентификационни данни, уязвимости или даже неправилна настройка в облачната инфраструктура.

Инструменти за тестване за навлизане

Тестерите могат да употребяват разнообразни принадлежности според от особеностите на задачата, облачните платформи и включените технологии. Изборът зависи значително и от опита на тестера.

• Цялостните рамки за пентестинг – такива като Metasploit или Cobalt Strike – постоянно се употребяват при тестване за навлизане в облачни среди. Те включват доста варианти, експлойти, разнообразни натоварвания и спомагателни модули за оценка на сигурността на облачна инфраструктура. Опитните тестери, употребяващи сходни принадлежности, могат да спестят доста време за тестване, за разлика от сюжета с потреблението на голям брой разнообразни принадлежности.

• Скенерите за уязвимости като Nessus или неговата версия с отворен код OpenVAS се употребяват за идентифициране на пропуски в сигурността в облачни среди, като оферират богати благоприятни условия за разкриване на уязвимости и докладване.

Инструментите за сканиране като Nmap също са известни за сканиране и разкриване на хостове в инфраструктура и търсене на недостатъци или уязвимости.

Могат да се употребяват и по-специфични скенери, като sqlmap – мощен инструмент, който постоянно се употребява за разкриване на уязвимости и SQL инжектиране в приложения, хоствани в облака.

• Мрежовите принадлежности за разбор като Wireshark или Burp Suite се употребяват за намиране на уязвимости или недостатъци в мрежовите връзки сред тестера и облачната инфраструктура. Тези средства оказват помощ за разкриване на некриптирани връзки или съмнително мрежово държание в облачни среди.

• Разбивачите на пароли – така наречен стратегии за кракване – също се употребяват от тестерите: в случай че паролата е задоволително слаба, тестерът може да я разбие доста бързо. Като ослепителен образец може да се каже, че ключова дума от седем знака с букви, числа и знаци може да бъде разрушена за по-малко от минута. За тази цел могат да се употребяват принадлежности като Hydra или Hashcat.

Заключение

Тъй като известността на облака продължава да нараства измежду бизнес-потребителите, значимостта на пентестинга за сигурността на облачните услуги не трябва да се подценява. Чрез осъществяване на цялостни оценки на разнообразни облачни съставни елементи организациите могат самодейно да разпознават уязвимостите, да се защитят и да укрепят облачната си инфраструктура против евентуални офанзиви.