Secura desarrolla 'BrokenAzure.Cloud', una herramienta CTF para poner a prueba los conocimientos sobre la nube Azure

Los servicios en la nube son cada vez más populares, por lo que las auditorías y las pruebas pentesting de los entornos en la nube también son cada vez más demandadas. Los analistas de seguridad necesitan tener otros conocimientos para realizar estas auditorías/pruebas. Hay muchas formaciones disponibles, pero carecen de los conocimientos en profundidad necesarios para comprender los servicios en su totalidad. Por ello, Bureau Veritas Cybersecurity ha desarrollado la herramienta BrokenAzure.Cloud.


En este blog, aprenderá sobre:

  1. La creciente necesidad de analistas de seguridad en la nube
  2. Objetivo de investigación de la herramienta CTF
  3. Vulnerabilidades comunes de los entornos Azure
  4. El CTF como resultado final
  5. BrokenAzure.cloud en DEF CON 2022
  6. El trabajo futuro de la herramienta

La creciente necesidad de analistas de seguridad en la nube

Las soluciones y el hardware tradicionales in situ se están sustituyendo cada vez con más frecuencia por servicios en la nube (nativos). Esto tiene las ventajas de no tener que mantener hardware, bajos costes de entrada y una escalabilidad prácticamente ilimitada. A medida que aumenta este interés por las infraestructuras en la nube, la seguridad en la nube se convierte en un tema aún más importante.

Las empresas solicitan cada vez más auditorías de seguridad y pruebas de penetración en sus entornos en nube para asegurarse de que las infraestructuras en nube están configuradas de forma correcta y segura. Las infraestructuras en la nube y las locales son bastante diferentes, por lo que los analistas de seguridad requieren habilidades distintas a la hora de auditar una infraestructura en la nube. Existen varias formaciones y exámenes para aprender a trabajar y auditar entornos en la nube. Todas estas formaciones enseñan a los alumnos una comprensión global de la seguridad en la nube. Sin embargo, a menudo carecen de los conocimientos profundos necesarios para comprender y asegurar completamente los servicios.

Dos expertos en la nube y formadores de Bureau Veritas Cybersecurity, Ricardo Sánchez y Roy Stultiens, quisieron colmar esta laguna desarrollando un entorno en la nube intencionadamente vulnerable, BrokenAzure.Cloud. Como Secura quiere dar oportunidades a los jóvenes talentos para que investiguen y desarrollen nuevas habilidades, este proyecto se convirtió en un proyecto de prácticas para el estudiante de TIC y ciberseguridad de la Universidad de Ciencias Aplicadas de Fontys , Siebren Kraak. Esta herramienta CTF en línea, que él desarrolló, está disponible las 24 horas del día, los 7 días de la semana, y no es necesario configurarla a petición cuando alguien desee utilizarla.

Objetivo de la investigación

Este proyecto tenía como objetivo investigar cómo se puede construir una herramienta similar a CTF que proporcione a Secura la capacidad de probar y mejorar los conocimientos sobre la nube Azure de los analistas de seguridad (en la nube). La herramienta debe tener múltiples desafíos que consistan en errores de configuración comunes en el espacio de la nube Azure. Preferiblemente, su herramienta estará alojada en Internet para que todo el mundo pueda utilizarla. Uno de los retos es crear una aplicación contenida y vulnerable en la que sólo se pueda explotar la cadena de ataque esperada.

En definitiva, la pregunta final de la investigación es: "¿Cómo se puede crear un entorno simulado que ponga a prueba y mejore los conocimientos de pirateo de la nube Azure de los profesionales de la ciberseguridad?".

Se utilizó el lenguaje de infraestructura como código Terraform para asegurarse de que el proyecto es fácilmente mantenible y de que existe un control de versiones en la infraestructura.

Investigación de vulnerabilidades comunes

Al igual que el software, las infraestructuras de red comparten comúnmente configuraciones erróneas que causan problemas de seguridad. Los retos se basarán en las desconfiguraciones comunes de Azure para garantizar que la herramienta CTF sea lo más relevante posible. La siguiente tabla resume las configuraciones erróneas más comunes en los entornos Azure.

Blog Broken By Design Table 1

Tabla 1: Errores de configuración más comunes Entornos Azure

Aunque todas estas vulnerabilidades son relevantes, no son útiles para implementarlas en un desafío CTF. Era necesario realizar una investigación más específica sobre diferentes superficies de ataque que pudieran ser relevantes para este proyecto.

Blog Broken By Design Table 2

Tabla 2: Superficies de ataque

Basándose en estas diferentes superficies de ataque, se ha creado una Cadena de Ataque. Esta es la ruta que debe seguir el hacker para completar totalmente la captura de la bandera. Antes de construir completamente el entorno con Terraform, se ha creado un diagrama para discutir la cadena de ataque fácilmente y tener una visión general del entorno.

Attackchain hidden

El resultado final

Como resultado de este proyecto, se creó un CTF que contiene varios retos. La herramienta puede ser utilizada por cualquier persona interesada en el hacking de Azure. Hay pistas disponibles para guiarle a través de los retos y explicarle los errores de configuración subyacentes. También se invita a los expertos en la nube a contribuir activamente a este proyecto, para hacer crecer los retos y la robustez del entorno. Desafíese a sí mismo en BrokenAzure.Cloud o contribuya en Github.

Ponga a prueba sus habilidades keyboard_arrow_right
FYXKN Wu Xo AMWH17

BrokenAzure.Cloud en la DEF CON 2022

Como Ricardo Sánchez y Roy Stultiens estaban tan entusiasmados con el proyecto final, decidieron que Siebren debía ENVIAR el proyecto a la DEF CON Village of Cloud. La charla ha sido aceptada, y hablará el 13 de agosto a las 13:10 PDT.

Lea más aquíkeyboard_arrow_right

Trabajo futuro

El software tiene una base muy sólida y puede utilizarse con fines de formación y selección de personal en su estado actual, pero se puede hacer algo de trabajo futuro para que la herramienta sea aún mejor. La herramienta también puede ampliarse con retos adicionales y podrían añadirse diferentes dificultades .

Esta herramienta puede ser útil para otras empresas aparte de Bureau Veritas Cybersecurity. Dado que la herramienta está disponible en línea las 24 horas del día, los 7 días de la semana (se reinicia una vez al día), otras empresas también pueden utilizar esta herramienta para formación (interna) y pruebas de solicitud de empleo.

La nube está cambiando rápidamente, por lo que la herramienta debe mantenerse actualizada con los cambios más recientes en Azure y modificar los retos en consecuencia.

También se puede investigar cómo los retos podrían cambiar la visión sobre la implementación de la nube de los arquitectos de nubes y redes, ya que esta herramienta también podría utilizarse como herramienta de formación para que los no especialistas en seguridad conozcan los riesgos de los entornos de nube mal configurados.

Acerca de Siebren y Roy

Siebren Kraak

Siebren es uno de nuestros analistas de seguridad que empezó a trabajar en Bureau Veritas Cybersecurity tras completar con éxito sus prácticas y licenciarse Cum Laude en Ciencias. En septiembre comenzará su máster en la Universidad de Radboud, donde se especializará aún más en ciber seguridad.

Siebren Kraak Analista de seguridad mail_outline cybersecurity@bureauveritas.com call +31 (0) 88 888 31 00

Roy Stultiens

Roy es uno de nuestros especialistas en seguridad con más de 5 años de experiencia en DevOps. Comenzó como desarrollador web centrándose en sistemas back-end, arquitectura y comercio electrónico y ahora es uno de los expertos en seguridad en la nube de Bureau Veritas Cybersecurity.

Roy Stultiens Especialista en seguridad mail_outline cybersecurity@bureauveritas.com call +31 (0) 88 888 31 00

¿Tiene alguna pregunta sobre la herramienta BrokenAzure.Cloud o sobre nuestros servicios de seguridad en la nube? No dude en Contáctenos en cybersecurity@bureauveritas.com o en el +31 (0) 88 888 31 00.