Zoeken

Pentesten van een cloud-omgeving

Configuratiefouten zijn de primaire bronnen die inbraken in cloudomgevingen toestaan.

Waarom een technische controle van cloudomgevingen?

Naast de financiële en technische voordelen die zij kunnen bieden, is de cloudhulp volwassen en goed ontwikkeld en biedt zij een scala aan diensten die aan elke behoefte kunnen voldoen. Als gevolg daarvan wenden bedrijven van elke omvang zich in toenemende mate tot deze oplossingen. Of het nu gaat om alle of een deel van het Informatie Systeem (IS), er zal onvermijdelijk sprake zijn van gevoelige informatie en kritische verwerking van clouddiensten. Toegang via de cloud betekent meer exposure. Het is essentieel om ervoor te zorgen dat deze doorgang het algehele beveiligingsniveau niet verslechtert.

Wat zijn de specifieke kenmerken van een pentest die binnen een cloudomgeving wordt uitgevoerd?

In tegenstelling tot een "klassieke" pentest waarbij de omgeving duidelijk is gedefinieerd (web, intern netwerk, enz.), zal een inbraaktest in een cloudomgeving heel vaak een combinatie zijn van een externe webinbraak (diensten blootgesteld op het internet) en een interne inbraak, d.w.z. binnen de cloud zelf. Dit is te wijten aan dezelfde manier waarop publieke cloud-hostingaanbiedingen zijn ontworpen: informatiesystemen worden geheel of gedeeltelijk binnen een cloud geplaatst die toegankelijk is via een internetverbinding. De test bestaat dus, in het algemeen, in een eerste stap uit het uitvoeren van een externe (web) inbraaktest waarbij we proberen te infiltreren in de cloud van de klant via de verschillende elementen die op het internet zichtbaar zijn (servers, opslagruimtes, etc.). Als we slagen, voeren we een interne inbraaktest uit om de cloud te controleren en de verschillende bestaande kwetsbaarheden op te sporen.

Gebruikt u dezelfde methoden en aanvalstools als in een "klassieke" pentest?

Meestal bestaat het eerste deel van de pentest uit het zoeken naar en benutten van veel voorkomende kwetsbaarheden met behulp van conventionele tools. Pas als we de cloud van de klant kunnen binnendringen gebruiken we meer specifieke tools die specifiek zijn voor elke CSP (Cloud Service Provider).

Zijn de technieken die u gebruikt verschillend per CSP?

Als we alleen te maken hebben met aanvalstechnieken die specifiek zijn voor cloudomgevingen, dan ja, dan veranderen de benaderingen volledig per CSP. Dit komt met name omdat de basis waarop de door CSP's voorgestelde oplossingen zijn gebaseerd aanzienlijk verschilt, of het nu Amazon, Google of Microsoft is, om er maar een paar te noemen.

Welke kwetsbaarheden weet u het meest te benutten?

De meeste kwetsbaarheden die tijdens een pentest worden uitgebuit, worden meestal veroorzaakt door de nalatigheid van de mensen die verantwoordelijk zijn voor de cloudconfiguratie. Inderdaad, klanten die zich abonneren op een publieke cloudaanbieding gaan er vaak ten onrechte van uit dat alles wat ze in de cloud configureren, beschermd is tegen aanvallen van buitenaf. Dit is een veel voorkomende misvatting. Als gevolg daarvan zien we een afname van de waakzaamheid van klanten over alles wat te maken heeft met de IT-beveiliging die wordt toegepast op cloudomgevingen. Als gevolg hiervan is het niet ongewoon om tijdens onze audits te constateren dat configuratiefouten leiden tot inbreuken in de cloud van de klant, wat leidt tot gedeeltelijke of zelfs volledige compromittering van de cloud van de klant.

Wat is uw advies?

Om hun cloudomgeving te beveiligen, kunnen bedrijven op verschillende niveaus handelen. Allereerst is het essentieel dat de verantwoordelijken voor de infrastructuur een stap terug doen ten opzichte van de noodzaak om alle of een deel van het IS in de cloud te hebben. We zien een "mode-effect" om ons te houden aan cloudoplossingen voor een betere elasticiteit, beschikbaarheid of zelfs, ten onrechte, om de IT-beveiliging te ontlasten. Deze keuze is niet noodzakelijkerwijs gerechtvaardigd en kan zelfs het tegenovergestelde effect hebben: het kwetsbaarder maken van het IS dan voorheen. Stel, het IS is gedeeltelijk of geheel gemigreerd en de klant wil zijn infrastructuur graag veiliger maken. In dat geval moet hij al zijn diensten configureren volgens aanvaardbare beveiligingspraktijken, zoals het principe van least privilege voor alles wat met toegang en identiteiten te maken heeft.

Welke configuraties raadt u aan?

Het is moeilijk om een precies antwoord te geven, omdat elk IS verschillend is en de noodzakelijke configuraties van het ene domein tot het andere volledig kunnen veranderen. Toch moeten bepaalde gemeenschappelijke principes gerespecteerd worden, zoals de toepassing van het least privilege-principe (hierboven vermeld), een goed beheer van de inkomende stroom (whitelisting van IP-bronnen, sluiten van onnodige poorten, real-time verkeersbewaking, etc.), of de installatie van beschermingsoplossingen op het niveau van de dienst (WAF bijvoorbeeld) of het niveau van de gebruikersmachines (HIDS/HIPS). Deze aanbevelingen zijn slechts enkele van de vele voorbeelden, en veel CSP-specifieke oplossingen zijn beschikbaar voor klanten via de markt.

Hoe kunnen CSP's hun cloudomgeving verder beveiligen?

Cloud-omgevingen die door CSP's aan hun klanten ter beschikking worden gesteld, zijn wereldwijd standaard beveiligd. Er zijn natuurlijk publieke kwetsbaarheden die regelmatig worden gedetecteerd door IT-beveiligingsonderzoekers, maar deze worden zeer snel opgevangen en gecorrigeerd door de CSP's. Vandaag de dag bevatten de clouddiensten die beschikbaar zijn voor klanten allemaal beveiligingselementen. Klanten moeten echter weten hoe ze deze correct kunnen configureren door de juiste beveiligingsprincipes te integreren.

Welke best practices zou u de eindgebruikers adviseren?

Best practices die van toepassing zijn op gebruikers van een on-premise IS gelden ook voor cloudgebruikers, zoals het gebruik van sterke wachtwoorden, het installeren van vereiste updates, enz. Als een aanvaller er dus in slaagt het werkstation van een cloud-gebruiker in gevaar te brengen, zal de verspreiding ervan worden vertraagd door deze praktijken toe te passen.

Incident Response Hotline

Facing cyber incidents right now?

Contact our 24/7/365 world wide service incident response hotline.

Tel: +31 184 78 81 11