De massale adoptie van cloudinfrastructuur wordt volledig gerechtvaardigd door talloze voordelen. Als gevolg hiervan bevinden de meest gevoelige bedrijfsapplicaties, workloads en gegevens van organisaties zich tegenwoordig in de cloud.
Hackers, goede en slechte, hebben die trend opgemerkt en hebben hun aanvalstechnieken effectief ontwikkeld om te passen bij dit nieuwe verleidelijke doelwitlandschap. Gezien de hoge reactiviteit en het aanpassingsvermogen van dreigingsactoren, wordt aanbevolen om aan te nemen dat organisaties worden aangevallen en dat sommige gebruikersaccounts of applicaties mogelijk al zijn gecompromitteerd.
Om precies te weten welke activa in gevaar worden gebracht door gecompromitteerde accounts of gehackte activa, moet u potentiële aanvalspaden in kaart brengen over een uitgebreide kaart van alle relaties tussen activa.
Tegenwoordig wordt het in kaart brengen van potentiële aanvalspaden uitgevoerd met scantools zoals AzureHound of AWSPX. Dit zijn op grafieken gebaseerde tools die de visualisatie van activa en middelenrelaties binnen de gerelateerde cloudserviceprovider mogelijk maken.
Door beleidsinformatie op te lossen, bepalen deze verzamelprogramma’s hoe specifieke toegangspaden van invloed zijn op specifieke bronnen en hoe het combineren van deze toegangspaden kan worden gebruikt om aanvalspaden te creëren.
Deze op grafieken gebaseerde verzamelaars geven topologische resultaten weer die alle door de cloud gehoste entiteiten in de omgeving en de relaties daartussen in kaart brengen.
De koppelingen tussen elke entiteit die in de resulterende grafiek zijn vastgesteld, worden geanalyseerd op basis van de eigenschappen van het actief om de exacte aard van de relatie en de logische interactie tussen activa te extraheren op basis van:
- De relatierichting – is de verbindingsrichting van activum X naar activum Y of andersom.
- Het relatietype – is asset X:
- Opgenomen door activum Y
- Heeft toegang tot asset Y
- Kan handelen op activa Y
- …
Het doel van de verstrekte informatie is om rode teamers te helpen bij het identificeren van mogelijke aanvalspaden voor zijwaartse bewegingen en privilege-escalatie, en blauwe teamers bij het vinden van manieren om kritieke escalatie te blokkeren en een aanvaller te stoppen.
Het sleutelwoord in die zin is ‘helpen’. De uitgebreide mapping-output die ze genereren, is een passief resultaat, aangezien de informatie nauwkeurig en tijdig moet worden geanalyseerd en opgevolgd om potentiële aanvalspaden effectief in kaart te brengen en preventieve maatregelen te nemen.
Hoewel de informatie van cloudspecifieke verzamelaars een licht werpt op verkeerde configuratie in Privileged Access Management en defect Identity Access Manager (IAM)-beleid en preventieve corrigerende maatregelen mogelijk maakt, detecteert het geen potentiële secundaire toestemmingslagen die een aanvaller zou kunnen gebruiken om een aanval pad.
Dit vereist extra analytische capaciteiten die in staat zijn om diepgaande analyses uit te voeren op bijvoorbeeld het bevatten van activa en de passieve relaties met betrekking tot de ingesloten activa. Cymulate ontwikkelt momenteel een toolkit die een actievere ontdekkingsbenadering operationaliseert die een veel diepgaandere analyse uitvoert.
Als we ons bijvoorbeeld een situatie voorstellen waarin bevoorrechte gebruiker A toegang heeft tot de sleutelkluis X, zal een op grafieken gebaseerde verzamelaar de relatie tussen gebruiker A en asset X correct in kaart brengen.
In dit geval is er geen directe relatie tussen gebruiker A en de geheimen in sleutelkluis X. Volgens de bovenstaande classificatie, als we de geheimen activa Y (1 tot n), de relaties beschreven door de verzamelaar zijn:
- Asset Y is opgenomen door Asset X
- De richting van de verbinding tussen gebruiker A en asset X is A ⇒ X.
Vanuit een vijandig perspectief heeft het verkrijgen van toegang tot de sleutelkluis echter het potentieel om toegang te krijgen tot alle activa die toegankelijk zijn via die geheimen. Met andere woorden, de op grafieken gebaseerde relatiekaart identificeert de relaties tussen gebruiker A en activa Y(1 tot .) niet n). Dit vereist analytische capaciteiten die de identificatie mogelijk maken van de relaties tussen activa die zich in andere activa bevinden en activa buiten de bevattende activa.
In dit geval vereist het in kaart brengen van alle activa met betrekking tot de geheimen die zijn opgeslagen in sleutelkluis X om precies te achterhalen welke activa potentieel risico lopen van gebruiker A.
Cymulate’s uitgebreide reeks continue beveiligingsvalidatiemogelijkheden, verenigd in een Extended Security Posture Management (XSPM)-platform, wordt al gebruikt door red teamers om aanvalsscenario’s en campagnes te automatiseren, te schalen en aan te passen. Cymulate is altijd op zoek naar nieuwe manieren om hen te helpen dergelijke uitdagingen het hoofd te bieden en zet zich in om de platformtoolset continu te verrijken met extra mogelijkheden.
Ontdekken XSPM-mogelijkheden vrij op uw gemak.
Opmerking: dit artikel is geschreven door Cymuleren Onderzoek Labs.
