W dzisiejszych czasach powszechną praktyką jest przeprowadzanie okresowych testów bezpieczeństwa lokalnej sieci, jednakże rzadko kiedy właściciele firm decydują się na podobne testy ich środowisk chmurowych. Musimy zrozumieć nowe zagrożenia i ryzyka, które pojawiły się wraz z usługami chmurowymi oraz jak powinniśmy zmienić nasze podejście do ich testowania. Celem prezentacji jest pokazanie konieczności testowania środowiska chmurowego oraz jak bardzo różni się ono od testów środowiska opartego o klasyczną architekturę. W formie dema przedstawiony zostanie przykładowy atak na firmę wykorzystującą usługi AWS. Wykorzystując podatność w aplikacji webowej, a następnie szereg drobnych zaniedbań w konfiguracji AWS, prelegent pokaże jak potencjalny atakujący może krok po kroku przejąć rolę administratora AWS, a następnie usunąć wszystkie dowody swojej aktywnności. Na podstawie przeprowadzonego ataku i zebranych wniosków odpowie na pytanie "jak powinien wyglądać test bezpieczeństwa chmury?".
16. Co poszło nie tak?
• Podatna aplikacja
• Nadmiarowe uprawnienia
przypisane do „testowej” instancji
• Brak monitorowania użycia kluczy
roli poza instancją
Rzepsky
22. Co poszło nie tak?
• Brak monitoringu wrażliwych akcji
• Brak mechanizmów zapewniających
niezaprzeczalność logów (np. kopiowanie
logów w bezpieczne miejsce)
Rzepsky
24. Jak testować chmurę?
Przegląd architektury
– Czy nie ma „dodatkowych” komponentów (np.
kryptokoparka na boku 😉 )?
– Czy sama koncepcja systemu jest bezpieczna (np.
monitoring wrażliwych akcji bez uruchamiania
procesu reagowania)?
Rzepsky
25. Jak testować chmurę?
Przegląd konfiguracji usług
– Czy każda usługa jest skonfigurowana zgodnie z
najlepszymi praktykami (np. czy pracownik może
„podnieść” swoje uprawnienia)?
26. Jak testować chmurę?
Testy wrażliwych usług
– Testy aplikacji (np. SSRF/RCE/XXE)
– Testy serverless (np. „event injection” w Lambda)
Rzepsky
27. Jak testować chmurę?
Weryfikacja procesu monitorowania
– Czy możliwa jest ingerencja w zbierane logi (np. brak
kopiowania logów do odseparowanego miejsca)?
– Czy monitorowane są wrażliwe operacje (np.
tworzenie nowego użytkownika/nowych kluczy)?
– Czy jest zdefiniowany proces reagowania na wrażliwe
operacje?
Rzepsky
33. Zapraszam na nasze stoisko na mini
prezentacje:
• Aplikacje mobilne i jak je złamać?
• Krótka historia o phishingu
• Ciekawe przypadki podatności XXE
• Krk Analytica – studium wycieku danych z
chmury AWS