Microsoft’tan John Lambert, “Savunucular listelerle düşünür, saldırganlar ise grafiklerle düşünür” diyerek BT sistemlerini savunanlar ile bu sistemleri tehlikeye atmaya çalışanlar arasındaki temel zihniyet farkını ortaya koyuyor.
Savunmacıların geleneksel yaklaşımı, doğrudan ağdaki varlıklarıyla ilgili güvenlik açıklarını listelemek ve en kritik olandan başlayarak mümkün olduğunca fazlasını ortadan kaldırmaktır. Rakipler ise tam tersine, nihai hedefi akıllarında tutarak başlar ve ihlale giden yolu çizmeye odaklanır. Genellikle güvenlik zincirindeki en zayıf halkayı arayacaklar ve saldırıyı oradan kraliyet mücevherlerine kadar ilerletecekler.
Güvenlik ekipleri, kuruluşlarının siber güvenlik savunmalarının yeterli olduğundan emin olmak için saldırganın bakış açısını benimsemelidir. Günlük hayattan bir örnekle benzetme yaparsak, evimizi izinsiz girişlere karşı korumanın standart yolu tüm kapıların kilitli olmasını sağlamaktır. Ancak evinizin korunduğunu doğrulamak, güvenliğinizi bir hırsız gibi test etmeyi gerektirir: kilitleri açmaya çalışmak, pencerelere tırmanmak ve ev anahtarlarının “güvenli bir şekilde” saklanabileceği yerleri aramak.
Sızma testi tam olarak bu ihtiyaca hizmet eder: Saldırganın nelerin tehlikeye girebileceğine ilişkin görüşünü sağlar. Sızma testi uygulaması onlarca yıldır yapılıyor ve ağlarımızın kötü niyetli saldırılara karşı ne kadar dayanıklı olduğunu ortaya çıkarmaya yardımcı oluyor. Ancak modern işletmelerin bulut hizmetleri kullanımını artırmasıyla birlikte, geleneksel sızma testi konseptini buluta uygulamak da bir o kadar gerekli hale geldi.
Bulut Güvenli Bir Liman Değil – Neyi Korumanız Gerektiğini Bilin
Bulut mimarileri, programatik olarak tanımlanan ve hızla değişen kaynakları, kimlikleri ve yapılandırmaları içerir. Sonuç olarak bulut, ilave siber güvenlik karmaşıklığı içeren bir pandora kutusu olabilir. Önde gelen bulut hizmeti sağlayıcıları sıkı güvenlik uygulamaları uygularken, bu durum, bulut varlıklarını güvence altına alma sorumluluklarının farkında olmayan kuruluşlar için, Sözleşme’de tanımlandığı gibi, yanlış bir güvenlik algısı oluşturabilir. bulut paylaşılan sorumluluk modeli. Bu nedenlerden dolayı bulutta sızma testi, geleneksel ağ sızma testi kadar önemlidir, hatta bazı durumlarda daha da önemlidir.
Bu blog yazısında, saldırganların bulutunuzdaki güvenlik açıklarını nasıl arayıp bu açıklardan nasıl yararlandığına odaklanarak buluta sızma testinin temel yapı taşlarını inceliyoruz.
Bulut Sızma Testiniz Neleri Kapsamalı?
Seçtiğiniz bulut hizmetlerinin dağıtım modeline bağlı olarak güvenlik konusundaki sorumluluğunuzun sınırları farklılık gösterebilir. Genel anlamda bulut hizmet sağlayıcılarının sorumluluğu sizin sorumluluğunuzun başladığı yerde biter. Bulut sağlayıcısı, hizmetlerini sağlayan donanımın ve temel yazılımın güvenliğinden sorumludur. Bulutta oluşturduğunuz her şeyi (verileriniz, anahtarlarınız, varlıklarınız, hizmetleriniz, uygulamalarınız ve yapılandırmalarınız) korumak sizin sorumluluğunuzdadır. Amazon Web Services’te (AWS) bulutta yerel uygulamalar geliştirmek için Lambda işlevlerini kullanmanın bir örneğini düşünün. AWS, bilgi işlem ve depolama altyapısının ve Lambda hizmetinin güvenliğini ele alsa da kuruluşunuzun koduna ve kaynaklarına erişimin güvenli olmasını sağlamak sizin sorumluluğunuzdur. Bu nedenle, geliştiricilerinizin, hassas verileri tehlikeye atmak veya kötü niyetli aktörler tarafından ele geçirildiğinde ağda yanal olarak hareket etmek için kullanılabilecek kimlik bilgilerini işlevlerin kodunda veya ortam değişkenlerinde saklamadıklarından emin olmak size kalmıştır.
Çeşitli ihlal senaryolarına hazırlanmak için sızma testlerinde farklı başlangıç noktaları kullanılmalıdır:
- Kara Kutu – test cihazının bulut ortamında ilk erişimi yoktur.
- Gri Kutu – Testi yapan kişi, bir kimliğin tehlikeye atılması durumunda olası etkiyi (“patlama yarıçapı” olarak da bilinir) göstermek için ilk giriş olarak seçilen bir kullanıcının veya rolün kimlik bilgilerine sahiptir.
Hibrit bulut ve şirket içi ağlara sahip kuruluşlar için riske maruz kalmanın tam ve doğru bir şekilde anlaşılması, yalnızca bu ortamlar arasında geçen saldırı yollarının test edilmesi yeteneği ile sağlanabilir. Örneğin, Şirket İçi bir makinenin güvenliği ihlal edilir ve saldırgan, makineden kimlik bilgilerini toplamak için bir RCE çalıştırır. Saldırgan, tarayıcı parolası ayıklamayı kullanarak bir Azure VM üzerinde ayrıcalıklara sahip bir geliştiricinin kimlik bilgilerini elde eder. Buradan itibaren bulutu aşmanın yolu açılır ve bu süreç, saldırgan ortamdaki en yüksek ayrıcalıklara sahip olana ve herhangi bir kaynaktan istediği zaman yararlanabilene kadar farklı makinelerde tekrarlanır. Bu nedenle, bulut penetrasyon testleri, şirket içi ilk erişimin bir saldırganın bulut kaynaklarını tehlikeye atmasına yol açabileceği veya bunun tersinin mümkün olduğu senaryoları kapsamalıdır.
Bulut penetrasyon testi için beş temel yapı taşı şunlardır:
1. Keşif ve Keşif
Bu ilk adım, kuruluşunuzun bulut ortamındaki tüm varlıkların eşlenmesini gerektirir; iş yükleri, depolama, veritabanları ve kimlikler. Bu aşamada toplanan bilgiler, bir test kapsamında kullanılabilecek veya hedeflenebilecek varlıkların kapsamını ve saldırı eylemlerini başlatmak için bir temel sağlar.
Geleneksel ağ sızma testinde test kapsamı genellikle teste dahil edilecek uç noktaların IP adresleriyle tanımlanır. Bunun aksine, bulut kaynakları benzersiz tanımlayıcılarla tanımlanır ve bunlara erişim API’ler aracılığıyla sağlanır. Bu nedenle, bulut sızma testlerinde keşif için tipik yaklaşım, testin başında kuruluşun bulut API’sine bağlanarak varlık bilgilerini toplamaktır.
2. Güvenlik Açığı Değerlendirmesi
Bulut varlıklarınızdaki yanlış yapılandırmaları ve bilinen yazılım açıklarını ortaya çıkarmak için bulut yapılandırma incelemeleri ve güvenlik açığı taramaları gerçekleştirilmelidir. Örneğin, bulut ağ güvenliği, güvenlik duvarları, sanal özel ağlar (VPN’ler), erişim ve ağ bölümlendirme ayarları gibi kontrollerin yapılandırması değerlendirilerek değerlendirilmelidir. Bu süreç, yetkisiz erişime, yanal harekete, ayrıcalık yükseltmeye ve veri sızmasına izin verebilecek, genel olarak erişilebilen kaynaklar veya güvenli olmayan Sanal Özel Bulut (VPC) eşleme bağlantıları gibi zayıflıkları belirlemek için gereklidir.
Yüksek risk altındaki diğer bir kaynak da, tasarımları gereği internete açık oldukları için genellikle bilgisayar korsanları tarafından hedef alınan web uygulamalarıdır. Güvenlik kontrollerinin ve yazılım güvenliği uygulamalarının hizmetlere ve hassas verilere yetkisiz erişime izin vermediğini doğrulamak için sızma testinin bulutta barındırılan web uygulamalarını kapsaması gerekir. Test şunları içermelidir: OWASP’ın İlk 10’u giriş doğrulama, SQL enjeksiyonu, siteler arası komut dosyası oluşturma (XSS) ve Sunucu Tarafı İstek Sahteciliği (SSRF) gibi güvenlik riskleri.
Ancak güvenlik açığı taramaları yalnızca başlangıçtır. Tespit edilen yanlış yapılandırmaların ve güvenlik açıklarının, bir saldırıyı tıpkı bir düşmanın yapacağı gibi yaymayı hedefleyerek istismar edilebilirlik açısından test edilmesi gerekir. Örneğin, genel erişime açık bir bulut depolama grubu tespit edilirse, içeriği değerli sırlar açısından taranarak veya veri sızdırmaya çalışılarak test edilebilir.
3. Ayrıcalığın Arttırılması
Ayrıcalık yükseltme yöntemleri, saldırganlara daha hassas verilere, uygulamalara ve hizmetlere erişim izni verebilir. Saldırganlar aşağıdakileri yaparak daha yüksek ayrıcalıklar elde etmeye çalışır:
- Ağda daha yüksek ayrıcalıklar elde etmek için tasarlanmış güvenlik açıklarından ve yanlış yapılandırmalardan yararlanmak
- Olmamaları gereken gruplarda bulunan kullanıcılar ve aşırı hoşgörülü roller gibi kimlik ve erişim yönetimindeki (IAM) boşluklar
- Kimlik bilgisi toplama yoluyla daha yüksek ayrıcalıklara sahip kimliklerin tehlikeye atılması – dosyalar, kabuk geçmişi, kayıt defteri, ortam değişkenleri, dağıtım araçları ve bunlarla sınırlı olmamak üzere çeşitli kaynaklarda uygunsuz bir şekilde depolanan kimlik bilgilerinin, anahtarların ve oturum belirteçlerinin bulunmasını ve açığa çıkarılmasını içeren bir dizi teknik. tarayıcılar.
Ayrıcalık yükseltme, geleneksel ağlarda kullanılan yaygın bir saldırı tekniği olsa da, bulutta bu tür saldırıları önlemek için kimlikleri ve erişimi güvence altına almanın zorluğu katlanarak artıyor.
Birincisi, bulut IAM mimarilerinin karmaşıklığı çok daha fazladır. Bulut kaynaklarının otomatik olarak düzenlenmesini desteklemek için uygulanan insan ve makine kimliklerinin bolluğu ve karmaşık erişim kontrolü politikalarının, saldırganların kolayca yararlanabileceği riskleri ortaya çıkarması muhtemeldir. Sadece bu da değil, Bulut ve Şirket İçi Erişim kontrollerinin birleşimi çok karmaşık bir kural sistemine yol açabilir ve saldırganlar bu karmaşıklıktan beslenir.
İkincisi, uygulamalarını oluşturmak için bulut altyapısını kullanan geliştiriciler genellikle kodlarına sabit kodlanmış sırlar yerleştirir ve bunları kaldırmayı unutabilir veya ihmal edebilir, bu da onları kötü niyetli aktörlerin eline açabilir.
4. Yanal Hareket
Testler, saldırganların ek hassas veriler veya sırlar toplamak ve saldırılarını ilerletmek için kullanabileceği bulut kaynakları arasındaki olası yolları belirlemelidir.
Hibrit ortam test senaryolarında, şirket içinden buluta veya tam tersi yönde geçiş yapmak için yanal hareket teknikleri denenebilir. Bu nedenle bulut ortamını silo olarak korumak işe yaramayacaktır. Kuruluşlar, saldırı yüzeyinin tamamına (dahili ağ, dışarıya dönük varlıklar ve bulut ortamları) yayılan saldırılardan etkilenebilir. Rakipler, kurumsal saldırı yüzeylerini bağlantısız varlıklar olarak değil, tek bir yüzey olarak görüyor; bu nedenle savunucuların, saldırıları engellemek için etki alanları arasında çalışarak benzer bir yaklaşım izlemeleri gerekiyor. Bulutu güvence altına almak için ona giden tüm yolları doğrulamak gerekir.
5. Veri Toplama ve Sızma
Bulut bilişimde veri toplama, doğası gereği kredi kartları, kişisel bilgiler, şifreler vb. gibi çoğunlukla hassas olan birden fazla kaynaktan veri toplanması anlamına gelir. Saldırganların hassas bilgileri ele geçirmek için bir ağa sızmasının ana nedeni budur. Bazen saldırganlar, sızdırmak istedikleri verileri yoğunlaştırmak için bir ön adım olarak verileri merkezi bir konumda saklarlar.
A bulut sızma testi Verileri toplama ve daha sonra harici bir konuma sızdırma yeteneğini değerlendirmeli ve bilinen IOC’lere sızdırmayı önleyip önlemediklerini test etmek için ağ güvenlik kontrollerini doğrulamalıdır.
Bulut Sızma Testi: Başarının Anahtarları
Bulut sızma testi yolculuğuna başladığınızda, bulut hizmetlerinizin ve varlıklarınızın kapsamını ve ortak sorumluluk modeline göre saldırı yüzeyinin hangi bölümlerinin korunması gerektiğini anlamak için biraz zaman harcamanız çok önemlidir. Böylece kuruluşunuzun maruz kaldığı risk bağlamında bulut pentest yatırımları konusunda bilinçli kararlar vermek mümkün olur.
Son olarak, bir bulut sızma testi programının etkinliği yalnızca testin derinliği ve kapsamıyla değil aynı zamanda test sıklığıyla da belirlenir. Şirket içi ağlardaki değişimin hızı, uzun manuel sızma testi döngülerinin etkinliğine darbe vuruyor. Bulutta, bu bir nakavt. Tıpkı bulut ve Ar-Ge ekiplerinin bulut operasyonlarını ve dağıtımlarını otomatikleştirmesi gibi, güvenlik ekipleri de bulut penetrasyon testi faaliyetlerini otomatikleştirmeye yönelik vites değiştirmeli ve sonuçta Sürekli Entegrasyon/Sürekli Dağıtım döngüsünü Sürekli Doğrulama ile tamamlamalıdır.
Şirketinizin bulutta yerel saldırılara karşı dayanıklılığını güvenle doğrulamak için şu konularda daha fazla bilgi edinin: Pentera Bulutuve aşağıdakiler hakkındaki İsteğe bağlı kaydı dinleyin: Bulut Güvenliğini Stres Testine tabi tutmak.