Пентестингът на облачни среди може да се извършва в режими на “черна кутия” или “бяла кутия” (снимка: CC0 Public Domain)
В непрекъснато еволюиращия свят на киберзаплахите облачната сигурност се очертава като критичен фактор за организациите по целия свят. И все пак сигурността в облака нерядко бива подценявана. Ефективен метод за гарантиране на безопасността на облачната инфраструктура на организацията е тестването с проникване – т.нар. пентестинг.
Облачните изчисления включват елементи на съхранение, обработка и управление на данни и функциониране на приложения на отдалечени сървъри, често предоставяни от трети страни – доставчици на услуги. Тази природа на услугите обаче е предпоставка за уязвимости, такива като неоторизиран достъп, теч на данни, неправилни конфигурации. Тестването с проникване служи като проактивен подход за идентифициране и справяне с подобни слабости.
Как работи пентестингът в облака?
Изначално тестването с проникване симулира атаки от реалния свят. Целта на тестера е да открие и използва уязвимостите в облачната инфраструктура и после да докладва на искащия субект, обикновено главния служител по информационна сигурност.
Цялата процедура се извършва съгласно указанията на доставчиците на облачни услуги. Откритите уязвимости или слабости трябва да бъдат коригирани възможно най-скоро, преди който и да е реален нападател да ги открие и да реши да ги използва.
По време на процеса може да бъдат открити и докладвани пробиви и течове на данни или други потенциални заплахи. Това е добре, защото позволява да се предприемат активни мерки за повишаване на облачната сигурност на организацията.
При облачния пентестинг задължително се подлагат на изпитване всички облачни компоненти: мрежовата инфраструктура, контролите за удостоверяване и за достъп, съхранението на данни, потенциалните виртуални машини, приложните програмни интерфейси, сигурността на приложенията.
Режими
Тестването за проникване може да се извърши в режим „черна кутия“. Това означава, че тестерите нямат предварителни познания за облачната инфраструктура и трябва да открият всичко сами, както би направил всеки външен атакуващ.
Съществува и тест за проникване в „бяла кутия“. При него тестерите имат познания за облачната среда и до голяма степен знаят в каква обстановка се „движат“.
Кои са най-честите облачни заплахи
Има няколко традиционни слабости, които е добре да се проверяват чрез пентестинга:
• Приложните програмни интерфейси позволяват взаимодействие между различни софтуерни компоненти и услуги и понякога са несигурни. Тези API може да са разработени без мисъл за сигурността и следователно да представляват уязвимост. Несигурните API могат да бъдат използвани от нападатели за добиване на неоторизиран достъп или манипулиране на данни.
• Лошо внедрен контрол на достъпа – това може да се получи, когато неоторизирани потребители получат достъп до чувствителна информация или ресурси. Проблемът произтича от неадекватно управление на потребителските оторизации, слаби политики за пароли и неправилно боравене с потребителските роли.
• Остарелият софтуер, работещ в облака, т.е. такъв, който не се актуализира редовно, е заплаха за организацията. Той може да съдържа сериозни уязвимости, които могат да бъдат използвани за получаване на неоторизиран достъп или за манипулиране на корпоративните данни.
• Отвличането на профили е друг риск. Техники като фишинг, социално инженерство или атака с груба сила за отгатване на парола могат да позволят на атакуващ да открадне идентификационните данни на потребителите и да компрометира техните профили. След като потребителски акаунт бъде отвлечен, хакерът може да да манипулира или ексфилтрира данни.
• Уязвимостите на споделените технологии са друго предизвикателство. Облачните среди често разчитат на споделена инфраструктура и платформи. Ако бъде открита уязвимост в основната технология, тя потенциално може да засегне множество клиенти, което да доведе до пробиви в сигурността.
• Зловредният софтуер може да проникне в облачните среди чрез използването на уязвимости или пък с помощта на социален инженеринг. Сигурността на данните и приложенията може да бъде компрометирана и нападателите могат да използват заразата, за да си осигурят достъп до различни части на корпоративната инфраструктура или да заразят повече потребители, включително посетители на уебсайтове.
• Неоторизираният достъп до чувствителни данни, съхранявани в облака, е сериозен проблем за компаниите. Това може да възникне поради слаби механизми за удостоверяване, компрометирани идентификационни данни, уязвимости или дори неправилна конфигурация в облачната инфраструктура.
Инструменти за тестване за проникване
Тестерите могат да използват различни инструменти в зависимост от особеностите на целта, облачните платформи и включените технологии. Изборът зависи до голяма степен и от опита на тестера.
• Цялостните рамки за пентестинг – такива като Metasploit или Cobalt Strike – често се използват при тестване за проникване в облачни среди. Те включват много опции, експлойти, различни натоварвания и спомагателни модули за оценка на сигурността на облачна инфраструктура. Опитните тестери, използващи подобни инструменти, могат да спестят значително време за тестване, за разлика от сценария с използването на множество различни инструменти.
• Скенерите за уязвимости като Nessus или неговата версия с отворен код OpenVAS се използват за идентифициране на пропуски в сигурността в облачни среди, като предлагат богати възможности за откриване на уязвимости и докладване.
Инструментите за сканиране като Nmap също са популярни за сканиране и откриване на хостове в инфраструктура и търсене на слабости или уязвимости.
Могат да се използват и по-специфични скенери, като sqlmap – мощен инструмент, който често се използва за откриване на уязвимости и SQL инжектиране в приложения, хоствани в облака.
• Мрежовите инструменти за анализ като Wireshark или Burp Suite се използват за намиране на уязвимости или слабости в мрежовите комуникации между тестера и облачната инфраструктура. Тези средства помагат за откриване на некриптирани комуникации или подозрително мрежово поведение в облачни среди.
• Разбивачите на пароли – т. нар. програми за кракване – също се използват от тестерите: ако паролата е достатъчно слаба, тестерът може да я разбие много бързо. Като ярък пример може да се каже, че парола от седем знака с букви, цифри и символи може да бъде разбита за по-малко от минута. За тази цел могат да се използват инструменти като Hydra или Hashcat.
Заключение
Тъй като популярността на облака продължава да нараства сред бизнес-потребителите, важността на пентестинга за сигурността на облачните услуги не бива да се подценява. Чрез извършване на цялостни оценки на различни облачни компоненти организациите могат проактивно да идентифицират уязвимостите, да се защитят и да укрепят облачната си инфраструктура срещу потенциални атаки.