Les services en nuage deviennent de plus en plus populaires, de sorte que les audits et les tests de pénétration des environnements en nuage sont également de plus en plus demandés. Les analystes de la sécurité doivent avoir d'autres compétences pour effectuer ces audits/tests. De nombreuses formations sont disponibles, mais elles manquent de connaissances approfondies pour comprendre pleinement les services. C'est pourquoi Bureau Veritas Cybersecurity a développé l'outil BrokenAzure.Cloud.
Secura développe "BrokenAzure.Cloud", un outil CTF pour tester les connaissances sur Azure Cloud.
Le besoin croissant d'analystes de la sécurité de l'informatique en nuage
Les solutions et le matériel traditionnels sur site sont de plus en plus souvent remplacés par des services en nuage (natifs). Cela présente l'avantage de ne pas avoir à entretenir le matériel, de réduire les coûts d'entrée et d'offrir une évolutivité pratiquement illimitée. À mesure que l'intérêt pour les infrastructures en nuage augmente, la sécurité des nuages devient un sujet de plus en plus important.
Les entreprises demandent de plus en plus d'audits de sécurité et de tests d'intrusion sur leurs environnements en nuage afin de s'assurer que les infrastructures en nuage sont configurées correctement et de manière sécurisée. Les infrastructures en nuage et les infrastructures sur site étant très différentes, les analystes de la sécurité ont besoin de compétences différentes lorsqu'ils procèdent à l'audit d'une infrastructure en nuage. Plusieurs formations et examens sont disponibles pour apprendre à travailler avec des environnements cloud et à les auditer. Toutes ces formations enseignent aux étudiants une compréhension globale de la sécurité du cloud. Cependant, il leur manque souvent les connaissances approfondies nécessaires pour comprendre et sécuriser pleinement les services.
Deux experts du cloud et formateurs chez Bureau Veritas Cybersecurity, Ricardo Sanchez et Roy Stultiens, ont voulu combler cette lacune en développant un environnement cloud intentionnellement vulnérable, BrokenAzure.Cloud. Comme Secura souhaite donner des opportunités aux jeunes talents pour faire de la recherche et développer de nouvelles compétences, ce projet a été transformé en projet de stage pour l'étudiant en TIC et cybersécurité de la Fontys University of Applied Sciences, Siebren Kraak. Cet outil CTF en ligne, qu'il a développé, est disponible 24 heures sur 24 et 7 jours sur 7 et n'a pas besoin d'être configuré sur demande lorsque quelqu'un souhaite l'utiliser.
Objectif de la recherche
Ce projet visait à rechercher comment un outil de type CTF peut être construit qui donne à Secura la capacité de tester et d'améliorer les connaissances sur le nuage Azure des analystes de la sécurité (nuage). L'outil devrait comporter plusieurs défis qui consistent en des erreurs de configuration courantes dans l'espace cloud Azure. De préférence, cet outil sera hébergé sur Internet afin que tout le monde puisse l'utiliser. L'un des défis consiste à créer une application contenue et vulnérable où seule la chaîne d'attaque attendue peut être exploitée.
Finalement, la question finale de la recherche est la suivante: "Comment créer un environnement simulé qui teste et améliore les connaissances des professionnels de la cyber sécurité en matière de piratage de l'espace cloud Azure ?
Le langage d'infrastructure en tant que code Terraform a été utilisé pour s'assurer que le projet est facilement maintenable et qu'il y a un contrôle de version sur l'infrastructure.
Recherche de vulnérabilités communes
Tout comme les logiciels, les infrastructures de réseau partagent communément des configurations erronées qui causent des problèmes de sécurité. Les défis seront basés sur les mauvaises configurations courantes d'Azure afin de garantir que l'outil CTF soit aussi pertinent que possible. Le tableau ci-dessous résume les erreurs de configuration les plus courantes dans les environnements Azure.
Tableau 1 : Mauvaises configurations les plus courantes Environnements Azure
Bien que toutes ces vulnérabilités soient pertinentes, il n'est pas utile de les mettre en œuvre dans le cadre d'un défi CTF. Une recherche plus spécifique doit être effectuée sur les différentes surfaces d'attaque qui pourraient être pertinentes pour ce projet.
Tableau 2 : Surfaces d'attaque
Sur la base de ces différentes surfaces d'attaque, une chaîne d'attaque a été créée. Il s'agit de l'itinéraire que le pirate informatique doit suivre pour mener à bien la capture du drapeau. Avant de construire entièrement l'environnement avec Terraform, un diagramme a été créé pour discuter facilement de la chaîne d'attaque et avoir une vue d'ensemble de l'environnement.
Le résultat final
Ce projet a donné lieu à la création d'un CTF contenant plusieurs défis. L'outil peut être utilisé par toute personne intéressée par le piratage d'Azure. Des conseils sont disponibles pour vous guider à travers les défis et expliquer les mauvaises configurations sous-jacentes. Les experts du cloud sont également invités à contribuer activement à ce projet, afin d'accroître les défis et la robustesse de l'environnement. Relevez le défi sur BrokenAzure.Cloud ou contribuez sur Github.
BrokenAzure.Cloud à la DEF CON 2022
Parce que Ricardo Sanchez et Roy Stultiens étaient si enthousiastes à propos du projet final, ils ont décidé que Siebren devrait soumettre le projet au DEF CON Village of Cloud. La présentation a été acceptée, et ils interviendront le 13 août à 13:10 PDT.
Travaux futurs
Le logiciel a une base très solide et peut être utilisé à des fins de formation et de recrutement dans son état actuel, mais certains travaux futurs peuvent être effectués pour améliorer encore l'outil. L'outil peut également être complété par des défis supplémentaires, et des difficultés différentes pourraient être ajoutées.
Cet outil peut être utile à d'autres entreprises que Bureau Veritas Cybersecurity. L'outil étant disponible en ligne 24 heures sur 24 et 7 jours sur 7 (réinitialisé une fois par jour), d'autres entreprises peuvent également l'utiliser pour des formations (internes) et des tests de candidature.
L'informatique dématérialisée évoluant rapidement, l'outil doit être tenu à jour des dernières modifications apportées à Azure et les défis doivent être modifiés en conséquence.
Des recherches peuvent également être menées sur la manière dont les défis pourraient modifier le regard porté sur la mise en œuvre de l'informatique en nuage par les architectes de réseaux et d'informatique en nuage, car cet outil pourrait également être utilisé comme outil de formation pour les non-spécialistes de la sécurité afin de les sensibiliser aux risques liés aux environnements en nuage mal configurés.
À propos de Siebren et Roy
Siebren Kraak
Siebren est l'un de nos analystes en sécurité qui a commencé à travailler chez Bureau Veritas Cybersecurity après avoir terminé avec succès son stage et obtenu son diplôme de Bachelor of Science avec mention. En septembre, il commencera son master à l'université Radboud où il se spécialisera davantage dans la cyber sécurité.
Siebren Kraak
Analyste de la sécurité
mail_outline
cybersecurity@bureauveritas.com
call
+31 (0) 88 888 31 00
Roy Stultiens
Roy est l'un de nos spécialistes de la sécurité avec plus de 5 ans d'expérience DevOps. Ayant commencé comme développeur web en se concentrant sur les systèmes back-end, l'architecture et le commerce électronique, il est aujourd'hui l'un des experts en sécurité du cloud chez Bureau Veritas Cybersecurity.
Roy Stultiens
Spécialiste de la sécurité
mail_outline
cybersecurity@bureauveritas.com
call
+31 (0) 88 888 31 00
Vous avez des questions sur l'outil BrokenAzure.Cloud ou sur nos services de sécurité dans le nuage ? N'hésitez pas à nous Contactez-nous à l'adresse cybersecurity@bureauveritas.com ou au +31 (0) 88 888 31 00.