要战胜黑客,你必须像黑客一样思考。最好的云渗透测试让您透过网络攻击者的视角来审视。
深入了解黑客的思想,了解如何最好地进行云渗透测试。
什么是云渗透测试
如果您的组织曾经进行过定期的系统渗透测试或红队演习,那么您会觉得云渗透测试很熟悉。在云渗透测试、大多数可用工具以及云是私有的还是公共的方面存在一些关键差异。但计划和执行大体上保持不变。
从本质上讲,任何类型的渗透测试都是一种准备计划。这是一种模拟对您的信息系统进行网络攻击的方法,也是一种确定漏洞的方法。它们是测试系统弹性的好方法。
进行云渗透测试
如前所述,进行渗透测试需要一些操作;你必须让自己站在黑客的角度。考虑到这种情绪,测试系统弹性和安全性的最佳方法是尝试自己破解它。
这样,您将在攻击者之前发现漏洞,让您领先于他们一步。最好有一个定期进行渗透测试的计划。最后,您应该始终在网络更新后进行云渗透测试;这样您就可以避免零日攻击。
为此,您需要一个执行渗透测试的计划。最好准备好攻击和防御场景来测试自动化防御系统,同时也有可能发现漏洞。
但是,云渗透测试和常规系统渗透测试之间存在一些关键差异。主要区别来自云提供商的政策。
除非您运行私有云,否则这个因素会使云渗透测试变得复杂。大多数云提供商将允许您在给予足够通知的情况下进行渗透测试。
在没有警告您的提供商的情况下运行云渗透测试可能会导致网络关闭。在他们的系统上,它可能看起来像DDoS攻击其次,大多数公共云基础设施充当公寓街区,您只是在该公寓租用空间。
进行未经授权的渗透测试就像在您的地板上钻孔并导致楼下邻居的公寓发生泄漏;这不是很好。因此,云渗透测试会减慢其他用户的服务速度。
如果有足够的通知,提供商更有可能让您对您的网络进行渗透测试。
确保您熟悉提供商的政策,并且您的组织不会违反任何潜在法律。
但是,假设您的提供商为您开了绿灯;下一步是什么?
创建云渗透测试计划
pent-test 计划本质上充当您实验的参数。这将是您在测试结束时测量的表,以查看您的表现。
根据您尝试测试的内容,参数会有所不同,但云渗透测试应涵盖一些一般要点。
你会想要:
- 识别测试系统:这些是在云网络上运行的所有应用程序、设备、API 等。例如,您的云基础架构可能会与 Google 或 Facebook API 交互以实现无缝登录。在这种情况下,您需要将这些受影响的 API 添加到测试列表中。或者可能在云网络上运行的某些应用程序可能会危及系统,例如密码管理器。
- 头脑风暴接入点:计划的下一步是发现云网络的潜在接入点。这可以通过通过网络发送和接收的数据包或通过路由器和子网等直接网络访问来实现。
- 确定交易工具:黑客将拥有一个“工具箱”,他们在分析最佳攻击方法时会参考这些“工具箱”。你也必须这样做。市场提供了广泛的渗透测试工具。每个工具都适合特定的工作;例如,可以生成随机密码的蛮力工具。作为计划阶段的一部分,您必须选择最合适的。
- 方法论和方法:在 计划阶段的最后部分,您应该决定如何进行测试。从员工和人员中产生最真实的反应是一种盲目的测试吗?谁将成为渗透测试团队的一员,攻击和防御场景将是什么?
行动计划可能会根据您的行业、云是公共云还是私有云以及您可以使用的资源而有所不同。即使资源有限,建议进行适合您预算的渗透测试,因为它仍然可以产生价值。
执行计划,分析响应
制定好计划后,下一步是选择团队商定的时间并执行测试。一旦您决定与云提供商和渗透测试团队合作的时间,您只需在执行过程中观察结果。
大多数渗透测试工具都是自动化的,一旦执行就需要很少的输入来管理。
渗透测试的重点是查看系统对模拟攻击的反应。系统的主要“齿轮”要么是人,要么是流程。
观察人
如果您决定进行盲测,此时您应该观察员工的行为。一般来说,如果您的组织制定了一些安全政策并定期对员工进行安全意识培训,那么大多数人应该遵循程序并将威胁升级到组织的适当权限。
可以想象,工作人员几乎没有安全意识。在这种情况下,使用渗透测试根据员工对渗透测试的反应创建员工意识培训计划。
请记住,渗透测试是一种旨在寻找漏洞的模拟。如果您发现某些员工违反协议,请将其用作教学机会。
记录员工行为中的任何异常:
- 他们会关闭他们的机器吗?
- 他们正在调查并报告它吗?
此文档将在稍后的报告中使用。
观察过程
您应该与员工观察一起观察流程,因为测试将在员工使用的信息系统上运行。一般来说,需要注意的事项是:
- 自动防御是否按预期运行?
- 它是否检测到攻击?
- 是在部署对策吗?
- 测试期间是否有 SIEM 软件处于活动状态?这是否按预期工作?
- 您是否有活跃的安全团队,他们是否知道攻击?
- 他们会及时回应吗?
这些是您的组织应该问自己的一些问题。您应该监控的事物类型将根据您运行的测试类型、组织的行业和其他此类因素而变化。在计划阶段花一些时间充实可观察的内容。
一旦您进行了观察并正确记录了它们,就该进入渗透测试的最后阶段了。
报告和消除漏洞
现在是报告渗透测试结果的时候了,以便您可以进行必要的更改。在此阶段,您需要将所有数据和文档整合到一个地方,并与团队一起进行分析。
您应该回顾在规划阶段设定的参数,以便为您提供关于哪里出错和哪里正确的量化证据。
检查参数是否通过渗透测试。例如,如果您正在测试与云基础设施接口的特定 API,并且在使用第三方 API 访问系统后,渗透测试工具之一返回成功的违规事件。
这个结果意味着参数失败。它应该被标记为需要修补或丢弃的漏洞。
如果参数通过测试,您可以将其标记为成功的防御。在这些情况下,您不必对此做任何事情,因为它不是漏洞,但最好注意胜利。
一旦您注意到结果,就可以修补、删除和修复任何已报告的问题。这是整个过程中最重要的一步。这些漏洞可能从轻微的操作损害到全面的组织关闭不等。
您应该优先考虑对业务运营构成最高风险的漏洞。
鉴于该测试是云渗透测试,因此某些漏洞很可能不会出现在客户端。这意味着您必须联系云服务提供商,并在发现任何漏洞时立即通知他们,因为这可能会影响使用服务的任何人。
在这些情况下,如果可能,最好停止使用任何云服务,直到漏洞得到修补。尽快修复它符合云服务提供商的最大利益。
云渗透测试如何使您受益
在快节奏的数字时代,商业生活和个人生活有着内在的联系,为我们遇到的所有网络攻击做好准备是一项挑战。
但是,提高我们的感官从来没有坏处。定期进行云渗透测试将确保安全团队和组织处于领先地位。
这可能归结为“期待意外”。尽管如此,通过渗透测试,您将减少闻所未闻的威胁完全摧毁您的业务运营能力的可能性。
分解好处
- 提高工作人员和人员的意识和总体准备。
- 暴露云基础架构中的弱点。
- 修补漏洞,最终将帮助云的每个用户(在公共云服务的情况下)。
- 降低风险并解决效率低下的问题,从而最终降低您的成本。
这和更多是您的组织将通过云渗透测试体验到的一些好处。
通过 布尔云安团队了解更多信息
利用我们博客中的丰富信息,并处了解有关渗透测试的所有消息。至于其他的,就交给我们吧。