Secura entwickelt 'BrokenAzure.Cloud', ein CTF-Tool zum Testen von Azure Cloud-Kenntnissen


Da Cloud-Dienste immer beliebter werden, verzeichnet Secura auch eine steigende Nachfrage nach Audits und Pen-Tests von Cloud-Umgebungen. Um diese Audits/Tests durchführen zu können, müssen Cloud-Sicherheitsexperten über spezifische Fähigkeiten verfügen. Es gibt viele Kurse und Zertifizierungen für Cloud-Umgebungen, die jedoch oft nicht über die nötigen Kenntnisse verfügen, um die Dienste vollständig zu verstehen. Aus diesem Grund hat Secura das CTF-Tool BrokenAzure.Cloud entwickelt.


In diesem Blog erfahren Sie mehr über:

  1. Der wachsende Bedarf an Cloud-Sicherheitsanalysten
  2. Forschungszweck für das CTF-Tool
  3. Häufige Schwachstellen in Azure-Umgebungen
  4. Das CTF als Endergebnis
  5. BrokenAzure.cloud auf der DEF CON 2022
  6. Die zukünftige Arbeit des Tools

Der wachsende Bedarf an Cloud-Sicherheitsanalysten

Traditionelle Vor-Ort-Lösungen und Hardware werden zunehmend durch (native) Cloud-Services ersetzt. Dies hat den Vorteil, dass keine Hardware-Wartung erforderlich ist, die Einstiegskosten niedrig sind und die Skalierbarkeit praktisch unbegrenzt ist. In dem Maße, in dem das Interesse an Cloud-Infrastrukturen zunimmt, wird auch die Cloud-Sicherheit zu einem immer wichtigeren Thema.

Unternehmen verlangen zunehmend Sicherheitsaudits und Penetrationstests für ihre Cloud-Umgebungen, um sicherzustellen, dass die Cloud-Infrastrukturen korrekt und sicher konfiguriert sind. Cloud- und On-Premises-Infrastrukturen sind sehr unterschiedlich, weshalb Sicherheitsanalysten bei der Prüfung einer Cloud-Infrastruktur andere Fähigkeiten benötigen. Es gibt verschiedene Kurse und Zertifizierungen, um zu lernen, wie man mit Cloud-Umgebungen arbeitet und sie prüft. Alle diese Kurse vermitteln den Teilnehmern ein umfassendes Verständnis der Cloud-Sicherheit. Allerdings fehlt es ihnen oft an den tiefgreifenden Kenntnissen, die erforderlich sind, um Dienste vollständig zu verstehen und zu sichern.

Zwei Cloud-Experten und Ausbilder bei Bureau Veritas Cybersecurity, Ricardo Sanchez und Roy Stultiens, wollten diese Lücke füllen, indem sie eine absichtlich verwundbare Cloud-Umgebung, BrokenAzure.Cloud, entwickelten. Da Bureau Veritas Cybersecurity jungen Talenten die Möglichkeit geben möchte, zu forschen und neue Fähigkeiten zu entwickeln, wurde dieses Projekt in ein Praktikumsprojekt für den Studenten Siebren Kraak von der Fontys University of Applied Sciences ICT and Cyber Security umgewandelt. Dieses von ihm entwickelte Online-CTF-Tool ist rund um die Uhr verfügbar und muss daher nicht erst bei Bedarf eingerichtet werden, wenn jemand es nutzen möchte.

Forschungsziel

Das Ziel dieses Projekts ist es, zu untersuchen, wie ein CTF-ähnliches Tool erstellt werden kann, mit dem Secura die Azure-Cloud-Kenntnisse von (Cloud-)Sicherheitsanalysten testen und verbessern kann. Das Tool sollte mehrere Herausforderungen enthalten, die aus gängigen Fehlkonfigurationen in der Azure-Cloud-Umgebung bestehen. Vorzugsweise sollte das Tool im Internet gehostet werden, damit jeder es nutzen kann. Eine der Herausforderungen besteht darin, eine eingebettete, verwundbare Anwendung zu erstellen, bei der nur die erwarteten Angriffspfade ausgenutzt werden können.

Die Forschungsfrage für diese Studie lautete:"Wie kann eine simulierte Umgebung geschaffen werden, die das Azure-Cloud-Hacking-Wissen von Cybersicherheitsexperten testet und verbessert?"

Die Infrastruktur-als-Code-Sprache Terraform wurde verwendet, um sicherzustellen, dass das Projekt leicht zu warten ist und dass es eine Versionskontrolle für die Infrastruktur gibt.

Untersuchung häufiger Schwachstellen

Wie bei Software gibt es auch bei Netzwerkinfrastrukturen häufig Fehlkonfigurationen, die Sicherheitsprobleme verursachen. Die Herausforderungen basieren auf häufigen Azure-Fehlkonfigurationen, um sicherzustellen, dass das CTF-Tool so relevant wie möglich ist. In der folgenden Tabelle sind die häufigsten Fehlkonfigurationen in Azure-Umgebungen aufgeführt.

Blog Broken By Design Table 1

Tabelle 1: Die häufigsten Fehlkonfigurationen Azure-Umgebungen

All diese Schwachstellen sind zwar relevant, aber nicht alle lassen sich sinnvoll in eine CTF-Herausforderung einbauen. Es müssen noch genauere Untersuchungen zu verschiedenen Angriffsflächen durchgeführt werden, die für dieses Projekt relevant sein könnten.

Blog Broken By Design Table 2

Tabelle 2: Angriffsflächen

Auf der Grundlage dieser verschiedenen Angriffsflächen wurde eine Angriffskette erstellt. Dies ist der Weg, den der Hacker nehmen muss, um das Capture-the-Flag vollständig durchzuführen. Bevor die Umgebung mit Terraform vollständig aufgebaut wurde, wurde ein Diagramm erstellt, um die Angriffskette einfach zu diskutieren und einen Überblick über die Umgebung zu erhalten.

Attackchain hidden

Das Endergebnis

Als Ergebnis dieses Projekts wurde eine CTF erstellt, die mehrere Herausforderungen enthält. Das Tool kann von jedem verwendet werden, der sich für das Azure-Hacking interessiert. Es sind Hinweise verfügbar, die die Benutzer durch die Herausforderungen führen und die zugrunde liegenden Fehlkonfigurationen erklären. Cloud-Experten sind außerdem eingeladen, aktiv zu diesem Projekt beizutragen, um die Herausforderungen und die Robustheit der Umgebung zu erhöhen. Probieren Sie es selbst auf BrokenAzure.Cloud aus oder tragen Sie auf Github bei.

Testen Sie Ihre Fähigkeiten keyboard_arrow_right
FYXKN Wu Xo AMWH17

BrokenAzure.Cloud auf der DEF CON 2022

Weil Ricardo Sanchez und Roy Stultiens so begeistert von dem fertigen Projekt waren, haben sie beschlossen, dass Siebren das Projekt beim DEF CON Cloud Village einreichen sollte. Die Präsentation wurde angenommen, und sie werden am 13. August um 13:10 PDT sprechen.

Lesen Sie mehr hiereyboard_arrow_right

Zukünftige Arbeit

Die Software verfügt über eine sehr leistungsfähige Grundlage und kann in ihrer jetzigen Form für Schulungs- und Rekrutierungszwecke verwendet werden, aber es kann noch einiges getan werden, um das Tool noch besser zu machen. Das Tool kann auch mit zusätzlichen Herausforderungen erweitert werden, und es können verschiedene Schwierigkeiten hinzugefügt werden.

Dieses Tool könnte auch für andere Unternehmen als Secura nützlich sein. Da das Tool rund um die Uhr online verfügbar ist (es wird einmal pro Tag zurückgesetzt), können auch andere Unternehmen es für (interne) Schulungen und Jobtests nutzen.

Die Cloud verändert sich schnell, so dass das Tool mit den neuesten Änderungen in Azure auf dem Laufenden gehalten werden muss und die Herausforderungen entsprechend angepasst werden müssen.

Es kann auch erforscht werden, wie die Herausforderungen die Sicht der Cloud-Architekten auf die Cloud-Implementierung verändern können, da das Tool auch als Schulungsinstrument für Nicht-Sicherheitsspezialisten verwendet werden kann, um die Risiken falsch konfigurierter Cloud-Umgebungen kennenzulernen.

Über Siebren und Roy

Siebren Kraak

Siebren ist einer unserer Sicherheitsanalysten, der bei Secura angefangen hat, nachdem er sein Praktikum erfolgreich absolviert und seinen Bachelor of Science mit Cum Laude abgeschlossen hat. Im September wird er sein Masterstudium an der Radboud Universität beginnen, wo er sich weiter auf Cybersicherheit spezialisieren wird.

Siebren Kraak Sicherheitsanalyst mail_outline cybersecurity@bureauveritas.com call +31 (0) 88 888 31 00

Roy Stultiens

Roy ist einer unserer Sicherheitsspezialisten mit mehr als 5 Jahren DevOps-Erfahrung. Angefangen hat er als Webentwickler mit Schwerpunkt auf Backend-Systemen, Architektur und E-Commerce. Heute ist er einer der Experten für Cloud-Sicherheit bei Secura.

Roy Stultiens Sicherheitsfachkraft mail_outline cybersecurity@bureauveritas.com call +31 (0) 88 888 31 00

Haben Sie Fragen zum BrokenAzure.Cloud-Tool oder zu unseren Cloud-Sicherheitsservices? Dann zögern Sie nicht, uns unter cybersecurity@bureauveritas.com oder +31 (0) 88 888 31 00 zu kontaktieren.