<img height="1" width="1" style="display:none" src="https://www.facebook.com/tr?id=244692402885131&amp;ev=PageView&amp;noscript=1">

Case study: Pentest-funn i skyen

Chris Dale

28. jan 2019


Skybaserte tjenester har det siste tiåret etablert seg som et reelt alternativ både på maskinvare-, applikasjons- og datalagringsnivå, og norske virksomheter er verdensledende på å kjøpe disse tjenestene.

De fleste virksomheter benytter i større eller mindre grad skybaserte tjenester, enten i form av nyetablerte tjenester eller en gradvis flytting av tjenester opp i skyen. Dette gjelder Office 365, Azure, AWS, Google og et mangfold av SaaS-baserte tjenester.

Tidligere har vi skrevet om hvordan sikkerhetstesting i skytjenester fungerer, og at det har mange fordeler.

Samtidig er virksomhetene i større eller mindre grad bekymret for kontroll og sikkerhet ved bruk av skytjenester. Nye krav, eksempelvis GDPR, øker behovet for å ha kontroll på data som ligger i skyen, og ikke minst behovet for synlighet.

Faktorer du bør tenke på ved bruk av skytjenester

  • Mer og mer data går kryptert direkte mellom klient og skytjenester
  • Hvordan håndteres infiserte filer som kommer utenfra og inn via skytjenestene du bruker?
  • Hvordan vet du hvilke data som legges hvor? Blir dette styrt ut ifra en policy?
  • Hvem er det egentlig som har ansvaret for sikkerheten i skyen?
  • Følger skyleverandøren norsk lovverk?
  • Hvis verdiene av dataene blir større en verdiene av selskapet, hvem eier dataene hvis skyleverandøren går konkurs? Gjelder kontraktene da?

 

Dette finner vi når vi pentester skybaserte tjenester

En stor del av penetrasjonstestene vi gjør, er mot skybaserte tjenester. Testene våre viser at man ikke er sikrere i skyen, snarere tvert imot. Riktignok er selve infrastrukturen sikker, men man må fortsatt ivareta sikkerhet i applikasjoner og tjenester – og her finner vi ofte svakheter.

La oss se nærmere på typiske pentest-funn i skyen:

  • Det legges ut tjenester hvor man ikke har kontroll over angrepsflaten.
    • Skyen eksponerer mange forskjellige typer tjenester, de fleste kan enkelt settes opp via pek-og-klikk-oppsett, uten forståelse for den bakenforliggende kompleksiteten. Ofte eksponerer disse tjenestene angrepsflate som går uoppdaget hen, helt til en angriper finner dem og klarer å utnytte dem.
  • API, eller tjenester som ServiceBus og tilsvarende, ligger eksponert på internett og kan enkelt utnyttes til å kjøre kode eller å komme videre inn i systemene.
    • Dessverre er det mange som, uten at de nødvendigvis forstår det, baserer seg på “security through obscurity” når det gjelder skyløsninger. Mangel på tilgangskontroll ser vi at det er flere som har utfordringer med. Vi ser ofte at feil eller manglende bruk av rettighetsstyring gjør at tjenester eller informasjon blir liggende eksponert på internett.
  • Virtuelle maskiner aktivert med remote-tjenester RDP eller SSH som standard i Azure.
    • Ikke alle er kjente med at løsninger eksponerer tjenester per standard, og blir raskt forsøkt utnyttet av kriminelle. Vi har sett i flere av våre penetrasjonstester, men også i hendelseshåndtering øyemed, at kunder blir utnyttet via tjenester som aldri skulle ligget lett tilgjengelig på Internett.
  • Vi finner ofte svake/usikre integrasjoner og API-er som gjør det mulig å ta seg inn eller kjøre kode.
    • Det gjøres mye integrasjoner mellom forskjellige software og plattformtjenester i skyen. Vi ser at disse ikke alltid er gjort på en god måte, og eksponerer svakheter som ikke tidligere var tiltenkt.
  • Dårlig/usikker kode i tjenester, noe som kan brukes til å få tilgang eller kjøre annen kode.
    • Dette er så klart også et standard funn i vanlige penetrasjonstester, men i skyen ligger det iblant forventninger til at skyen beskytter løsninger mot angrep. Muligens på grunn av den enkle abstraksjonen av ellers tekniske løsninger, tar utviklere mindre ansvar for å programmere trygg kildekode, og forventer heller at løsningene i skyen skal være trygge.
  • Dårlig beskyttelse av administratorkontoer, noe som gir tilgang til hele skyplattformen.
    • Administrasjon av skyen gjøres hos mange via egne personlige hotmail-kontoer, uten multifaktorautentisering og via kontoer som har dårlige eller enkle passord tilknyttet dem.
  • Tilgang til mailkontoer
    • Dette er ikke et nytt fenomen, men med utbredt bruk av Office 365, Skype for Business m.m. gjøres angrepsflaten enklere tilgjengelig, og kan typisk brukes til å finne kontoer med dårlige passord. Spesielt felleskontoer, f. eks. salg@bedrift.no, har spesielt svake passord. Ved innbrudd i slike kontoer kan dette i noen tilfeller medføre at angripere kan kjøre programkode på klientene som aksesserer denne mailkontoen i skyen. I noen tilfeller finnes det passord kommunisert i mailkontoer, noe som øker angrepsflaten for angriperne.

Les også: Hvem er ansvarlig for din informasjonssikkerhet i skyen?

 

Aperture fra Palo Alto Networks

Netsecurity leverer en rekke tjenester og løsninger for å hjelpe bedrifter med å få kontroll over data i skyen. Blant annet jobber vi tett med vår hovedpartner Palo Alto Networks.

Les mer om Aperture

 

New call-to-action



NO|EN