Derfor bør du ta en penetrasjonstest av skymiljøer

Feilkonfigurasjon er en av de større utfordringene ved en migrasjon til skyen, og de viktigste kildene til inntrenginger i skymiljøer. En penetrasjonstest kan bidra til å se om det er blitt innført nye sårbarheter basert på migrering til skyen, sier Anders Granerud, Teamleder for Pentesting i Orange Cyberdefense Norway AS.

Hvorfor bør virksomheter gjennomføre teknisk revisjon av sine skymiljøer?

Det er enkelt og raskt å ta i bruk skytjenester, og kan gi økonomiske og tekniske fordeler for et selskap. I tillegg er skystøtten modnet og godt utviklet med en rekke tjenester som kan dekke alle behov. Resultatet er at selskap av alle størrelser i stadig større grad bruker disse løsningene. Enten det handler om hele eller deler av infrastrukturen, er det uunngåelig at sensitiv informasjon og kritiske funksjoner utføres av skytjenester. Tilgang via skyen betyr større eksponering. Det er avgjørende å sikre at denne tilgangen ikke svekker det totale sikkerhetsnivået.

Hva kjennetegner penetrasjonstesting i et skymiljø?

I en vanlig penetrasjonstest er miljøet klart definert, for eksempel webapplikasjon, internt nettverk, API og så videre. En penetrasjonstest i et skymiljø vil svært ofte kombinere en test fra Internett eksponert sone og en intern test inne i selve skyen. Både de som har alle tjenester i skyen og de som har delvis sky-tjeneste må kunne bruke skyløsningen over Internett. Testen består i første trinn av en ekstern Internett penetrasjonstest hvor vi prøver å infiltrere kundens sky via de ulike elementene som er eksponert for Internett (servere, lagringsområder osv.). Hvis denne testen lykkes, utfører vi deretter en intern inntrengingstest for å kontrollere skyen og identifisere de eksisterende sårbarhetene.

Brukes de samme metodene og angrepsverktøyene som i en vanlig penetrasjonstest?

Vanligvis handler den første delen av penetrasjonstesten om å søke etter og utnytte vanlige sårbarheter ved hjelp av konvensjonelle verktøy. Først når vi har infiltrert kundens sky, kan vi bruke verktøy som er spesifikke.

Brukes ulike teknikker for ulike skytjenesteleverandører?

Hvis vi bare håndterer angrepsteknikker som er spesifikke for skymiljøer: ja, for da bruker vi helt ulike tilnærminger for de ulike skytjenesteleverandørene. Løsningene til de ulike skytjenesteleverandørene varierer svært mye mellom Amazon, Google og Microsoft for å nevne noen. Dette er fordi de er basert på ulike teknologier.

Hvilke sårbarheter er det enklest å utnytte?

De fleste sårbarhetene som utnyttes under en penetrasjonstest skyldes at de ansvarlige har vært uaktsomme med skykonfigureringen. Ofte vil kunder som bruker et offentlig skytilbud tro at alt de konfigurerer i skyen er beskyttet mot eksterne angrep. Dette er en ganske vanlig misforståelse. Resultatet er at kundenes årvåkenhet svekkes i forhold til IT-sikkerhet i skymiljøene. Det er ikke uvanlig at vi under våre tester finner konfigurasjonsfeil som fører til innbrudd i kundenes sky med delvis eller til og med full kompromittering av skyen.

Har du noen råd?

Virksomheten kan sette i gang tiltak på flere nivåer for å sikre skymiljøene sine. For det første er det avgjørende at de som har ansvar for infrastrukturen slutter å tenke at hele eller deler av infrastrukturen må være i skyen. Vi ser at det har blitt vanlig å bruke skyløsninger for å oppnå mer fleksibilitet og tilgjengelighet og at man tror at det fører til mindre arbeid for IT-sikkerhetsteamet. Dette stemmer dårlig med virkeligheten og kan til og med gi motsatt effekt ved at infrastrukturen blir mer sårbar. Selskap som ønsker å gjøre infrastrukturen enda sikrere etter at hele eller deler av den har blitt overført, må de konfigurere alle sine tjenester i tråd med beste sikkerhetspraksis, for eksempel i henhold til prinsippet om lavest mulig tilgangsnivå for alt som handler om tilgang og identiteter.

Hvilke konfigurasjonsendringer anbefaler du at man gjør?

Det er vanskelig å gi et nøyaktig svar siden alle infrastrukturer er forskjellige og siden de påkrevde konfigurasjonene kan endres helt fra ett område til et annet. Uansett er det noen felles prinsipper som gjelder, for eksempel POLP-prinsippet om lavest mulig tilgangsnivå, god styring av inngående trafikk, installasjon av beskyttelsesløsninger på servicenivå (WAF) eller på endepunkt. Disse anbefalingene er bare noen av mange eksempler og skyleverandør-spesifikke løsninger er også tilgjengelig for virksomheten via markedsplasser.

Hvordan kan leverandørene gjøre skymiljøene sine enda sikrere?

Skymiljøer fra anerkjente leverandører er vanligvis godt sikret. Det finnes selvfølgelig offentlige sårbarheter som jevnlig identifiseres av de som forsker på IT-sikkerhet, men disse blir svært raskt tatt hånd om og rettet opp av skyleverandørene. I dag vil alle skytjenester som er tilgjengelig, ha elementer med innebygd sikkerhet. Virksomheter må imidlertid forstå hvordan disse kan konfigureres korrekt ved å benytte de riktige sikkerhetsprinsippene.

Har du noen råd for sluttbrukerne?

Beste praksis for brukere av en lokal infrastruktur, gjelder også for skybrukere, for eksempel bruk av sterke passord, installasjon av påkrevde oppdateringer, to-faktor autentisering, phishing overvåkenhet osv. Hvis disse prinsippene overholdes, vil spredningen av angrep fra de som eventuelt klarer å kompromittere arbeidsstasjonen til en skybruker, skje mye langsommere.

Og helt til slutt hvis virksomheten din skal flytte til skyen, er det viktig at dere benytter spesialisert kompetanse på dette feltet for å unngå å gjøre feil i migreringen.