Secura sviluppa 'BrokenAzure.Cloud', uno strumento CTF per testare la conoscenza di Azure Cloud

I servizi cloud stanno diventando sempre più popolari, quindi anche gli audit e i pentesting degli ambienti cloud sono sempre più richiesti. Gli analisti della sicurezza devono avere altre competenze per eseguire questi audit/test. Sono disponibili molte formazioni, ma mancano le conoscenze approfondite per comprendere appieno i servizi. Ecco perché Bureau Veritas Cybersecurity ha sviluppato lo strumento BrokenAzure.Cloud.


In questo blog, imparerà a conoscere:

  1. La crescente necessità di analisti di sicurezza del cloud
  2. Obiettivo della ricerca per lo strumento CTF
  3. Vulnerabilità comuni degli ambienti Azure
  4. Il CTF come risultato finale
  5. BrokenAzure.cloud al DEF CON 2022
  6. Il lavoro futuro dello strumento

La crescente necessità di analisti di sicurezza del cloud

Le soluzioni e l'hardware tradizionali on-premise vengono sempre più spesso sostituite da servizi cloud (nativi). Ciò presenta i vantaggi di non dover mantenere l'hardware, di avere bassi costi di ingresso e di avere una scalabilità virtualmente illimitata. Con l'aumento dell'interesse per le infrastrutture cloud, la sicurezza del cloud diventa un argomento ancora più importante.

Le aziende richiedono sempre più audit di sicurezza e test di penetrazione sui loro ambienti cloud, per garantire che le infrastrutture cloud siano configurate correttamente e in modo sicuro. Le infrastrutture cloud e quelle on-premise sono molto diverse, per cui gli analisti della sicurezza richiedono competenze diverse per l'audit di un'infrastruttura cloud. Sono disponibili diverse formazioni ed esami per imparare a lavorare e ad eseguire l'audit di ambienti cloud. Tutte queste formazioni insegnano agli studenti una comprensione globale della sicurezza del cloud. Tuttavia, spesso mancano le conoscenze approfondite necessarie per comprendere e proteggere completamente i servizi.

Due esperti di cloud e formatori di Bureau Veritas Cybersecurity, Ricardo Sanchez e Roy Stultiens, hanno voluto colmare questa lacuna sviluppando un ambiente cloud intenzionalmente vulnerabile, BrokenAzure.Cloud. Poiché Secura vuole dare opportunità ai giovani talenti di fare ricerca e sviluppare nuove competenze, questo progetto è stato trasformato in un progetto di stage per lo studente Siebren Kraak, dell'Università di Scienze Applicate di Fontys, specializzato in ICT e Cyber Security. Questo strumento CTF online, da lui sviluppato, è disponibile 24 ore su 24, 7 giorni su 7, e non deve essere configurato su richiesta quando qualcuno desidera utilizzarlo.

Obiettivo della ricerca

Questo progetto mira a ricercare come si possa costruire uno strumento simile al CTF, che dia a Secura la possibilità di testare e migliorare le conoscenze del cloud Azure degli analisti di sicurezza (cloud). Lo strumento dovrebbe avere sfide multiple che consistono in configurazioni errate comuni nello spazio del cloud Azure. Preferibilmente, lo strumento sarà ospitato su Internet, in modo che tutti possano utilizzarlo. Una sfida consiste nel creare un'applicazione contenuta e vulnerabile, in cui sia possibile sfruttare solo la catena di attacchi prevista.

Alla fine, la domanda finale della ricerca è:"Come si può creare un ambiente simulato che testi e migliori le conoscenze di hacking del cloud Azure dei professionisti della cyber security?".

Il linguaggio infrastructure-as-code Terraform è stato utilizzato per assicurarsi che il progetto sia facilmente manutenibile e che ci sia un controllo di versione sull'infrastruttura.

Ricerca delle vulnerabilità comuni

Proprio come il software, le infrastrutture di rete condividono comunemente configurazioni errate che causano problemi di sicurezza. Le sfide si baseranno su configurazioni errate comuni di Azure per garantire che lo strumento CTF sia il più pertinente possibile. La tabella seguente riassume le configurazioni errate più comuni negli ambienti Azure.

Blog Broken By Design Table 1

Tabella 1: Errori di configurazione più comuni Ambienti Azure

Sebbene tutte queste vulnerabilità siano rilevanti, non sono utili da implementare in una sfida CTF. È necessario condurre una ricerca più specifica su diverse superfici di attacco che potrebbero essere rilevanti per questo progetto.

Blog Broken By Design Table 2

Tabella 2: superfici d'attacco

Sulla base di queste diverse superfici d'attacco, è stata creata una Catena d'attacco. Questo è il percorso che l'hacker deve seguire per completare completamente la cattura della bandiera. Prima di costruire interamente l'ambiente con Terraform, è stato creato un diagramma per discutere facilmente la catena di attacco e avere una panoramica dell'ambiente.

Attackchain hidden

Il risultato finale

Come risultato di questo progetto, è stato creato un CTF che contiene diverse sfide. Lo strumento può essere utilizzato da chiunque sia interessato all'hacking di Azure. Sono disponibili suggerimenti per guidare l'utente attraverso le sfide e spiegare le misconfigurazioni sottostanti. Anche gli esperti di cloud sono invitati a contribuire attivamente a questo progetto, per far crescere le sfide e la robustezza dell'ambiente. Si sfidi su BrokenAzure.Cloud o contribuisca su Github.

Metta alla prova le sue abilità keyboard_arrow_right
FYXKN Wu Xo AMWH17

BrokenAzure.Cloud al DEF CON 2022

Poiché Ricardo Sanchez e Roy Stultiens erano così entusiasti del progetto finale, hanno deciso che Siebren avrebbe dovuto presentare il progetto al DEF CON Village of Cloud. Il discorso è stato accettato e interverrà il 13 agosto alle 13:10 PDT.

Per saperne di più, cliccare quikeyboard_arrow_right

Lavoro futuro

Il software ha una base molto solida e può essere utilizzato per scopi di formazione e reclutamento nel suo stato attuale, ma si può fare del lavoro futuro per rendere lo strumento ancora migliore. Lo strumento può anche essere ampliato con sfide aggiuntive e si potrebbero aggiungere difficoltà diverse.

Questo strumento può essere utile per altre aziende oltre a Bureau Veritas Cybersecurity. Poiché lo strumento è disponibile online 24 ore su 24, 7 giorni su 7 (con reset una volta al giorno), anche altre aziende possono utilizzarlo per la formazione (interna) e per i test di candidatura.

Il cloud sta cambiando rapidamente, quindi lo strumento deve essere aggiornato con le ultime modifiche di Azure e modificare le sfide di conseguenza.

Si può anche fare una ricerca su come le sfide potrebbero cambiare l'aspetto dell'implementazione del cloud da parte degli architetti di rete e di cloud, perché questo strumento potrebbe essere utilizzato anche come strumento di formazione per i non specialisti della sicurezza, per conoscere i rischi degli ambienti cloud mal configurati.

Informazioni su Siebren e Roy

Siebren Kraak

Siebren è uno dei nostri analisti di sicurezza che ha iniziato a lavorare in Bureau Veritas Cybersecurity dopo aver completato con successo il suo stage e aver conseguito la laurea con lode. A settembre inizierà il suo master presso l'Università Radboud, dove si specializzerà ulteriormente in cyber security.

Siebren Kraak Analista di sicurezza mail_outline cybersecurity@bureauveritas.com call +31 (0) 88 888 31 00

Roy Stultiens

Roy è uno dei nostri specialisti di sicurezza con oltre 5 anni di esperienza DevOps. Dopo aver iniziato come sviluppatore web, concentrandosi sui sistemi back-end, sull'architettura e sull'e-commerce, oggi è uno degli esperti di sicurezza cloud di Bureau Veritas Cybersecurity.

Roy Stultiens Specialista della sicurezza mail_outline cybersecurity@bureauveritas.com call +31 (0) 88 888 31 00

Ha domande sullo strumento BrokenAzure.Cloud o sui nostri servizi di sicurezza del cloud? Non esiti a contattarci all'indirizzo cybersecurity@bureauveritas.com o al numero +31 (0) 88 888 31 00.