W dzisiejszych czasach powszechną praktyką jest przeprowadzanie okresowych testów bezpieczeństwa lokalnej sieci, jednakże rzadko kiedy właściciele firm decydują się na podobne testy ich środowisk chmurowych. Musimy zrozumieć nowe zagrożenia i ryzyka, które pojawiły się wraz z usługami chmurowymi oraz jak powinniśmy zmienić nasze podejście do ich testowania. Celem mojej prezentacji jest pokazanie konieczności testowania środowiska chmurowego oraz jak bardzo różni się ono od testów środowiska opartego o klasyczną architekturę. W formie dema przedstawię przykładowy atak na firmę wykorzystującą usługi AWS. Wykorzystując podatność w aplikacji webowej, a następnie szereg drobnych zaniedbań w konfiguracji AWS, pokażę jak potencjalny atakujący może krok po kroku przejąć rolę administratora AWS, a następnie usunąć wszystkie dowody swojej aktywności.
13. What is metadata?
• Data about your instance
• It's a link-local address, accessible ONLY from your
instance!
• May include access keys to Instance Profile:
www.securing.biz
http://169.254.169.254/latest/meta-data/iam/security-credentials/
http://169.254.169.254/latest/meta-data/
35. Persist access
• Bind shell in User Data with backdoor in Security Groups
• Lambda backdoor which creates IAM user when specific
CloudWatch Event occurs
• Backdoor via cross-account Trust Policy
• Add extra keys to existing user
www.securing.biz
45. • Are there any extra,
undocumented resources?
• Is the system architecture free
from design flaws?
Cloud security assessment: architecture review
www.securing.biz
46. Cloud security assessment: configuration review
• Are all cloud services configured
in compliance with best
practices?
www.securing.biz
47. • Are your applications free
from vulnerabilities like
RCE/SSRF/XXE etc.?
• Is the Serverless code secure
(e.g. free from "event
injections")?
Cloud security assessment: pentesting sensitive services
www.securing.biz
48. • Do you monitor sensitive
actions?
• Do you have defined incident
response procedure?
Cloud security assessment: verifying monitoring processes
www.securing.biz
49. Secure cloud is harder to achieve than insecure one.
www.securing.biz
50. Capital One breach
www.securing.biz
source: https://1.bp.blogspot.com/-00lofPRFBwY/XT_KIOvkGYI/AAAAAAAA0nI/XYsIUxAUsS0KK3raHUKCjgWQpmYWMl2VwCLcBGAs/s728-e100/capital-one-data-breach-hacking.jpg