{"id":34245,"date":"2024-07-01T12:35:04","date_gmt":"2024-07-01T10:35:04","guid":{"rendered":"https:\/\/relnet.hu\/?p=34245"},"modified":"2024-07-01T12:38:02","modified_gmt":"2024-07-01T10:38:02","slug":"felhos-penteszteles-a-pentera-clouddal","status":"publish","type":"post","link":"https:\/\/relnet.hu\/en\/felhos-penteszteles-a-pentera-clouddal\/","title":{"rendered":"Felh\u0151s pentesztel\u00e9s a Pentera Clouddal"},"content":{"rendered":"

Amennyire kedvelj\u00fck a felh\u0151t, annyira tartunk is t\u0151le.
\n
Szeretj\u00fck, mert az Amazon, az Azure \u00e9s a Google felh\u0151alap\u00fa sz\u00e1m\u00edt\u00e1stechnikai szolg\u00e1ltat\u00e1sai \u00e1talak\u00edtott\u00e1k a szervezetek m\u0171k\u00f6d\u00e9si hat\u00e9konys\u00e1g\u00e1t \u00e9s k\u00f6lts\u00e9geit. A felh\u0151s szolg\u00e1ltat\u00e1sok levett\u00e9k az informatikai terhek java r\u00e9sz\u00e9t a szervezetek v\u00e1ll\u00e1r\u00f3l.
\n
Azonban tartunk is t\u0151le, mivel a szervezetek felh\u0151be k\u00f6lt\u00f6z\u00e9s\u00e9vel tapasztalhat\u00f3, hogy az eddig alkalmazott, megl\u00e9v\u0151 eszk\u00f6zeik nincsenek felk\u00e9sz\u00fclve a felh\u0151k\u00f6rnyezetek \u00faj biztons\u00e1gi kih\u00edv\u00e1sainak kezel\u00e9s\u00e9re.
\n
A felh\u0151biztons\u00e1g
\n
A felh\u0151k\u00f6rnyezetek egyre ink\u00e1bb a kibert\u00e1mad\u00f3k c\u00e9lpontj\u00e1v\u00e1 v\u00e1lnak. El\u00e9g egy pillant\u00e1st vetni az IBM 2023 Cost of a Data Breach Report c\u00edm\u0171 jelent\u00e9s\u00e9re, hogy l\u00e1ssuk, a bet\u00f6r\u00e9sek 82%-a a felh\u0151ben t\u00e1rolt adatokat \u00e9rintette – nyilv\u00e1nos, priv\u00e1t vagy hibrid k\u00f6rnyezetekben. Az elemz\u00e9sben az is szerepel, hogy a jogs\u00e9rt\u00e9sek 39%-a t\u00f6bb k\u00f6rnyezetet is \u00e9rintett, ami az \u00e1tlagosn\u00e1l magasabb, 4,75 milli\u00f3 doll\u00e1ros k\u00f6lts\u00e9get jelent jogs\u00e9rt\u00e9senk\u00e9nt.
\n
A kock\u00e1zatok klasszikus p\u00e9ld\u00e1ja a Capital One-t \u00e9rt bet\u00f6r\u00e9s, ahol a t\u0171zfal hib\u00e1s konfigur\u00e1ci\u00f3j\u00e1t kihaszn\u00e1lva a Server-Side Request Forgery (SSRF) nev\u0171 technik\u00e1t alkalmazva hozz\u00e1f\u00e9rtek a Capital One felh\u0151alap\u00fa adatt\u00e1rol\u00f3ihoz. A becsl\u00e9sek szerint 100 milli\u00f3 rekord ker\u00fclt vesz\u00e9lybe. A Capital One p\u00e9ld\u00e1ja r\u00e1vil\u00e1g\u00edt a felh\u0151k\u00f6rnyezetek sebezhet\u0151s\u00e9g\u00e9re, valamint a megfelel\u0151 konfigur\u00e1ci\u00f3 \u00e9s hozz\u00e1f\u00e9r\u00e9s-ellen\u0151rz\u00e9s fontoss\u00e1g\u00e1ra \u00e9s hogy a felh\u0151biztons\u00e1got \u00e9s az adatv\u00e9delmet priorit\u00e1sk\u00e9nt kell kezelnie minden c\u00e9gnek.
\n
Fontos tudnunk, hogy pontosan mi ellen v\u00e9dekezz\u00fcnk
\n
A felh\u0151architekt\u00far\u00e1k olyan er\u0151forr\u00e1sokat, identit\u00e1sokat \u00e9s konfigur\u00e1ci\u00f3kat tartalmaznak, amelyeket programozottan hat\u00e1roznak meg, \u00e9s amelyek gyors \u00fctemben v\u00e1ltoznak. Ennek eredm\u00e9nyek\u00e9ppen a felh\u0151 a kiberbiztons\u00e1gi komplexit\u00e1s Pand\u00f3ra-szelenc\u00e9je lehet. \u00c9s b\u00e1r a vezet\u0151 felh\u0151szolg\u00e1ltat\u00f3k szigor\u00fa biztons\u00e1gi gyakorlatokat alkalmaznak, ez hamis biztons\u00e1g\u00e9rzetet kelthet a szervezetekn\u00e9l, akik nem felt\u00e9tlen\u00fcl vannak tiszt\u00e1ban azzal, hogy a felh\u0151ben a megosztott felel\u0151ss\u00e9g modellje m\u0171k\u00f6dik, miszerint \u0151k is felel\u0151ss\u00e9ggel tartoznak a felh\u0151eszk\u00f6zeik v\u00e9delm\u00e9\u00e9rt. Ezen okok miatt a felh\u0151ben v\u00e9gzett pentesztel\u00e9s ugyanolyan fontos, mint a hagyom\u00e1nyos h\u00e1l\u00f3zati penetr\u00e1ci\u00f3s tesztel\u00e9s – egyes esetekben m\u00e9g fontosabb is.
\n
A kiv\u00e1lasztott felh\u0151szolg\u00e1ltat\u00e1si modellt\u0151l f\u00fcgg\u0151en a biztons\u00e1gi felel\u0151ss\u00e9g elt\u00e9r\u0151 lehet. \u00c1ltal\u00e1noss\u00e1gban elmondhat\u00f3, hogy a felh\u0151szolg\u00e1ltat\u00f3 felel\u0151s a szolg\u00e1ltat\u00e1sait lehet\u0151v\u00e9 tev\u0151 hardver \u00e9s a m\u00f6g\u00f6ttes szoftverek biztons\u00e1g\u00e1\u00e9rt. V\u00e9gfelhaszn\u00e1l\u00f3i felel\u0151ss\u00e9g viszont mindannak a v\u00e9delme, amit a felhaszn\u00e1l\u00f3 a felh\u0151ben hoz l\u00e9tre: adatok, kulcsok, eszk\u00f6z\u00f6k, szolg\u00e1ltat\u00e1sok, alkalmaz\u00e1sok \u00e9s konfigur\u00e1ci\u00f3k. Vegy\u00fcnk egy p\u00e9ld\u00e1t a Lambda-funkci\u00f3k haszn\u00e1lat\u00e1ra az Amazon Web Services (AWS) felh\u0151nat\u00edv alkalmaz\u00e1sainak fejleszt\u00e9s\u00e9hez. M\u00edg az AWS a sz\u00e1m\u00edt\u00e1si \u00e9s t\u00e1rol\u00e1si infrastrukt\u00fara, valamint maga a Lambda szolg\u00e1ltat\u00e1s biztons\u00e1g\u00e1val foglalkozik, a felhaszn\u00e1l\u00f3 felel\u0151ss\u00e9ge, hogy a Lambda-funkci\u00f3khoz val\u00f3 hozz\u00e1f\u00e9r\u00e9s biztons\u00e1gos legyen. A v\u00e9gfelhaszn\u00e1l\u00f3nak kell biztos\u00edtania azt is, hogy a fejleszt\u0151k ne t\u00e1roljanak olyan hiteles\u00edt\u0151 adatokat k\u00f3djaikban vagy a k\u00f6rnyezeti v\u00e1ltoz\u00f3kban, amelyek \u00e9rz\u00e9keny adatok kompromitt\u00e1l\u00e1s\u00e1ra alkalmasak.
\n
A hibrid felh\u0151vel \u00e9s helyi h\u00e1l\u00f3zatokkal rendelkez\u0151 szervezetek eset\u00e9ben a kock\u00e1zatnak val\u00f3 kitetts\u00e9g teljes \u00e9s pontos meg\u00e9rt\u00e9se csak akkor \u00e9rhet\u0151 el, ha k\u00e9pesek vagyunk tesztelni a k\u00f6rnyezetek k\u00f6z\u00f6tt \u00e1t\u00edvel\u0151 t\u00e1mad\u00e1si \u00fatvonalakat. Vegy\u00fcnk p\u00e9ld\u00e1ul egy t\u00e1mad\u00e1si forgat\u00f3k\u00f6nyvet egy hibrid Azure-k\u00f6rnyezetben, amelyben a t\u00e1mad\u00f3 kompromitt\u00e1l egy helyi g\u00e9pet, \u00e9s t\u00e1voli k\u00f3dfuttat\u00e1st (RCE) hajt v\u00e9gre rajta, hogy megszerezze egy Azure VM jogosults\u00e1gokkal rendelkez\u0151 fejleszt\u0151 hiteles\u00edt\u0151 adatait. Innen m\u00e1r kik\u00f6vezett az \u00fat a felh\u0151 felt\u00f6r\u00e9s\u00e9hez, \u00e9s ez a folyamat k\u00fcl\u00f6nb\u00f6z\u0151 g\u00e9peken megism\u00e9telhet\u0151, am\u00edg a t\u00e1mad\u00f3 a k\u00f6rnyezet legmagasabb jogosults\u00e1gait meg nem szerzi, \u00edgy tetsz\u00e9s szerint b\u00e1rmilyen er\u0151forr\u00e1st kihaszn\u00e1lhat. Ez\u00e9rt a felh\u0151s behatol\u00e1steszteknek olyan forgat\u00f3k\u00f6nyvekre is ki kell terjedni\u00fck, amelyekn\u00e9l a helyben t\u00f6rt\u00e9n\u0151 hozz\u00e1f\u00e9r\u00e9s a t\u00e1mad\u00f3t a felh\u0151 er\u0151forr\u00e1sainak vesz\u00e9lyeztet\u00e9s\u00e9hez vezetheti, \u00e9s ford\u00edtva.
\n
Cloud Pentesting: A siker kulcsai
\n
A felh\u0151alap\u00fa behatol\u00e1svizsg\u00e1lat megkezd\u00e9sekor alapvet\u0151 fontoss\u00e1g\u00fa, hogy id\u0151t sz\u00e1njunk a felh\u0151alap\u00fa szolg\u00e1ltat\u00e1saink \u00e9s eszk\u00f6zeink meg\u00e9rt\u00e9s\u00e9re, valamint arra, hogy a megosztott felel\u0151ss\u00e9g modellje szerint a t\u00e1mad\u00e1si fel\u00fclet mely r\u00e9szeinek v\u00e9delme a mi felel\u0151ss\u00e9g\u00fcnk. Ezut\u00e1n ny\u00edlik lehet\u0151s\u00e9g\u00fcnk arra, hogy megalapozott d\u00f6nt\u00e9seket hozzunk a felh\u0151alap\u00fa penetr\u00e1ci\u00f3s tesztel\u00e9ssel kapcsolatos befektet\u00e9seinkr\u0151l a szervezet kock\u00e1zati kitetts\u00e9g\u00e9nek \u00f6sszef\u00fcgg\u00e9s\u00e9ben.
\n
Fontos kiemelni azt is, hogy a felh\u0151alap\u00fa tesztel\u00e9s hat\u00e9konys\u00e1g\u00e1t nemcsak a tesztel\u00e9s m\u00e9lys\u00e9ge \u00e9s sz\u00e9less\u00e9ge hat\u00e1rozza meg, hanem a tesztel\u00e9s gyakoris\u00e1ga is. A kell\u0151 gyakoris\u00e1g\u00fa tesztek v\u00e9grehajt\u00e1s\u00e1ban pedig kifejezetten fontos egy automatiz\u00e1lt megold\u00e1s alkalmaz\u00e1sa.
\n
Pentera Cloud
\n
A Pentera \u00e9len j\u00e1r az \u00f6sszes t\u00e1mad\u00e1si fel\u00fcletet lefed\u0151 automatiz\u00e1lt biztons\u00e1gi valid\u00e1ci\u00f3 ter\u00e9n. A nemr\u00e9g bejelentett Pentera Cloud a felh\u0151k\u00f6rnyezetek tesztel\u00e9s\u00e9re kidolgozott \u00e1tfog\u00f3 platform, amely automatiz\u00e1lt motorj\u00e1val etikus t\u00e1mad\u00e1sokat futtat a felh\u0151ben \u00e9s a felh\u0151s fi\u00f3kokon kereszt\u00fcl.
\n
A platform r\u00e1vil\u00e1g\u00edt arra, hogy mely v\u00e9dekez\u00e9si megold\u00e1saink m\u0171k\u00f6dnek \u00e9s melyek ig\u00e9nyelnek jav\u00edt\u00e1st, ezekre egy\u00e9rtelm\u0171 \u00fatmutat\u00e1st biztos\u00edtva. A Pentera a vezet\u0151k sz\u00e1m\u00e1ra egy \u00e1tfog\u00f3 pontsz\u00e1mot biztos\u00edt, amely megmutatja a t\u00e1mad\u00e1sok ellen\u00e1ll\u00f3k\u00e9pess\u00e9g\u00e9nek id\u0151vel t\u00f6rt\u00e9n\u0151 javul\u00e1s\u00e1t.
\n
A Pentera Cloud legfontosabb funkci\u00f3i:
\n
Felh\u0151s t\u00e1mad\u00e1si fel\u00fcletek felder\u00edt\u00e9se \u2013 A Pentera Cloud \u201eagentless\u201d m\u00f3don folyamatosan felt\u00e9rk\u00e9pezi szervezet\u00fcnk felh\u0151s eszk\u00f6zeit, azonos\u00edtva azok terhelts\u00e9g\u00e9t.
\n
Felh\u0151nat\u00edv t\u00e1mad\u00e1s tesztel\u00e9se – A Pentera biztons\u00e1gos \u00e9s etikus behatol\u00e1svizsg\u00e1lati t\u00e1mad\u00e1sokat futtat felh\u0151s k\u00f6rnyezet\u00fcnk\u00f6n \u00e9s valid\u00e1lja az ellen\u00e1ll\u00f3k\u00e9pess\u00e9g\u00e9t a MITRE ATT&CK felh\u0151technik\u00e1kkal szemben.
\n
Hibrid felh\u0151k\u00f6rnyezetek tesztel\u00e9se \u2013 A Pentera Cloud felt\u00e1rja a felh\u0151s \u00e9s on-premise k\u00f6rnyezet\u00fcnk k\u00f6z\u00f6tt \u00e1t\u00edvel\u0151 t\u00e1mad\u00e1si \u00fatvonalakat.
\n
Bizony\u00edt\u00e9kokon alapul\u00f3 jav\u00edt\u00e1si javaslatok \u2013 A kihaszn\u00e1lhat\u00f3 biztons\u00e1gi r\u00e9sek prioriz\u00e1l\u00e1s\u00e1t a term\u00e9k az \u00fczletmenetre m\u00e9rt hat\u00e1suk alapj\u00e1n v\u00e9gzi el, ehhez r\u00e9szletes jav\u00edt\u00e1si seg\u00e9dletet biztos\u00edtva.
\n
A Pentera Cloud el\u0151nyei:
\n
A kiberkock\u00e1zati kitetts\u00e9g cs\u00f6kkent\u00e9se \u2013 Azonos\u00edtja \u00e9s blokkolja a felh\u0151k\u00f6rnyezet\u00fcnkben kihaszn\u00e1lhat\u00f3 t\u00e1mad\u00e1si \u00fatvonalakat.
\n
A kiberbiztons\u00e1gi csapatok hat\u00e9konys\u00e1g\u00e1nak n\u00f6vel\u00e9se – Automatiz\u00e1lja a biztons\u00e1gi valid\u00e1ci\u00f3s tesztel\u00e9si tev\u00e9kenys\u00e9geket a teljes t\u00e1mad\u00e1si fel\u00fcleten.
\n
A Pentera megold\u00e1s\u00e1val h\u00e1zon bel\u00fcl rendszeres\u00edthet\u0151k \u00e9s automatiz\u00e1lhat\u00f3k a pentesztek, ami minimaliz\u00e1lja a harmadik f\u00e9lt\u0151l sz\u00e1rmaz\u00f3 behatol\u00e1stesztel\u00e9si szolg\u00e1ltat\u00e1sok ig\u00e9nybev\u00e9tel\u00e9t, jelent\u0151s m\u00e9rt\u00e9kben cs\u00f6kkentve a k\u00f6lts\u00e9geket is.
\n
Cs\u00f6kkenti a probl\u00e9m\u00e1k kijav\u00edt\u00e1s\u00e1hoz sz\u00fcks\u00e9ges id\u0151t.
\n
Ahogy a szervezetek folytatj\u00e1k a felh\u0151s k\u00f6rnyezetekbe val\u00f3 \u00e1tt\u00e9r\u00e9st, a biztons\u00e1gi agg\u00e1lyok \u00e9s hi\u00e1nyoss\u00e1gok kezel\u00e9se sem hanyagolhat\u00f3 el. A szervezetek proakt\u00edv int\u00e9zked\u00e9sekkel, p\u00e9ld\u00e1ul a Pentera automatiz\u00e1lt behatol\u00e1svizsg\u00e1lati platformj\u00e1nak beszerz\u00e9s\u00e9vel er\u0151s\u00edthetik meg a v\u00e9delm\u00fcket. Biztons\u00e1gi szakemberek ezrei haszn\u00e1lj\u00e1k naponta a Penter\u00e1t, hogy megsz\u00fcntess\u00e9k a biztons\u00e1gi kock\u00e1zatokat, \u00e9s felk\u00e9sz\u00fcltebbek legyeneka kiberfenyeget\u00e9sekkel szemben.
\n
Szolg\u00e1ltat\u00e1si k\u00edn\u00e1latunk b\u0151v\u00edt\u00e9sek\u00e9nt automatiz\u00e1lt behatol\u00e1stesztel\u00e9si szolg\u00e1ltat\u00e1st vezett\u00fcnk be, amely a megrendel\u0151 IT-biztons\u00e1gi \u00e1llapot\u00e1nak felm\u00e9r\u00e9s\u00e9n t\u00fal a NIS2-re val\u00f3 felk\u00e9sz\u00fcl\u00e9st is seg\u00edtheti. T\u00f6ltse le a t\u00e1j\u00e9koztat\u00f3nkat (PDF)<\/a> \u00e9s keresse munkat\u00e1rsainkat bizalommal!<\/p>\n

Forr\u00e1s<\/h5>\n

Debunking Cloud Security Myths with Pentera<\/a>
\n
The fundamentals of cloud security stress testing – Pentera<\/a>
\n
Pentera_Datasheet_Cloud.pdf<\/a><\/p>\n

Kapcsol\u00f3d\u00f3 tartalom<\/h5>\n

RelNethic behatol\u00e1stesztel\u00e9si szolg\u00e1ltat\u00e1s<\/a>
\n
Pentera k\u00e9pz\u00e9sek a RelNet eLearning programban<\/a>
justify
no-repeat;left top;;
auto<\/p>\n","protected":false},"excerpt":{"rendered":"

A nemr\u00e9g bejelentett Pentera Cloud a felh\u0151k\u00f6rnyezetek tesztel\u00e9s\u00e9re kidolgozott \u00e1tfog\u00f3 platform, amely automatiz\u00e1lt motorj\u00e1val etikus t\u00e1mad\u00e1sokat futtat a felh\u0151ben \u00e9s a felh\u0151s fi\u00f3kokon kereszt\u00fcl.<\/p>\n","protected":false},"author":1086,"featured_media":34246,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[2718],"tags":[4775,198,2719,4362,4776],"yst_prominent_words":[],"class_list":["post-34245","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-pentera","tag-captial-one","tag-cloud","tag-pentera","tag-pentest","tag-ssrf"],"_links":{"self":[{"href":"https:\/\/relnet.hu\/en\/wp-json\/wp\/v2\/posts\/34245","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/relnet.hu\/en\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/relnet.hu\/en\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/relnet.hu\/en\/wp-json\/wp\/v2\/users\/1086"}],"replies":[{"embeddable":true,"href":"https:\/\/relnet.hu\/en\/wp-json\/wp\/v2\/comments?post=34245"}],"version-history":[{"count":2,"href":"https:\/\/relnet.hu\/en\/wp-json\/wp\/v2\/posts\/34245\/revisions"}],"predecessor-version":[{"id":34251,"href":"https:\/\/relnet.hu\/en\/wp-json\/wp\/v2\/posts\/34245\/revisions\/34251"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/relnet.hu\/en\/wp-json\/wp\/v2\/media\/34246"}],"wp:attachment":[{"href":"https:\/\/relnet.hu\/en\/wp-json\/wp\/v2\/media?parent=34245"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/relnet.hu\/en\/wp-json\/wp\/v2\/categories?post=34245"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/relnet.hu\/en\/wp-json\/wp\/v2\/tags?post=34245"},{"taxonomy":"yst_prominent_words","embeddable":true,"href":"https:\/\/relnet.hu\/en\/wp-json\/wp\/v2\/yst_prominent_words?post=34245"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}