Amennyire kedveljük a felhőt, annyira tartunk is tőle.

Szeretjük, mert az Amazon, az Azure és a Google felhőalapú számítástechnikai szolgáltatásai átalakították a szervezetek működési hatékonyságát és költségeit. A felhős szolgáltatások levették az informatikai terhek java részét a szervezetek válláról.

Azonban tartunk is tőle, mivel a szervezetek felhőbe költözésével tapasztalható, hogy az eddig alkalmazott, meglévő eszközeik nincsenek felkészülve a felhőkörnyezetek új biztonsági kihívásainak kezelésére.

A felhőbiztonság

A felhőkörnyezetek egyre inkább a kibertámadók célpontjává válnak. Elég egy pillantást vetni az IBM 2023 Cost of a Data Breach Report című jelentésére, hogy lássuk, a betörések 82%-a a felhőben tárolt adatokat érintette - nyilvános, privát vagy hibrid környezetekben. Az elemzésben az is szerepel, hogy a jogsértések 39%-a több környezetet is érintett, ami az átlagosnál magasabb, 4,75 millió dolláros költséget jelent jogsértésenként.

A kockázatok klasszikus példája a Capital One-t ért betörés, ahol a tűzfal hibás konfigurációját kihasználva a Server-Side Request Forgery (SSRF) nevű technikát alkalmazva hozzáfértek a Capital One felhőalapú adattárolóihoz. A becslések szerint 100 millió rekord került veszélybe. A Capital One példája rávilágít a felhőkörnyezetek sebezhetőségére, valamint a megfelelő konfiguráció és hozzáférés-ellenőrzés fontosságára és hogy a felhőbiztonságot és az adatvédelmet prioritásként kell kezelnie minden cégnek.

Fontos tudnunk, hogy pontosan mi ellen védekezzünk

A felhőarchitektúrák olyan erőforrásokat, identitásokat és konfigurációkat tartalmaznak, amelyeket programozottan határoznak meg, és amelyek gyors ütemben változnak. Ennek eredményeképpen a felhő a kiberbiztonsági komplexitás Pandóra-szelencéje lehet. És bár a vezető felhőszolgáltatók szigorú biztonsági gyakorlatokat alkalmaznak, ez hamis biztonságérzetet kelthet a szervezeteknél, akik nem feltétlenül vannak tisztában azzal, hogy a felhőben a megosztott felelősség modellje működik, miszerint ők is felelősséggel tartoznak a felhőeszközeik védelméért. Ezen okok miatt a felhőben végzett pentesztelés ugyanolyan fontos, mint a hagyományos hálózati penetrációs tesztelés - egyes esetekben még fontosabb is.

A kiválasztott felhőszolgáltatási modelltől függően a biztonsági felelősség eltérő lehet. Általánosságban elmondható, hogy a felhőszolgáltató felelős a szolgáltatásait lehetővé tevő hardver és a mögöttes szoftverek biztonságáért. Végfelhasználói felelősség viszont mindannak a védelme, amit a felhasználó a felhőben hoz létre: adatok, kulcsok, eszközök, szolgáltatások, alkalmazások és konfigurációk. Vegyünk egy példát a Lambda-funkciók használatára az Amazon Web Services (AWS) felhőnatív alkalmazásainak fejlesztéséhez. Míg az AWS a számítási és tárolási infrastruktúra, valamint maga a Lambda szolgáltatás biztonságával foglalkozik, a felhasználó felelőssége, hogy a Lambda-funkciókhoz való hozzáférés biztonságos legyen. A végfelhasználónak kell biztosítania azt is, hogy a fejlesztők ne tároljanak olyan hitelesítő adatokat kódjaikban vagy a környezeti változókban, amelyek érzékeny adatok kompromittálására alkalmasak.

A hibrid felhővel és helyi hálózatokkal rendelkező szervezetek esetében a kockázatnak való kitettség teljes és pontos megértése csak akkor érhető el, ha képesek vagyunk tesztelni a környezetek között átívelő támadási útvonalakat. Vegyünk például egy támadási forgatókönyvet egy hibrid Azure-környezetben, amelyben a támadó kompromittál egy helyi gépet, és távoli kódfuttatást (RCE) hajt végre rajta, hogy megszerezze egy Azure VM jogosultságokkal rendelkező fejlesztő hitelesítő adatait. Innen már kikövezett az út a felhő feltöréséhez, és ez a folyamat különböző gépeken megismételhető, amíg a támadó a környezet legmagasabb jogosultságait meg nem szerzi, így tetszés szerint bármilyen erőforrást kihasználhat. Ezért a felhős behatolásteszteknek olyan forgatókönyvekre is ki kell terjedniük, amelyeknél a helyben történő hozzáférés a támadót a felhő erőforrásainak veszélyeztetéséhez vezetheti, és fordítva.

Cloud Pentesting: A siker kulcsai

A felhőalapú behatolásvizsgálat megkezdésekor alapvető fontosságú, hogy időt szánjunk a felhőalapú szolgáltatásaink és eszközeink megértésére, valamint arra, hogy a megosztott felelősség modellje szerint a támadási felület mely részeinek védelme a mi felelősségünk. Ezután nyílik lehetőségünk arra, hogy megalapozott döntéseket hozzunk a felhőalapú penetrációs teszteléssel kapcsolatos befektetéseinkről a szervezet kockázati kitettségének összefüggésében.

Fontos kiemelni azt is, hogy a felhőalapú tesztelés hatékonyságát nemcsak a tesztelés mélysége és szélessége határozza meg, hanem a tesztelés gyakorisága is. A kellő gyakoriságú tesztek végrehajtásában pedig kifejezetten fontos egy automatizált megoldás alkalmazása.

Pentera Cloud

A Pentera élen jár az összes támadási felületet lefedő automatizált biztonsági validáció terén. A nemrég bejelentett Pentera Cloud a felhőkörnyezetek tesztelésére kidolgozott átfogó platform, amely automatizált motorjával etikus támadásokat futtat a felhőben és a felhős fiókokon keresztül.

A platform rávilágít arra, hogy mely védekezési megoldásaink működnek és melyek igényelnek javítást, ezekre egyértelmű útmutatást biztosítva. A Pentera a vezetők számára egy átfogó pontszámot biztosít, amely megmutatja a támadások ellenállóképességének idővel történő javulását.

A Pentera Cloud legfontosabb funkciói:

Felhős támadási felületek felderítése – A Pentera Cloud „agentless” módon folyamatosan feltérképezi szervezetünk felhős eszközeit, azonosítva azok terheltségét.

Felhőnatív támadás tesztelése - A Pentera biztonságos és etikus behatolásvizsgálati támadásokat futtat felhős környezetünkön és validálja az ellenállóképességét a MITRE ATT&CK felhőtechnikákkal szemben.

Hibrid felhőkörnyezetek tesztelése – A Pentera Cloud feltárja a felhős és on-premise környezetünk között átívelő támadási útvonalakat.

Bizonyítékokon alapuló javítási javaslatok – A kihasználható biztonsági rések priorizálását a termék az üzletmenetre mért hatásuk alapján végzi el, ehhez részletes javítási segédletet biztosítva.

A Pentera Cloud előnyei:

A kiberkockázati kitettség csökkentése – Azonosítja és blokkolja a felhőkörnyezetünkben kihasználható támadási útvonalakat.

A kiberbiztonsági csapatok hatékonyságának növelése - Automatizálja a biztonsági validációs tesztelési tevékenységeket a teljes támadási felületen.

A Pentera megoldásával házon belül rendszeresíthetők és automatizálhatók a pentesztek, ami minimalizálja a harmadik féltől származó behatolástesztelési szolgáltatások igénybevételét, jelentős mértékben csökkentve a költségeket is.

Csökkenti a problémák kijavításához szükséges időt.

Ahogy a szervezetek folytatják a felhős környezetekbe való áttérést, a biztonsági aggályok és hiányosságok kezelése sem hanyagolható el. A szervezetek proaktív intézkedésekkel, például a Pentera automatizált behatolásvizsgálati platformjának beszerzésével erősíthetik meg a védelmüket. Biztonsági szakemberek ezrei használják naponta a Penterát, hogy megszüntessék a biztonsági kockázatokat, és felkészültebbek legyeneka kiberfenyegetésekkel szemben.

Szolgáltatási kínálatunk bővítéseként automatizált behatolástesztelési szolgáltatást vezettünk be, amely a megrendelő IT-biztonsági állapotának felmérésén túl a NIS2-re való felkészülést is segítheti. Töltse le a tájékoztatónkat (PDF) és keresse munkatársainkat bizalommal!

Forrás

Debunking Cloud Security Myths with Pentera

The fundamentals of cloud security stress testing - Pentera

Pentera_Datasheet_Cloud.pdf

Kapcsolódó tartalom

RelNethic behatolástesztelési szolgáltatás

Pentera képzések a RelNet eLearning programban