Tabla de contenidos

Hacking ético en entornos empresariales en la nube

Bienvenidos a el capítulo de final de Hacking Cloud. Las pruebas de penetración en la nube se refieren a una metodología de ciberataque simulada y diseñada específicamente para evaluar las vulnerabilidades de seguridad dentro de los sistemas, plataformas y servicios basados ​​en la nube. 

Mostraremos el cambio organizacional de los servicios locales a los servicios en la nube, las diferencias entre las pruebas de penetración en la nube y las pruebas de penetración tradicionales, algunos servicios en la nube comunes y sus vulnerabilidades, consideraciones legales, herramientas y técnicas para realizar pruebas de penetración, junto con algunas de las certificaciones de pruebas de penetración en la nube más demandadas.

Sin más preámbulos, profundicemos en la comprensión de las pruebas de penetración en la nube.

¿Te gustaría enterarte de cuando lanzamos descuentos y nuevos cursos?

Adopción global de la nube: el cambio hacia los servicios en la nube

En los últimos años, ha habido un cambio sustancial en la forma en que operan las empresas, con una tendencia significativa hacia la migración de servicios e infraestructura a plataformas basadas en la nube. Esta migración ha aportado comodidad, escalabilidad y rentabilidad sin precedentes, pero también ha introducido complejos desafíos de seguridad. Según una investigación realizada por Zippia sobre la adopción de la nube , casi el 94% de las empresas ya utilizan servicios en la nube, y muchas planean expandir su presencia en la nube en el futuro cercano.

Sin embargo, este cambio hacia soluciones basadas en la nube ha amplificado la necesidad de medidas de seguridad sólidas. A medida que las organizaciones dependen cada vez más de la infraestructura de la nube, los riesgos asociados con las filtraciones de datos, el acceso no autorizado y otras amenazas cibernéticas han aumentado dramáticamente.

Esto ha llevado a la creciente importancia de las pruebas de penetración en la nube (pentesting en la nube) como un componente vital de las estrategias integrales de seguridad cibernética.

Pruebas de penetración en la nube frente a pruebas de penetración tradicionales

Las pruebas de penetración en la nube y las pruebas de penetración tradicionales son facetas integrales de la seguridad cibernética destinadas a descubrir debilidades del sistema y fortalecer las defensas contra amenazas potenciales. Ambas evaluaciones comparten objetivos comunes de identificar vulnerabilidades de seguridad para mitigar riesgos potenciales y proteger la organización.

Sin embargo, a pesar de su objetivo compartido de identificar vulnerabilidades, estas dos metodologías de prueba difieren significativamente en su enfoque y alcance, en gran parte debido a los paisajes inherentemente diferentes a los que se dirigen y la naturaleza y arquitectura distintas de los entornos evaluados.

Profundizar en sus distinciones es fundamental para garantizar evaluaciones de seguridad integrales y personalizadas que se alineen con las complejidades específicas de los entornos tradicionales y basados ​​en la nube.

Tomémonos un momento para comprender en detalle las diferencias clave entre las pruebas de penetración en la nube y las tradicionales:

Pruebas de penetración en la nube

Las pruebas de penetración en la nube evalúan la seguridad de los sistemas, aplicaciones y servicios basados ​​en la nube. Su enfoque principal radica en la evaluación integral de los distintos componentes de la computación en la nube, incluido el software como servicio (SaaS), la plataforma como servicio (PaaS) y la infraestructura como servicio (IaaS). El cambio hacia la adopción de la nube en las infraestructuras empresariales modernas requiere esta forma de prueba.

Aspectos clave:

  • Enfoque centrado en la nube : hace hincapié en comprender y abordar las vulnerabilidades inherentes a las infraestructuras de nube virtualizadas, escalables y, a menudo, complejas.
  • Herramientas y técnicas especializadas : utiliza herramientas específicas diseñadas para entornos de nube, considerando las configuraciones y servicios únicos de varios proveedores de servicios de nube.
  • Superficies de ataque complejas : identifica y aborda vulnerabilidades únicas asociadas con plataformas basadas en la nube, como configuraciones incorrectas, controles de acceso inadecuados, API inseguras y filtraciones de datos.
  • Desafíos de escalabilidad : aborda los desafíos que plantea la naturaleza escalable de los servicios en la nube, garantizando que las evaluaciones se adapten a los cambios dinámicos de la infraestructura.

Pruebas de penetración tradicionales

Por el contrario, las pruebas de penetración tradicionales se centran principalmente en evaluar la seguridad dentro de las redes, sistemas y aplicaciones locales. Esta forma de prueba normalmente se centra en infraestructuras de TI convencionales que comprenden redes físicas, servidores y puntos finales.

Aspectos clave:

  • Énfasis en infraestructura local : apunta a las vulnerabilidades presentes en redes físicas y configuraciones de TI más tradicionales.
  • Metodologías de prueba estándar : se basa en metodologías y herramientas establecidas adecuadas para entornos no basados ​​en la nube.
  • Vectores de ataque conocidos : se concentra en vectores de ataque reconocidos dentro de las redes locales, como software obsoleto, mecanismos de autenticación débiles y sistemas sin parches.
  • Alcance centrado en la red : aborda vulnerabilidades específicas de entornos que no son de nube, considerando factores como configuraciones de firewall, seguridad de la red local y controles de acceso físico.

Vulnerabilidades y servicios comunes en la nube

En el panorama en constante expansión de la computación en la nube, las empresas adoptan cada vez más servicios basados ​​en la nube para satisfacer sus diversas necesidades. Estos servicios se clasifican en tres categorías principales: software como servicio (SaaS), plataforma como servicio (PaaS) e infraestructura como servicio (IaaS). Comprender estos servicios y sus vulnerabilidades asociadas es crucial para realizar pruebas integrales de penetración en la nube.

Ahora, como hemos visto diferentes tipos comunes de servicios cloud, comprendamos algunas de las vulnerabilidades más comunes asociadas con estos servicios en la nube. Comprender estas vulnerabilidades es crucial específicamente cuando se realizan pruebas integrales de penetración en la nube.

Vulnerabilidades comunes en los servicios cloud

Algunas de las vulnerabilidades comunes que prevalecen en los servicios en la nube son:

  • API inseguras : las API (interfaces de programación de aplicaciones) sirven como puentes entre diferentes aplicaciones de software. Las API con una seguridad inadecuada pueden exponer datos y funcionalidades confidenciales, lo que da lugar a posibles infracciones.
  • Software obsoleto : el software sin parches u obsoleto utilizado en entornos de nube puede albergar vulnerabilidades conocidas, proporcionando puntos de entrada para los ciberatacantes.
  • Configuraciones incorrectas en la nube : los servicios y configuraciones de la nube configurados incorrectamente pueden provocar la exposición inadvertida de datos críticos, lo que corre el riesgo de acceso no autorizado o fugas de datos que afecten la integridad de los datos almacenados en la nube.
  • Violaciones de datos y credenciales robadas : las violaciones de datos resultantes de credenciales comprometidas o almacenamiento de datos inseguro pueden provocar fugas de información confidencial o acceso no autorizado a recursos de la nube.
  • Controles de acceso y privilegios débiles : los controles de acceso inadecuados pueden permitir que usuarios no autorizados obtengan permisos excesivos, comprometiendo potencialmente la confidencialidad y la integridad de los datos.
  • Mecanismos de autenticación inadecuados : los métodos de autenticación débiles o la autenticación multifactor insuficiente pueden hacer que las cuentas en la nube sean vulnerables a intentos de acceso no autorizados.
  • Cifrado insuficiente : no cifrar adecuadamente los datos confidenciales mientras están en tránsito o en reposo dentro del almacenamiento en la nube puede exponerlos a interceptación o visualización no autorizada.

Estas vulnerabilidades subrayan la importancia crítica de las pruebas de penetración meticulosas para descubrir debilidades potenciales dentro de los entornos de nube. Al abordar estas vulnerabilidades, las organizaciones pueden reforzar de manera proactiva su postura de seguridad en la nube y mitigar los riesgos asociados.

Consideraciones legales

Al realizar pruebas de penetración de la nube, existen consideraciones legales y de cumplimiento, especialmente cuando se trabaja con los principales proveedores de servicios en la nube como AWS y Azure. Estos proveedores suelen tener directrices y protocolos específicos para realizar evaluaciones de seguridad dentro de sus entornos.

Comprender y cumplir estas regulaciones es esencial para evitar repercusiones legales. Algunas de las consideraciones legales más comunes que debes conocer antes de firmar un contrato de penetración en la nube son:

Microsoft Azure :

  • Todas las pruebas de penetración deben seguir las Reglas de participación de pruebas de penetración en la nube de Microsoft.
  • El objetivo del programa es permitir a los clientes probar sus servicios alojados en los servicios de la nube de Microsoft sin causar daño a ningún otro cliente de Microsoft.
  • Están prohibidas las siguientes actividades:
  • Escanear o probar activos pertenecientes a otros clientes de Microsoft Cloud.
  • Obtener acceso a cualquier dato que no sea totalmente suyo.
  • Ejecutar ataques de denegación de servicio (DoS) o cualquier prueba que genere grandes cantidades de tráfico.
  • Si durante las pruebas de penetración cree que descubrió una posible falla de seguridad relacionada con Microsoft Cloud o cualquier otro servicio de Microsoft, primero debe validar el informe y luego enviar las vulnerabilidades válidas al Centro de respuesta de seguridad de Microsoft (MSRC).

AmazonAWS :

  • Los clientes de AWS pueden realizar evaluaciones de seguridad o pruebas de penetración de su infraestructura de AWS sin aprobación previa para los servicios enumerados en «Servicios permitidos».
  • Todas las pruebas de seguridad que incluyan Comando y Control (C2) requieren aprobación previa.
  • Los clientes no pueden realizar evaluaciones de seguridad de la infraestructura de AWS ni de los propios servicios de AWS.
  • Si AWS recibe un informe de abuso por actividades relacionadas con sus pruebas de seguridad, se lo enviará.

Están prohibidas las siguientes actividades:

  • Zona DNS recorriendo las zonas alojadas de Amazon Route 53.
  • Secuestro de DNS a través de la Ruta 53.
  • Pharming de DNS a través de la Ruta 53.
  • Denegación de servicio (DoS), Denegación de servicio distribuido (DDoS), DoS simulado, DDoS simulado.
  • Inundaciones portuarias.
  • Inundación de protocolo.
  • Inundación de solicitudes (inundación de solicitudes de inicio de sesión, inundación de solicitudes de API).

Aunque lo mencionado anteriormente son algunas pautas generales relacionadas con Microsoft Azure y Amazon AWS, los detalles pueden variar según su acuerdo con el proveedor de servicios. Consulte siempre con un experto legal antes de realizar cualquier prueba de penetración. Además de estas, existen otras consideraciones legales genéricas que quizás deba considerar antes de firmar un contrato o realizar pruebas de penetración en entornos de nube. 

Otras consideraciones legales genéricas

Consentimiento y autorización : antes de realizar cualquier prueba de penetración en la nube, es esencial obtener el consentimiento y la autorización adecuados del propietario del entorno de la nube. Este consentimiento debe incluir una comprensión clara del propósito de las pruebas, los riesgos potenciales asociados con las pruebas y las medidas que se tomarán para proteger la confidencialidad, integridad y disponibilidad  del entorno de la nube durante el proceso de pruebas.

Privacidad y protección de datos 

la privacidad y la protección de datos son consideraciones primordiales al realizar pruebas de penetración en la nube. Debe asegurarse de que todos los datos recopilados durante el proceso de prueba se manejen y almacenen de forma segura, de conformidad con las leyes y regulaciones pertinentes. También debe asegurarse de que solo se acceda a los datos y se los utilice para el propósito para el que fueron recopilados y se conserven durante no más tiempo del necesario.

Retención y eliminación de datos 

debe establecer políticas claras de retención y eliminación de datos para cualquier dato recopilado durante las pruebas de penetración en la nube. Se trata de determinar el período de conservación necesario en función de los requisitos legales y las obligaciones contractuales. Una vez que haya expirado el período de retención, debe deshacerse de los datos de forma segura siguiendo las mejores prácticas de la industria y garantizando su irrecuperabilidad.

Acuerdos de confidencialidad y no divulgación 

Los acuerdos de confidencialidad y no divulgación (NDA) desempeñan un papel vital en la protección de los datos confidenciales y los hallazgos durante las pruebas de penetración en la nube. Usted y su organización deben celebrar acuerdos de confidencialidad con el propietario de la nube o la parte responsable para establecer y mantener la confidencialidad de cualquier información confidencial descubierta durante las pruebas. Este acuerdo debe especificar las restricciones a la divulgación, la duración de la confidencialidad y las medidas que debe tomar el evaluador u organización para salvaguardar la información.

Informes y comunicación 

los informes y la comunicación eficaces son esenciales para el éxito de las pruebas de penetración en la nube. Usted, como pentester, debe proporcionar un informe completo y detallado que incluya los hallazgos, las recomendaciones y las acciones tomadas para mitigar las vulnerabilidades identificadas. El informe debe ser claro, conciso y adaptado a las necesidades y objetivos específicos del propietario de la nube. Debe mantener líneas de comunicación abiertas con el propietario de la nube durante todo el proceso de prueba para abordar cualquier inquietud, aclarar los hallazgos y garantizar la implementación efectiva de las medidas de seguridad recomendadas.

Cumplimiento de los estándares y regulaciones de la industria 

el cumplimiento de los estándares y regulaciones de la industria es crucial para realizar pruebas de penetración en la nube de manera ética y responsable. Debe conocer y cumplir con las pautas relevantes de la industria, como la Matriz de controles en la nube (CCM) de Cloud Security Alliance (CSA)  o  ISO 27001 . Al adherirse a estos estándares, puede demostrar su compromiso con las mejores prácticas y garantizar la integridad del proceso de prueba.

Certificaciones de pruebas de penetración Cloud

Las certificaciones de pruebas de penetración en la nube validan la experiencia y la competencia de las personas en la realización de pruebas de penetración, la protección y la evaluación de la postura de seguridad de los sistemas basados ​​en la nube, lo que contribuye significativamente a garantizar prácticas sólidas de seguridad en la nube dentro de las organizaciones.

Probador de penetración en la nube GIAC (GCPN):

La certificación GIAC Cloud Penetration Tester (GCPN)  está diseñada para validar las habilidades y conocimientos de los profesionales en la realización de pruebas de penetración en entornos de nube. Cubre varios aspectos de la seguridad en la nube, incluida la evaluación de vulnerabilidades, la identificación de debilidades y la protección de sistemas basados ​​en la nube.

Profesional certificado en seguridad en la nube (CCSP):

Ofrecida por (ISC)², la certificación Certified Cloud Security Professional (CCSP)  se centra en los principios, la arquitectura, el diseño y la gestión de la seguridad en la nube. Valida la experiencia en seguridad de la nube, incluida la gobernanza de la nube, la gestión de riesgos, la seguridad de los datos y el cumplimiento, esenciales para los profesionales responsables de la seguridad de la nube dentro de una organización.

Conclusión

A medida que las empresas continúan adoptando tecnologías en la nube, no se puede subestimar la importancia de garantizar medidas de seguridad sólidas. Las pruebas de penetración en la nube son un elemento crítico para proteger los datos, la infraestructura y las aplicaciones confidenciales alojados en plataformas en la nube. Al identificar y mitigar las vulnerabilidades específicas de los entornos de nube, puede fortalecer las defensas de la organización contra las ciberamenazas en evolución.

Metodologías de prueba de penetración en la nube

Cuando se trata de pruebas de penetración en la nube, estas son algunas de las metodologías más utilizadas. Tenga en cuenta que, aunque estas metodologías están diseñadas para pruebas de penetración tradicionales, también son adecuadas para realizar pruebas de penetración en entornos de nube. Con estas metodologías, puede identificar y mitigar los riesgos de seguridad en la nube de manera sistemática.

Manual de metodología de pruebas de seguridad de código abierto (OSSTMM)

El Manual de metodología de pruebas de seguridad de código abierto (OSSTMM) es un marco popular para realizar pruebas de penetración en entornos de nube. Proporciona un conjunto de directrices para probar y evaluar la seguridad de las aplicaciones, la infraestructura y los servicios de la nube.

Proyecto abierto de seguridad de aplicaciones web (OWASP) 

el Proyecto abierto de seguridad de aplicaciones web (OWASP) es otra metodología ampliamente utilizada que se centra en las pruebas de seguridad de aplicaciones web. La metodología OWASP incluye un conjunto de pautas y mejores prácticas para identificar vulnerabilidades y amenazas comunes en aplicaciones web. Si bien está diseñada específicamente para aplicaciones web, la metodología OWASP también se puede aplicar a entornos de nube para evaluar la seguridad de las aplicaciones en la nube.

Instituto Nacional de Estándares y Tecnología (NIST) 

El Instituto Nacional de Estándares y Tecnología (NIST) proporciona pautas para realizar evaluaciones de riesgos y pruebas de penetración en entornos de nube. La metodología del NIST enfatiza el uso de un enfoque sistemático para identificar vulnerabilidades y priorizarlas para su remediación. La metodología cubre una amplia gama de temas de seguridad en la nube, incluidos controles de acceso, cifrado y respuesta a incidentes.

Estándar de ejecución de pruebas de penetración (PTES) 

el Estándar de ejecución de pruebas de penetración (PTES) es un marco para realizar pruebas de penetración en entornos de nube. Proporciona un conjunto completo de pautas para realizar las pruebas, incluida la identificación de objetivos de prueba, la recopilación de inteligencia y la realización de actividades de prueba.

Cada nube tiene sus propias peculiaridades pero, en general, hay algunas cosas comunes que un pentester debe comprobar al probar un entorno de nube:

Comprobaciones de referencia

Esto le ayudará a comprender el tamaño del entorno y los servicios utilizados. También le permitirá encontrar algunas configuraciones erróneas rápidas , ya que puede realizar la mayoría de estas pruebas con herramientas automatizadas.

Enumeración de Servicios

Probablemente no encontrará muchas más configuraciones erróneas aquí si realizó correctamente las pruebas comparativas, pero es posible que encuentre algunas que no se buscaron en las pruebas comparativas.

Esto le permitirá saber qué se utiliza exactamente en el entorno de la nube.

Verificar activos expuestos

Esto se puede hacer durante la sección anterior, necesita descubrir todo lo que está potencialmente expuesto a Internet de alguna manera y cómo se puede acceder a él. Aquí estamos tomando infraestructura expuesta manualmente, como instancias con páginas web u otros puertos expuestos, y también sobre otros servicios administrados en la nube que se pueden configurar para estar expuestos (como bases de datos o depósitos). Deberías comprobar si ese recurso puede estar expuesto o no (¿información confidencial? ¿vulnerabilidades? ¿malas configuraciones en el servicio expuesto?)

Comprobar permisos

Aquí deberías conocer todos los permisos de cada rol/usuario dentro de la nube y cómo se usan. ¿Demasiadas cuentas con privilegios elevados (controlan todo)? ¿No se utilizan las claves generadas? La mayoría de estas comprobaciones ya deberían haberse realizado en las pruebas comparativas. Si el cliente está usando OpenID o SAML u otra es posible que necesites pedirle más información sobre cómo se asigna cada rol (no es lo mismo que el rol de administrador se asigne a 1 usuario o a 100)

No basta con encontrar qué usuarios tienen permisos de administrador «*:*». Hay muchos otros permisos que dependiendo de los servicios utilizados pueden ser muy sensibles . Además, existen posibles formas privadas de seguir abusando de los permisos. Todas estas cosas deben tenerse en cuenta y se deben informar.

Verificar integraciones

Es muy probable que se estén utilizando integraciones con otras nubes o SaaS dentro del entorno de la nube. Para las integraciones de la nube que está auditando con otra plataforma, debe notificar quién tiene acceso para (ab)usar esa integración y debe preguntar qué tan sensible es la acción que se está realizando. Por ejemplo, ¿quién puede escribir en un depósito de AWS del que GCP obtiene datos (pregunte qué tan sensible es la acción en GCP que trata esos datos)?

Para las integraciones dentro de la nube que está auditando desde plataformas externas, debe preguntar quién tiene acceso externo para (ab)usar esa integración y verificar cómo se utilizan esos datos. Por ejemplo, si un servicio utiliza una imagen de Docker alojada en GCR, debe preguntar quién tiene acceso para modificarla y qué información y acceso confidencial obtendrá esa imagen cuando se ejecute dentro de una nube de AWS.

Herramientas multinube

Existen varias herramientas que se pueden utilizar para probar diferentes entornos de nube. Los pasos y enlaces de instalación se indicarán en esta sección.

PurplePanda

Una herramienta para identificar configuraciones incorrectas y rutas privadas en las nubes y entre nubes/SaaS.

Instalar

# You need to install and run neo4j also

git clone https://github.com/carlospolop/PurplePanda

cd PurplePanda

python3 -m venv .

source bin/activate

python3 -m pip install -r requirements.txt

export PURPLEPANDA_NEO4J_URL=»bolt://neo4j@localhost:7687″

export PURPLEPANDA_PWD=»neo4j_pwd_4_purplepanda»

python3 main.py -h # Get help

GCP

export GOOGLE_DISCOVERY=$(echo ‘google:

– file_path: «»

– file_path: «»

  service_account_id: «some-sa-email@sidentifier.iam.gserviceaccount.com»‘ | base64)

python3 main.py -a -p google #Get basic info of the account to check it’s correctly configured

python3 main.py -e -p google #Enumerate the env

Prowler

Es compatible con AWS, GCP y Azure . Consulta cómo configurar cada proveedor en https://docs.prowler.cloud/en/latest/#aws

# Install

pip install prowler

prowler -v

# Run

prowler <provider>

# Example

prowler aws –profile custom-profile [-M csv json json-asff html]

# Get info about checks & services

prowler <provider> –list-checks

prowler <provider> –list-services

CloudSploit

AWS, Azure, Github, Google, Oracle, Alibaba

Instalar

## You need to have creds for a service account and set them in config.js file

./index.js –cloud google –config </abs/path/to/config.js>

GCP

## You need to have creds for a service account and set them in config.js file

./index.js –cloud google –config </abs/path/to/config.js>

ScoutSuite

AWS, Azure, GCP, Alibaba Cloud, Oracle Cloud

Instalar

mkdir scout; cd scout

virtualenv -p python3 venv

source venv/bin/activate

pip install scoutsuite

scout –help

## Using Docker: https://github.com/nccgroup/ScoutSuite/wiki/Docker-Image

GCP

scout gcp –report-dir /tmp/gcp –user-account –all-projects

## use «–service-account KEY_FILE» instead of «–user-account» to use a service account

SCOUT_FOLDER_REPORT=»/tmp»

for pid in $(gcloud projects list –format=»value(projectId)»); do

    echo «================================================»

    echo «Checking $pid»

    mkdir «$SCOUT_FOLDER_REPORT/$pid»

    scout gcp –report-dir «$SCOUT_FOLDER_REPORT/$pid» –no-browser –user-account –project-id «$pid»

done

Steampipe

Descargue e instale Steampipe ( https://steampipe.io/downloads ). O use Brew:

brew tap turbot/tap

brew install steampipe

GCP

# Install gcp plugin

steampipe plugin install gcp

# Use https://github.com/turbot/steampipe-mod-gcp-compliance.git

git clone https://github.com/turbot/steampipe-mod-gcp-compliance.git

cd steampipe-mod-gcp-compliance

# To run all the checks from the dashboard

steampipe dashboard

# To run all the checks from rhe cli

steampipe check all

AWS

# Install aws plugin

steampipe plugin install aws

# Modify the spec indicating in «profile» the profile name to use

nano ~/.steampipe/config/aws.spc

# Get some info on how the AWS account is being used

git clone https://github.com/turbot/steampipe-mod-aws-insights.git

cd steampipe-mod-aws-insights

steampipe dashboard

# Get the services exposed to the internet

git clone https://github.com/turbot/steampipe-mod-aws-perimeter.git

cd steampipe-mod-aws-perimeter

steampipe dashboard

# Run the benchmarks

git clone https://github.com/turbot/steampipe-mod-aws-compliance

cd steampipe-mod-aws-compliance

steampipe dashboard # To see results in browser

steampipe check all –export=/tmp/output4.json

cs-suite

AWS, GCP, Azure, Digital Ocean. Requiere Python 2.7 y parece sin mantenimiento.

cloudlist

Cloudlist es una herramienta de múltiples nubes para obtener activos (nombres de host, direcciones IP) de proveedores de nube.

Instalar

cd /tmp

wget https://github.com/projectdiscovery/cloudlist/releases/latest/download/cloudlist_1.0.1_macOS_arm64.zip

unzip cloudlist_1.0.1_macOS_arm64.zip

chmod +x cloudlist

sudo mv cloudlist /usr/local/bin

GCP

## For GCP it requires service account JSON credentials

cloudlist -config </path/to/config>

Cartography

Es una herramienta de Python que consolida los activos de infraestructura y las relaciones entre ellos en una vista gráfica intuitiva impulsada por una base de datos Neo4j.

Instalar

# Installation

docker image pull ghcr.io/lyft/cartography

docker run –platform linux/amd64 ghcr.io/lyft/cartography cartography –help

## Install a Neo4j DB version 3.5.*

GCP

docker run --platform linux/amd64 \

     --volume "$HOME/.config/gcloud/application_default_credentials.json:/application_default_credentials.json" \

     -e GOOGLE_APPLICATION_CREDENTIALS="/application_default_credentials.json" \

     -e NEO4j_PASSWORD="s3cr3t" \

     ghcr.io/lyft/cartography  \

     --neo4j-uri bolt://host.docker.internal:7687 \

     --neo4j-password-env-var NEO4j_PASSWORD \

     --neo4j-user neo4j

# It only checks for a few services inside GCP (https://lyft.github.io/cartography/modules/gcp/index.html)

## Cloud Resource Manager

## Compute

## DNS

## Storage

## Google Kubernetes Engine

### If you can run starbase or purplepanda you will get more info

starbase

Starbase recopila activos y relaciones de servicios y sistemas que incluyen infraestructura en la nube, aplicaciones SaaS, controles de seguridad y más en una vista gráfica intuitiva respaldada por la base de datos Neo4j.

Intalación

# You are going to need Node version 14, so install nvm following https://tecadmin.net/install-nvm-macos-with-homebrew/

npm install –global yarn

nvm install 14

git clone https://github.com/JupiterOne/starbase.git

cd starbase

nvm use 14

yarn install

yarn starbase –help

# Configure manually config.yaml depending on the env to analyze

yarn starbase setup

yarn starbase run

# Docker

git clone https://github.com/JupiterOne/starbase.git

cd starbase

cp config.yaml.example config.yaml

# Configure manually config.yaml depending on the env to analyze

docker build –no-cache -t starbase:latest .

docker-compose run starbase setup

docker-compose run starbase run

GCP

## Config for GCP

### Check out: https://github.com/JupiterOne/graph-google-cloud/blob/main/docs/development.md

### It requires service account credentials

integrations:

  –

    name: graph-google-cloud

    instanceId: testInstanceId

    directory: ./.integrations/graph-google-cloud

    gitRemoteUrl: https://github.com/JupiterOne/graph-google-cloud.git

    config:

      SERVICE_ACCOUNT_KEY_FILE: ‘{Check https://github.com/JupiterOne/graph-google-cloud/blob/main/docs/development.md#service_account_key_file-string}’

      PROJECT_ID: «»

      FOLDER_ID: «»

      ORGANIZATION_ID: «»

      CONFIGURE_ORGANIZATION_PROJECTS: false

storage:

  engine: neo4j

  config:

    username: neo4j

    password: s3cr3t

    uri: bolt://localhost:7687

    #Consider using host.docker.internal if from docker

SkyArk

Descubra los usuarios más privilegiados en el entorno escaneado de AWS o Azure, incluidos los Shadow Admins de AWS. Utiliza powershell.

Import-Module .\SkyArk.ps1 -force

Start-AzureStealth

# in the Cloud Console

IEX (New-Object Net.WebClient).DownloadString(‘https://raw.githubusercontent.com/cyberark/SkyArk/master/AzureStealth/AzureStealth.ps1’) 

Scan-AzureAdmins 

Herramientas para pruebas de penetración en la nube

Las herramientas y metodologías tradicionales de pruebas de penetración pueden no ser suficientes ni adecuadas para evaluar la seguridad de los entornos de nube. Para abordar estas limitaciones, investigadores y organizaciones han desarrollado herramientas y metodologías dedicadas para abordar los requisitos de las pruebas de penetración de la nube. Estas herramientas y metodologías permiten a los profesionales de la seguridad realizar actividades complejas para identificar y explotar vulnerabilidades en la infraestructura y las plataformas de la nube.

A continuación se detallan algunas de las herramientas y técnicas más utilizadas para realizar pruebas de penetración en la nube. A diferencia de las herramientas tradicionales de prueba de penetración de redes , estas herramientas ayudan a los evaluadores de penetración de la nube a realizar evaluaciones exhaustivas de los entornos de la nube, lo que les permite identificar configuraciones erróneas, vulnerabilidades y posibles brechas de seguridad específicas de varios servicios cloud.

PingSafe

PingSafe es una herramienta integral para la seguridad en la nube que brinda protección a empresas de todos los tamaños y en todos los sectores. Puede ayudar a eliminar todos los riesgos y desafíos, tanto conocidos como desconocidos.

Características:

  • En la nube, los errores de configuración se solucionan y reparan automáticamente. Las configuraciones erróneas entre recursos, rutas de movimiento lateral y radio de impacto se muestran en gráficos.
  • Supervisar la postura de seguridad continua de los servicios en la nube nuevos o actuales, centrándose en las preocupaciones de seguridad y las prácticas recomendadas, y notificando los valores predeterminados de seguridad.
  • Infraestructura como código: comparación de la configuración e implementación de IaC con otros estándares como CIS benchmark y PCI-DSS. Para evitar solicitudes de fusión y extracción con secretos codificados, se puede emplear soporte para la integración de CI/CD.
  • Encuentre los recursos/activos de la nube que tengan CVE (inteligencia de 10 o más fuentes con cobertura exhaustiva) conocidas para manejar las vulnerabilidades. 
  • Threat Watch: un panel para monitorear cualquier problema con las vulnerabilidades de día cero en su entorno.
  • Informes de lista de materiales (BOM) para aplicaciones sin agente y pruebas de vulnerabilidad de seguridad para instantáneas de máquinas virtuales.

Ventajas

  • El proceso de implementación es sencillo y la interfaz de usuario es muy intuitiva.
  • Proporciona una integración perfecta con Jira, Slack, PagerDuty y otras plataformas.
  • Los usuarios pueden crear políticas de seguridad personalizadas y garantizar el cumplimiento de estándares populares como SOC2, ISO, HIPAA, CIS y PCI/DSS.
  • Investigadores de seguridad de renombre y capitalistas de riesgo líderes a nivel mundial respaldan la plataforma.
  • Ofrece soporte para múltiples inquilinos, control de acceso basado en roles y seguimiento del historial para mejorar la seguridad y la responsabilidad.

CloudBrute

CloudBrute es una herramienta de seguridad en la nube diseñada para encontrar y corregir fallas de seguridad y configuraciones incorrectas en entornos de nube. Al evaluar y proteger proactivamente la infraestructura de la nube, se centra en impulsar la seguridad de la nube. Es una herramienta de código abierto diseñada para descubrir y enumerar recursos dentro de entornos de nube, lo que ayuda a identificar posibles superficies de ataque.

Características clave:

  • Escaneo de vulnerabilidades de seguridad: encuentra errores de configuración y fallas de seguridad.
  • Corrección automatizada: proporciona problemas con soluciones automatizadas.
  • Verifica la conformidad con los criterios de cumplimiento específicos de la industria.
  • Monitoreo en tiempo real: estar constantemente atento a posibles peligros.

Ventajas :

  • Mitigación de vulnerabilidades: localizar y resolver rápidamente problemas de seguridad.
  • Garantía de cumplimiento: ayuda a mantener el cumplimiento de los estándares de la industria.
  • Escalabilidad: Ideal para empresas que utilizan infraestructuras de nube dinámicas y en expansión.

Contras :

  • Curva de aprendizaje: la configuración y comprensión efectivas pueden llevar algún tiempo.
  • El seguimiento continuo requiere más recursos.
  • Complejidad: la solución automatizada y la gestión de alertas pueden suponer un desafío.

Comuníquese con CloudBrute para obtener detalles sobre los precios.

Invicti

El siguiente en la lista de herramientas de prueba de penetración en la nube es Invicti. Es un escáner de vulnerabilidades de aplicaciones web que se puede utilizar en varias plataformas de alojamiento, incluido AWS, y ciertas versiones son compatibles con los sistemas operativos Windows. Independientemente de dónde aloje el paquete, se puede utilizar de forma eficaz para escanear y evaluar vulnerabilidades en aplicaciones y servicios de AWS.

Características:

  • La herramienta se puede alojar en AWS. 
  • Puede realizar pruebas individuales o escanear exhaustivamente el sistema de destino. 
  • Puede funcionar como una herramienta de prueba continua para evaluaciones de seguridad continuas. 

Ventajas:

  • Capacidades integrales de escaneo para vulnerabilidades web.
  • Detección avanzada de problemas de seguridad complejos.
  • Interfaz fácil de usar e informes fáciles de entender.

Contras:

  • Alto costo en comparación con algunas otras herramientas.
  • Requiere experiencia técnica para un uso óptimo.
  • Puede generar falsos positivos en algunos casos.

Pentest Astra

Una plataforma integral para pruebas de penetración de terceros de infraestructuras en la nube, API y aplicaciones móviles y en línea.

Características:

  • Capacidad del escáner: número indefinido de escaneos en curso
  • El pentest manual está disponible para aplicaciones en línea, aplicaciones móviles, API e infraestructuras en la nube.
  • Cero falsos positivos en precisión

Ventajas: 

  • Se conecta con su flujo de trabajo CI/CD.
  • Reglas de escaneo constantemente actualizadas que brindan escaneo continuo y garantizan que no haya falsos positivos.
  • Ayuda en la rápida identificación y corrección de vulnerabilidades.

Contras:

  • Podrían haber estado disponibles más opciones de integración.
  • No hay ninguna prueba gratuita disponible.

Nessus

Nessus tiene un escaneo de infraestructura en la nube de auditoría que admite: AWS, Azure, Office 365, Rackspace, Salesforce. Se necesitan algunas configuraciones adicionales en Azure para obtener una identificación de cliente .

El siguiente en la lista de herramientas de prueba de penetración en la nube es Nessus. Es una solución de evaluación de vulnerabilidades y seguridad basada en la nube diseñada para ayudar a las organizaciones a identificar debilidades dentro de sus sistemas de seguridad. Esta herramienta ofrece análisis de un momento dado, lo que permite procesos de detección y remediación eficientes y rápidos.

Características: 

  • Gestión de vulnerabilidades con coste adicional.
  • Cumplimiento de HIPAA, ISO, NIST y PCI-DSS.

Ventajas:

  • Incluye una versión gratuita.
  • Identificación precisa de vulnerabilidades.
  • Excelente software de pruebas de penetración automatizadas.

Contras:

  • No hay muchas funciones en la edición gratuita.
  • La versión fabricada puede resultar cara.

Scout Suite

El siguiente en la lista de herramientas de prueba de penetración en la nube es Scout Suite. Esta herramienta de prueba de penetración en la nube es una solución de código abierto diseñada para realizar pruebas de seguridad en varias plataformas en la nube.

Características:

  • Soporte para múltiples nubes, lo que permite realizar auditorías en AWS, Azure y Google Cloud. 
  • Realiza auditorías de seguridad integrales que cubren la gestión de identidad y acceso, seguridad de red, almacenamiento, bases de datos y cumplimiento. 
  • Con capacidades de evaluación automatizadas, escanea los recursos de la nube en busca de vulnerabilidades de seguridad y configuraciones incorrectas. 
  • Scout Suite genera informes detallados que brindan información útil sobre los riesgos identificados y los problemas de cumplimiento. 
  • Admite monitoreo continuo a través de evaluaciones programadas o bajo demanda. 

Ventajas:

  • Permite pruebas gratuitas.
  • Interfaz de usuario intuitiva.
  • Se ofrece una versión gratuita con capacidades útiles para pruebas de penetración en la nube.

Contras:

  • Hay más funciones disponibles en la edición premium.
  • Los servicios pueden ser lentos.

Nmap

El siguiente en la lista de herramientas de prueba de penetración en la nube es Nmap, un escáner de vulnerabilidades de código abierto que resulta invaluable para el descubrimiento, la gestión y el monitoreo de redes en la nube. Si bien está diseñado principalmente para escanear grandes redes en la nube, sigue siendo igualmente eficaz para redes individuales.

Características:

  • Escaneo integral de red. 
  • Identificación de puertos y servicios abiertos.
  • Detección de sistema operativo y detección de versión.
  • Interacción programable con el objetivo.
  • Soporte para una amplia gama de sistemas operativos. 
  • Capacidad para escanear grandes redes de manera eficiente y precisa.

Ventajas:

  • Revela puertos abiertos, servicios en ejecución y aspectos vitales de la red.
  • Disponible de forma gratuita, garantizando la accesibilidad para todos los usuarios.
  • Adecuado para redes de diferentes tamaños, acomodando infraestructuras tanto grandes como pequeñas.

Contras:

  • La interfaz de usuario podría beneficiarse de mejoras para mejorar la experiencia del usuario.
  • Los resultados pueden variar entre exploraciones, lo que puede presentar hallazgos inconsistentes.

Amazon Inspector

Un servicio de gestión de vulnerabilidades, comprueba periódicamente las cargas de trabajo de AWS para detectar fallos de software y exposición inadvertida de la red. Para vulnerabilidades de software conocidas y exposición involuntaria de la red, Amazon Inspector detecta y analiza automáticamente instancias activas de Amazon EC2, imágenes de contenedores en Amazon Elastic Container Registry (Amazon ECR) y funciones de AWS Lambda.

Características:

  • Escaneo automatizado de vulnerabilidades de instancias EC2.
  • Detección de problemas de seguridad y configuraciones incorrectas comunes, y evaluaciones del cumplimiento de las mejores prácticas de la industria.
  • Proporcionar información detallada sobre posibles vulnerabilidades en los recursos de AWS.

Ventajas:

  • Descubre instancias e imágenes de EC2, proporcionando una cobertura completa.
  • Evalúa el registro de contenedores en busca de vulnerabilidades y áreas de exposición.
  • Proporciona puntuaciones de riesgo contextualizadas para una mejor comprensión de la gravedad de los problemas identificados.

Contras:

  • No ofrece una clasificación de hallazgos individuales, lo que podría requerir un esfuerzo manual adicional para la categorización.
  • La facturación puede ser compleja o difícil de entender y requiere un seguimiento y una gestión cuidadosos.

Guidepoint Security

Guidepoint Security es una empresa de ciberseguridad que se especializa en ofrecer a las organizaciones soluciones de seguridad personalizadas y servicios de asesoramiento informados. Para defenderse de los ciberataques y establecer posturas de seguridad sólidas, proporcionan una variedad de servicios y tecnología.

Características clave:

  • Ofrece orientación y asesoramiento profesional sobre medidas de seguridad.
  • Responde inmediatamente a incidentes de seguridad para reducir el daño.
  • Servicios de Seguridad Gestionados: Gestiona y monitorea constantemente la seguridad.
  • Pruebas de penetración: este método de pruebas controladas encuentra debilidades.

Ventajas:

  • Se proporciona acceso a asesores de seguridad expertos.
  • La respuesta rápida a incidentes reduce los daños causados ​​por eventos de seguridad.

Contras:

  • Costo: El conocimiento profesional de seguridad puede resultar costoso.
  • Depende de especialistas externos para algunos servicios o depende de recursos.
  • Dificultades de integración: Es posible que se requieran integraciones complicadas con los sistemas actuales.

Puede obtener una cotización de precios comunicándose con el equipo de GuidePoint Security.

Metasploit

El siguiente en la lista de herramientas de prueba de penetración en la nube es Metasploit. Tanto los ciberdelincuentes como los piratas informáticos éticos pueden utilizar el marco Metasploit para escanear servidores y redes en busca de debilidades sistémicas. Puede usarse con la mayoría de los sistemas operativos y es altamente personalizable porque es un marco de código abierto.

Características:

  • Un marco versátil para detectar vulnerabilidades.
  • Capacidades integrales de pruebas de penetración. 
  • Soporte para múltiples plataformas. 
  • Una amplia gama de exploits y cargas útiles.
  • La capacidad de simular ataques del mundo real. 

Ventajas:

  • Emplea un marco poderoso con diversas capacidades de pruebas de penetración.
  • Admite la instalación en múltiples plataformas y goza de popularidad entre los piratas informáticos.
  • Sirve como una herramienta importante para los evaluadores de penetración debido a su sólida funcionalidad.

Contras:

  • Implica una curva de aprendizaje pronunciada que requiere que los usuarios inviertan tiempo y esfuerzo para dominar su uso.
  • Los piratas informáticos utilizan Metasploit.

pacu

El siguiente en la lista de herramientas de prueba de penetración en la nube es Pacu. El marco de explotación de AWS Pacu es de código abierto y está desarrollado para pruebas de seguridad ofensivas contra sistemas en la nube. Al emplear módulos para aumentar sus capacidades rápidamente, Pacu, desarrollado y mantenido por Rhino Security Labs, permite a los probadores de penetración aprovechar las debilidades de configuración en una cuenta de AWS.

Características:

  • Módulos de explotación: estos módulos cubren áreas como escalada de privilegios, robo de credenciales, exfiltración de datos, mecanismos de persistencia y más.
  • Movimiento lateral: Pacu incluye funcionalidad para realizar movimientos laterales dentro de un entorno de AWS. Esto permite a los evaluadores atravesar diferentes cuentas y servicios, simulando las acciones de un atacante para escalar privilegios y obtener acceso no autorizado.
  • Evaluación de seguridad: Pacu ayuda a identificar debilidades de seguridad y configuraciones incorrectas dentro de las cuentas de AWS. 

Ventajas:

  • Capaz de identificar vulnerabilidades en AWS
  • Ayuda a verificar rápidamente los derechos de los usuarios en el entorno de nube de AWS.

Contras:

  • Ofrece menos funciones que sus competidores comerciales.

Detectify

El siguiente en la lista de herramientas de prueba de penetración en la nube es Detectify. Una herramienta de ciberseguridad llamada Detectify está destinada a ayudar a los equipos de seguridad y de desarrollo a rastrear activos y detectar peligros en aplicaciones en línea. Los administradores pueden rastrear vulnerabilidades como errores de DNS e inyecciones de SQL agregando dominios o direcciones IP, confirmando la propiedad de los activos, escaneando perfiles y generando informes.

Características:

  • Análisis de seguridad automatizado y detección de amenazas 
  • Análisis avanzado para identificar posibles incidentes de seguridad
  • Visualizaciones y herramientas de investigación basadas en gráficos.
  • Integración con servicios de AWS para una recopilación de datos perfecta y la capacidad de monitorear y analizar la actividad en múltiples cuentas de AWS.

Ventajas:

  • Alertas en tiempo real para vulnerabilidades detectadas, lo que garantiza que se puedan tomar medidas inmediatas.
  • Capacidad de escaneo continuo que se puede integrar perfectamente en el proceso de desarrollo.
  • La función de monitoreo de superficie de Detectify identifica efectivamente las vulnerabilidades en los activos de Internet de una organización.

Contras:

  • En comparación con otras alternativas, Detectify puede resultar relativamente caro.
  • Algunos usuarios han informado problemas de rendimiento con la interfaz, que pueden afectar la usabilidad y la eficiencia.

BurpSuite

El siguiente en la lista de herramientas de prueba de penetración en la nube es BurpSuite. Es una plataforma integrada y una herramienta gráfica para aplicaciones en línea de pruebas de seguridad. Desde el mapeo y análisis inicial de la superficie de ataque de una aplicación hasta el descubrimiento y explotación de fallas de seguridad, sus numerosas herramientas funcionan en perfecta armonía para ayudar en todo el proceso de prueba.

Características:

  • Escaneo avanzado de vulnerabilidades y capacidades de prueba de penetración automatizadas.
  • Guía detallada paso a paso para las vulnerabilidades.
  • Rastreo eficiente a través de objetivos complejos mediante URL y análisis de contenido, integración para una fácil generación de tickets.
  • La capacidad de probar entornos de nube e identificar configuraciones erróneas en depósitos de S3.

Ventajas:

  • Ofrece servicios avanzados de pruebas de penetración automatizadas.
  • Proporciona consejos detallados paso a paso para cada vulnerabilidad identificada.
  • Destaca en el rastreo de objetivos complejos mediante el uso de URL y análisis de contenido.

Contras:

  • Las soluciones avanzadas dentro de Burp Suite se comercializan y pueden tener un costo mayor.
  • Es posible que el servicio y la asistencia al cliente no cumplan con las expectativas de los usuarios expertos.

SkyArk

El siguiente en la lista de herramientas de prueba de penetración en la nube es SkyArk. Esta herramienta ofrece soporte para Azure y AWS, lo que permite la identificación de superficies de ataque extendidas dentro de estas plataformas.

Características:

  • Soporte para plataformas Azure y AWS.
  • Detección de administradores de nubes en la sombra.
  • Evaluación de entidades en entornos Azure y AWS, detección de escalada de privilegios e identificación de vulnerabilidades de seguridad.
  • Capacidades de informes detallados para una remediación efectiva.

Ventajas:

  • Detecta eficazmente la existencia de administradores de nubes en la sombra.
  • Ayuda a evaluar entidades dentro de entornos AWS y Azure.

Contras:

  • Actualmente no está disponible para su uso con Google Cloud Platform, lo que limita su cobertura entre diferentes proveedores de nube.

Qualys

El siguiente en la lista de herramientas de prueba de penetración en la nube es Qualys. Ofrece información de seguridad integral tanto sobre el host del contenedor como sobre los contenedores que contiene. Permite a los usuarios detectar y mitigar problemas de seguridad en tiempo real de forma proactiva. Recopila información de forma eficaz sobre imágenes, repositorios de imágenes y contenedores basados ​​en imágenes.

Características:

  • El complemento Container Runtime Security mejora la visibilidad de los contenedores que se ejecutan activamente, ofreciendo una mayor información. 
  • Permite la implementación de políticas para restringir el uso de imágenes con vulnerabilidades específicas. 
  • Además, incluye paneles prediseñados para análisis inmediato y también permite la personalización de paneles para satisfacer necesidades específicas.

Cloudsplaining

Cloudsplaining  es una popular herramienta de código abierto que ayuda a los profesionales de la seguridad a evaluar la postura de seguridad de los servicios basados ​​en la nube. Genera un informe completo analizando los metadatos y la configuración de los servicios en la nube, identificando posibles vulnerabilidades.

CloudSploit

 CloudSploit  es un proyecto de código abierto que proporciona un conjunto completo de herramientas de prueba de penetración para Amazon Web Services (AWS). Incluye módulos para escaneo, enumeración y explotación de vulnerabilidades, lo que permite a los profesionales de la seguridad probar la seguridad de sus entornos AWS. CloudSploit Pro es una versión mejorada de CloudSploit que incluye funciones y capacidades adicionales.

PingCastle

 PingCastle  es un marco de pruebas de penetración para Amazon Web Services (AWS). Proporciona una interfaz fácil de usar para crear y ejecutar pruebas de penetración, que cubren diversos vectores y técnicas de ataque.

BucketStream

Centrado en los depósitos S3 de AWS, BucketStream  ayuda a enumerar, analizar y extraer datos de los depósitos S3, identificando posibles riesgos de exposición de datos y configuraciones incorrectas.

Prowler

Prowler  es una herramienta de seguridad específica para AWS que realiza evaluaciones de seguridad en la infraestructura de AWS. Busca mejores prácticas, configuraciones incorrectas y posibles problemas de seguridad en múltiples servicios de AWS.

 

CloudMapper

 CloudMapper  es una herramienta de visualización de AWS desarrollada por Duo Labs y se utiliza para explorar y analizar entornos de AWS. Genera diagramas interactivos de la infraestructura de AWS, lo que ayuda a identificar vulnerabilidades y configuraciones incorrectas.

Scout Suite

 Scout Suite  es una herramienta de auditoría de seguridad de múltiples nubes que evalúa los riesgos de seguridad en AWS, Azure y GCP (Google Cloud Platform). Proporciona visibilidad de los entornos de nube, destacando posibles problemas de seguridad y violaciones de cumplimiento.

WeirdAAL: una biblioteca de ataques de AWS

Una cosa que me encanta de la seguridad de la información son los nombres que se le ocurren a la gente para las herramientas y las charlas, siendo este un ejemplo. Aparte de eso, Gates describe uno de los dos objetivos generales de WeirdAAL como un repositorio de funciones de seguridad defensivas y ofensivas útiles para AWS, lo que lo convierte en un recurso que querrás marcar. Y si se encuentra en un escenario de pruebas de caja negra, WeirdAAL es la elección perfecta.

Ir a la herramienta >>

GitOops: Todos los caminos conducen a las nubes

A medida que los equipos crecen, a los departamentos de seguridad les resulta más difícil monitorear los repositorios de GitHub. Aquí es donde entra en juego GitOops, ya que la herramienta aprovecha el literal «ups» de GitHub. Otra herramienta bien nombrada, puede usar GitOops para encontrar rutas de escalada de privilegios, así como para movimientos laterales en GitHub.

Ir a la herramienta >>

S3Scanner: busque depósitos abiertos de AWS S3

Puede utilizar esta herramienta durante una evaluación de caja negra para volcar los depósitos de AWS S3, que seguramente contendrán información valiosa. S3Scanner permite al usuario automatizar la búsqueda de recursos públicos disponibles en diferentes nubes y volcar la información, no sólo en AWS sino también en otros servicios en la nube como DigitalOcean.

PD: Si desea obtener más información sobre cómo probar entornos Azure, le recomendamos su libro «Penetration Testing Azure for Ethical Hackers».

Ir a la herramienta >>

Microburst: Scripts variados para la seguridad de Azure

Esta es su ventanilla única para todo lo relacionado con Azure. Puede usarlo para el descubrimiento de servicios de Azure, la auditoría de configuración y la postexplotación. Este práctico kit de herramientas fue creado por Karl Fosaaen , un experto en pruebas de penetración en la nube y un excelente recurso cuando se trata de probar entornos Azure.

Ir a la herramienta >>

ROADTools: Marco para interactuar con Azure Active Directory (AD)

Esta entrada es tanto una biblioteca como una herramienta de explotación. La biblioteca está destinada a autenticarse con AD; alternativamente, puede usarlo para crear herramientas que se integren con una base de datos que contenga datos de ROADrecon. Mientras tanto, la herramienta es para una exploración más profunda de la EA; Hay muchos datos que analizar en AD y ROADTools puede ayudarle a entenderlos.  Otras herramientas similares que puede consultar son PMapper , que está diseñada para entornos AWS, y este kit de herramientas de escalada de privilegios de Google Cloud de Rhino Security Labs.

Ir a la herramienta >>

PowerZure: marco de PowerShell para la seguridad de Azure

Es multifacético: puede usarse para reconocimiento y post-explotación. Por lo tanto, puede usarlo para iniciar un compromiso y cerrar las cosas. ¡Combine esto con AzureHound y sus pruebas deberían realizarse sin problemas!

Ir a la herramienta >>

CloudFox

CloudFox es una herramienta para encontrar rutas de ataque explotables en la infraestructura de la nube (actualmente, solo AWS y Azure son compatibles con GCP).

Es una herramienta de enumeración destinada a complementar el pentesting manual.

No crea ni modifica ningún dato dentro del entorno de la nube.

Más listas de herramientas de seguridad en la nube

https://github.com/RyanJarv/awesome-cloud-sec

¿Cómo elegir las mejores herramientas de prueba de penetración en la nube?

  • Evalúe el nivel de experiencia: evaluar el nivel de experiencia y la experiencia de las herramientas de pruebas de penetración en la nube lo ayudará a comprender su confiabilidad, reputación y competencia.
  • Verifique las características: verifique si las herramientas de prueba de penetración de la nube tienen las características requeridas por su organización. Considere las diversas especificaciones y capacidades de cada herramienta para encontrar la opción perfecta para su empresa.
  • Identifique requisitos específicos: identifique los requisitos específicos que su organización necesita y comuníqueselos de manera efectiva con la empresa de pruebas de penetración elegida. Comprender estos requisitos ayudará a determinar el alcance de las pruebas y los costos asociados.

Conclusión

Para garantizar la seguridad de su infraestructura en la nube, proporcionamos las 15 mejores herramientas de prueba de penetración en la nube . Hemos cubierto mucho territorio, desde comprender el paradigma de responsabilidad compartida en la nube hasta introducir las tecnologías y metodologías más nuevas. También hemos visto qué factores considerar al seleccionar herramientas de prueba de penetración en la nube.

La auditoría y la seguridad en la nube

La ciberseguridad en la nube es un tema crítico para las organizaciones, debido a que la nube es un entorno de computación distribuido que permite el acceso y almacenamiento de datos de manera remota, lo que implica una mayor exposición a los riesgos. Si bien la computación en la nube se ha convertido en una alternativa atractiva para las organizaciones que buscan alejarse del considerable gasto de infraestructura interna y hardware, que de otro modo sería necesario para almacenar datos o ejecutar aplicaciones de misión crítica, es claro que la ciberseguridad es un componente integral para mantener esas soluciones seguras y viables.

La nube presenta una serie de desafíos únicos en términos de seguridad, puesto que los datos y aplicaciones se encuentran en un entorno compartido y administrado por terceros, quienes son los proveedores de servicios. Por ello, es importante que las organizaciones que utilizan servicios en la nube implementen medidas de seguridad para proteger sus datos y sistemas. Para que las organizaciones puedan aprovechar todos los beneficios que la nube tiene para ofrecer sin dejar de proteger sus datos confidenciales, hay una serie de medidas que deben adoptar para lograr este propósito y que deben ser conocidas por los auditores para una mejor comprensión en sus evaluaciones y para tener en cuenta en sus recomendaciones.

Algunas de las medidas de seguridad que normalmente se suelen implementar para proteger la información y los procesos que se ejecutan en la nube incluyen:

Encriptación: 

Es una medida de seguridad importante para proteger la confidencialidad de la información en la nube. Se trata de una técnica para proteger la información confidencial mediante la transformación de los datos originales en un formato cifrado que sólo puede ser leído por personas o sistemas autorizados. La encriptación se realiza mediante el uso de algoritmos matemáticos que transforman los datos originales en un formato ilegible conocido como «texto cifrado». El texto cifrado se puede desencriptar solamente si se dispone de la clave de desencriptación correspondiente, lo que asegura que la información sólo puede ser leída por personas o sistemas autorizados.

Autenticación:

Se refiere al proceso de verificar la identidad de un usuario, dispositivo o sistema para permitir el acceso a un recurso o servicio protegido. La autenticación se utiliza para asegurar que sólo las personas o sistemas autorizados tengan acceso a la información y los recursos. Existen diferentes métodos de autenticación que se utilizan en informática, algunos de los más comunes son:

Contraseñas: el método de autenticación más utilizado que consiste en una clave secreta que el usuario debe ingresar para demostrar que es quien dice ser.

Tarjetas inteligentes: dispositivos que contienen información de autenticación en una pequeña tarjeta plástica con un chip integrado. Para autenticarse, el usuario debe insertar la tarjeta inteligente en un lector y proporcionar una contraseña o PIN.

Autenticación biométrica: este método utiliza características físicas únicas de una persona, como huellas dactilares, reconocimiento facial o de voz, para autenticar la identidad del usuario.

Autenticación de dos factores: este método utiliza dos o más formas de autenticación para verificar la identidad del usuario, como una combinación de contraseña y una clave de acceso enviada a un dispositivo móvil.

Monitorización: 

la monitorización o supervisión en la nube se refiere a la práctica de supervisar y recopilar información sobre el rendimiento, el estado y la disponibilidad de los recursos y servicios en la nube. La monitorización es esencial para garantizar que los sistemas en la nube funcionen correctamente y para detectar y solucionar cualquier problema de rendimiento o disponibilidad. Existen diversas herramientas y servicios que permiten realizar la monitorización en la nube, tales como:

  • Monitoreo de métricas: permite medir el rendimiento de los recursos en la nube, como la utilización de la CPU, la memoria, el ancho de banda y el tráfico de red.
  • Monitoreo de registros: permite revisar los registros generados por los sistemas y aplicaciones en la nube para detectar y solucionar problemas.
  • Monitoreo de eventos: permite supervisar y recibir alertas sobre eventos importantes, como fallos de sistemas o cambios de configuración.
  • Monitoreo de seguridad: permite detectar y responder a posibles amenazas de seguridad en los recursos y servicios en la nube.

La monitorización en la nube es importante para garantizar la continuidad de los servicios y la satisfacción del usuario, así como para optimizar la utilización de los recursos y mejorar la eficiencia en la nube. Al monitorear de forma regular y sistemática los sistemas en la nube, se pueden detectar y resolver problemas antes de que afecten la disponibilidad y el rendimiento de los servicios en la nube, lo que contribuye a mejorar la calidad del servicio y la seguridad en la nube.

Respuesta ante incidentes: 

la respuesta ante incidentes en informática se refiere a las medidas y procedimientos que se toman para detectar, analizar y mitigar los efectos de los incidentes de seguridad en los sistemas informáticos, que puede ser cualquier evento que afecte la confidencialidad, integridad o disponibilidad de los datos y sistemas de una organización, como un ataque de malware, una violación de datos, o una interrupción del servicio. En informática implica un proceso de varias fases, que incluyen:

  • Detección: es el proceso de identificar que un incidente de seguridad ha ocurrido.
  • Análisis: es el proceso de determinar la naturaleza y el alcance del incidente, así como su impacto en los sistemas y datos de la organización.
  • Contención: es el proceso de limitar el alcance del incidente y minimizar su impacto en los sistemas y datos de la organización.
  • Erradicación: es el proceso de eliminar el incidente y restaurar los sistemas y datos a su estado normal.
  • Recuperación: es el proceso de restaurar los sistemas y datos afectados por el incidente a su estado normal y garantizar que la organización pueda seguir operando de manera efectiva.
  • Lecciones aprendidas: es el proceso de revisar el incidente y analizar lo que se podría haber hecho mejor para optimizar la capacidad de respuesta en el futuro.

La respuesta ante incidentes en informática es importante para minimizar los efectos de los incidentes de seguridad y reducir el tiempo de inactividad de los sistemas y servicios afectados. Al implementar un plan de respuesta efectivo ante incidentes se puede detectar, responder y recuperarse de los incidentes de seguridad de manera rápida y eficiente, minimizando el impacto en la organización.

Evaluación de proveedores: 

permite a las organizaciones evaluar la capacidad y la idoneidad de un proveedor de servicios en la nube para satisfacer sus necesidades y requisitos específicos. A continuación, se presentan algunos aspectos importantes que se deben tener en cuenta al evaluar a un proveedor de servicios en la nube:

  • Seguridad: es importante que el proveedor de servicios en la nube tenga políticas y procedimientos de seguridad sólidos y bien definidos para proteger los datos y sistemas de la organización.
  • Conformidad: es fundamental que el proveedor de servicios en la nube cumpla con las normas y regulaciones aplicables, como GDPR, HIPAA, ISO 27001, etc.
  • Rendimiento: es importante que el proveedor de servicios en la nube tenga una infraestructura de red y hardware sólida y confiable para garantizar un alto rendimiento y disponibilidad de los servicios en la nube.
  • Soporte: es esencial que el proveedor de servicios en la nube tenga un equipo de soporte técnico competente y disponible para ayudar en caso de problemas o preguntas.
  • Costo: es importante que el costo de los servicios en la nube sea transparente y previsible, y que no haya cargos ocultos.
  • Escalabilidad: es importante que el proveedor de servicios en la nube tenga la capacidad de crecer y adaptarse a medida que las necesidades de la organización cambien con el tiempo.
  • Experiencia del proveedor: es importante evaluar la experiencia del proveedor en la entrega de servicios en la nube, así como su historial de servicio al cliente.

Si bien las anteriores medidas no son exhaustivas, sí se constituyen en prácticas acertadas para mejorar la ciberseguridad en la nube y deben ser tenidas en cuenta para mitigar los riesgos informáticos.

Cómo realizar una auditoría de seguridad en tu cloud hosting

En el mundo actual, donde los datos y la información son vitales, asegurar la seguridad de tu cloud hosting es esencial. 

Paso 1: Definir los Objetivos de la Auditoría

Antes de comenzar la auditoría, es importante establecer los objetivos claros que deseas lograr. Define qué aspectos de tu cloud hosting deseas evaluar, como:

  • Seguridad de los datos
  • Integridad del sistema
  • Protección contra amenazas externas
  • Otras amenazas a tus bases de datos

Establecer estos objetivos te ayudará a dirigir tu auditoría de manera efectiva.

Paso 2: Evaluar las Políticas de Seguridad

Revisa las políticas de seguridad establecidas en tu cloud hosting. Asegúrate de que cumplan con los estándares y mejores prácticas de seguridad. Evalúa las políticas de contraseña, el cifrado de datos, las restricciones de acceso, las políticas de respaldo y recuperación, entre otros aspectos relevantes.

Paso 3: Revisar la Configuración de Seguridad

Analiza la configuración de seguridad de tu cloud hosting siguiendo las pautas proporcionadas. Verifica que los cortafuegos estén configurados correctamente y que las reglas de acceso estén adecuadamente definidas. Examina la configuración de autenticación y autorización, así como cualquier configuración relacionada con la protección de datos sensibles.

Paso 4: Evaluar la Gestión de Accesos

La gestión de accesos es crucial para garantizar la seguridad en tu cloud hosting. Recomendamos evaluar cuidadosamente los permisos y privilegios de los usuarios. Asegúrate de seguir los principios de «menos privilegios» y que los usuarios tengan solo los permisos necesarios para llevar a cabo sus tareas.

Paso 5: Analizar las Prácticas de Monitorización y Detección

La detección temprana de posibles amenazas y actividades sospechosas es esencial para mantener la seguridad en tu cloud hosting. Te aconsejamos evaluar las prácticas de monitorización y detección implementadas. Asimismo, revisa los registros de auditoría, las alertas de seguridad y las herramientas de análisis utilizadas para identificar posibles brechas de seguridad.

Paso 6: Verificar la Resiliencia del Cloud Hosting

La resiliencia es la clave para un cloud hosting sólido. Recomendamos evaluar si tu infraestructura en la nube tiene medidas adecuadas como:

  • Redundancia
  • Copias de seguridad
  • Planes de recuperación ante desastres

Verifica la capacidad de tu cloud hosting para resistir ataques y recuperarse de posibles interrupciones.

Paso 7: Realizar Pruebas de Penetración

Sugerimos realizar pruebas de penetración para identificar vulnerabilidades en tu cloud hosting. Estas pruebas implican la simulación incluyen pruebas contra:

  • Ataques de hackers
  • Intentos de acceso no autorizado
  • Pruebas de robo de datos

Identificar estas vulnerabilidades te permitirá tomar medidas correctivas oportunas.

Paso 8: Documentar los Resultados y Establecer Acciones Correctivas

Una vez completada la auditoría, es importante documentar todos los resultados obtenidos. Registra las vulnerabilidades identificadas y las recomendaciones de mejora. Establece un plan de acción con tareas correctivas claras y asigna responsabilidades para su implementación. Un seguimiento regular asegurará que se tomen las medidas adecuadas.

Conclusiones

La realización de una auditoría de seguridad en tu cloud hosting es fundamental para proteger tus datos y garantizar la integridad de tu infraestructura en la nube. Sigue los pasos mencionados anteriormente de manera rigurosa y regular para mantener un alto nivel de seguridad en tu cloud hosting. Recuerda que la seguridad en línea es un proceso continuo y requiere atención constante.

Preguntas Frecuentes

¿Con qué frecuencia debo realizar una auditoría de seguridad en mi cloud hosting?

Lo recomendable es realizar una auditoría de seguridad al menos una vez al año, o cada vez que realices cambios significativos en tu infraestructura en la nube.

¿Necesito contratar a un experto en seguridad para llevar a cabo la auditoría?

Si no tienes experiencia en seguridad informática, puede ser beneficioso contratar a un experto en la materia.

¿Qué debo hacer si encuentro una vulnerabilidad durante la auditoría?

Si encuentras una vulnerabilidad, es importante tomar medidas correctivas de inmediato.

¿Cómo puedo mantener la seguridad de mi cloud hosting a largo plazo?

Mantén tu cloud hosting actualizado, implementa medidas de seguridad adicionales según sea necesario y realiza auditorías de seguridad periódicas.

¿Qué beneficios obtengo al realizar una auditoría de seguridad en mi cloud hosting?

Realizar una auditoría de seguridad te permite identificar y corregir posibles vulnerabilidades antes de que sean aprovechadas por atacantes. Además, ayuda a fortalecer la confianza de tus clientes al demostrar tu compromiso con la protección de sus datos.

ISO 27032 Y SEGURIDAD EN LA NUBE: RAZONES PARA CONTRATAR UNA AUDITORÍA

La seguridad de la información es un tema crítico en la era digital, especialmente cuando se trata de almacenar y procesar datos en la nube. Con el aumento de las amenazas cibernéticas, es esencial tomar medidas proactivas para proteger tus datos y sistemas. Aquí es donde entra en juego la norma ISO 27032 y las auditorías de seguridad en la nube.

¿Qué es la ISO 27032?

La ISO 27032 es una norma internacional que se enfoca en la ciberseguridad, específicamente en la seguridad de la información en las redes y sistemas de información. Su objetivo es proporcionar directrices y mejores prácticas para garantizar la seguridad de la información en un mundo cada vez más conectado. La norma se aplica a diversas áreas de la ciberseguridad, incluida la seguridad en la nube.

¿Por qué es importante la Seguridad en la Nube?

La seguridad en la nube es esencial porque muchas organizaciones confían en servicios de almacenamiento y procesamiento en la nube para gestionar sus datos críticos y aplicaciones empresariales. Sin embargo, esta dependencia también implica riesgos significativos, como la pérdida de datos, el acceso no autorizado y las interrupciones del servicio. La ISO 27032 proporciona un marco sólido para abordar estos desafíos y garantizar que tus operaciones en la nube sean seguras.

Ventajas de Contratar una Auditoría de ISO 27032 en Seguridad en la Nube:

  1. Evaluación Integral de Riesgos: Una auditoría basada en la ISO 27032 te permite identificar y evaluar los riesgos de seguridad en tu entorno de nube. Esto te ayuda a comprender mejor las amenazas potenciales y a tomar medidas preventivas.
  2. Cumplimiento Normativo: Cumplir con la ISO 27032 demuestra tu compromiso con la seguridad de la información. Esto puede ser un factor clave para ganar la confianza de tus clientes y socios comerciales, especialmente si manejas datos sensibles.
  3. Mejores Prácticas de Seguridad: La norma ISO 27032 está basada en las mejores prácticas de seguridad cibernética. Al adoptar estas prácticas, fortalecerás tu postura de seguridad y reducirás la probabilidad de sufrir incidentes de seguridad.
  4. Reducción de Costos a Largo Plazo: Las auditorías de seguridad en la nube pueden ayudarte a prevenir incidentes costosos, como brechas de seguridad o pérdida de datos. Invertir en seguridad ahora puede ahorrarte dinero y tiempo en el futuro.
  5. Mejora de la Reputación: La seguridad en la nube es un tema crítico en la mente de los clientes y socios comerciales. Al demostrar tu compromiso con la seguridad mediante una auditoría de ISO 27032, puedes mejorar tu reputación y atraer a más clientes.

En resumen, la seguridad en la nube es esencial en el entorno digital actual, y la norma ISO 27032 proporciona un marco sólido para abordar los desafíos de seguridad. Contratar una auditoría basada en esta norma puede proporcionar numerosas ventajas, desde una evaluación integral de riesgos hasta la mejora de la reputación. Si valoras la seguridad de tu negocio y deseas garantizar que tus operaciones en la nube sean seguras, considera seriamente la posibilidad de contratar una auditoría de ISO 27032. Tu negocio y tus clientes te lo agradecerán.

No te detengas, sigue avanzando

Aquí tienes un propósito para este 2024 que debes considerar seriamente: si has querido mejorar tus habilidades en hacking, Ciberseguridad y programación ahora es definitivamente el momento de dar el siguiente paso. ¡Desarrolla tus habilidades aprovechando nuestros cursos a un precio increíble y avanza en tu carrera!

Certificación Microsoft Azure Fundamentals Exam AZ-900.

Rendí con éxito el Examen AZ-900. Laboratorios y Modelos de Exámenes para Practicar. Actualizado con los 6 módulos.

Calificación: 4,6 de 54,6 (844 calificaciones) 29.205 estudiantes Creado por Walter Coto || +440,000 EstudiantesAlvaro Chirou • 1.800.000+ Enrollments Worldwide

Lo que aprenderás

  • Introducción a los servicios en entornos Cloud
  • La teoría para rendir la Certificación Azure Fundamental
  • Servicios centrales de Azure
  • Modelos de examen para rendir
  • Gestión de Azure
  • Herramientas de seguridad y funciones de Azure
  • Monitorización e informes de Azure

El uso de entornos Cloud hoy para toda empresa es fundamental.

Tener conocimientos al respecto de esta tecnología es clave como habilidad al momento de buscar trabajo en el rubro IT.

Por eso te traemos esta formación profesional, donde No necesitas conocimientos previos dado que te enseñaremos desde 0 todo lo que necesitas saber con respecto a Entornos Cloud.

Además, te enseñaremos todo lo que debes de saber para obtener la primer certificación en Azure, la:

Microsoft Azure Fundamentals del examen AZ-900

Donde te explicaremos en base a la documentación oficial de Azure, toda la teoría que necesitas saber para rendir con éxito la certificación, acompañado con modelos de exámenes para que puedas practicar.

Haremos laboratorios y te acompañaremos paso a paso en el proceso de aprendizaje para que ademas de introducirte al mundo Cloud, puedas tener la seguridad sobre su uso y configuración.

Yo soy Álvaro Chirou, tengo más de 20 Años de experiencia trabajando en Tecnología, eh dado disertaciones en eventos internacionales como OWASP, tengo más de 500.000 estudiantes en Udemy y 100 formaciones profesionales impartidas en la misma.

Y junto a mi compañero Walter Coto donde con él hemos dado formaciones profesionales en conjunto también en la plataforma de Udemy, hoy les traemos esta oportunidad de seguirse formando en entornos Cloud

Empieza a aprender ya mismo y Certifícate!

¿Te gustaría enterarte de cuando lanzamos descuentos y nuevos cursos?

Sobre los autores

Álvaro Chirou

Yo soy Álvaro Chirou, tengo más de 20 Años de experiencia trabajando en Tecnología, eh dado disertaciones en eventos internacionales como OWASP, tengo más de 1.800.000 estudiantes en Udemy y 100 formaciones profesionales impartidas en la misma. Puedes serguirme en mis redes:

Laprovittera Carlos

Soy Laprovittera Carlos. Con más de 20 años de experiencia en IT brindo Educación y Consultoría en Seguridad de la Información para profesionales, bancos y empresas. Puedes saber más de mi y de mis servicios en mi sitio web: laprovittera.com y seguirme en mis redes:

¿Quieres iniciarte en hacking y ciberseguridad pero no sabes por dónde empezar? Inicia leyendo nuestra guia gratuita: https://achirou.com/como-iniciarse-en-ciberseguridad-y-hacking-en-2024/ que te lleva de 0 a 100. Desde los fundamentos más básicos, pasando por cursos, recursos y certificaciones hasta cómo obtener tu primer empleo.

Cómo Iniciarse en Hacking y Ciberseguridad en 2024