墨者防御联盟-提供超强DDoS高防/CC防护/大流量清洗服务!
当前位置:主页 > WEB安全 > 正文

ddos谨防_网易云盾_如何办

01-14 WEB安全

ddos谨防_网易云盾_如何办

Fugue

的首席技术官兼联合创始人Josh Stella最近,我们在Fugue展示了基于新闻中真实事件的针对云基础设施的实时黑客攻击。我们经常经过利用鲜为人知的安全组、EC2、IAM和S3的错误配置,从AmazonS3窃取数据。请参阅Capital One云错误配置漏洞的技术分析。

我们在这些课程中强调的一点是,您的渗透(pen)测试人员必须可以执行相同类型的云错误配置攻击。参与者通常会咨询我们,他们应该使用谁来测试他们的云基础设施。我总是回答讲,我不能推举一家特定的公司,因为你真正想要的是你正在使用的特定云服务和你的特定用例的专业知识。

但我在那个地点能够做的是提供一些建议,以进展你的想法来了解你的需求和评估笔测试供应商。我将指出一些您大概没有思量的您应该关注的情况。

云与大多数笔式测试人员所习惯的事情不同

在数据中心时代,笔式测试通常侧重于探测TCP/IP端点,CC防御,并采纳各种社会工程和钓鱼技术。它也经常测试你的身子安全。尽管其中两个在云中运行时仍然特别重要,但云服务提供商(CSP)如今负责其数据中心的物理安全。但您如今需要关注更多的潜在攻击面,这取决于您使用的云服务以及怎么使用它们。

例如,假如您在云中运行容器或虚拟机,您大概会使用信任关系(如AWS IAM)来确定这些资源在您的环境中被授权做啥。使用IAM的攻击特别常见,很多陷阱并不为人所知或所理解。

关于AWS Lambda等服务功能,代码注入成为一具要紧咨询题,在这种事情下,坏行为人修改源代码或库以引入后门。使用CSP托管数据库和其他持久性服务,经常在磁盘图像备份中公开的凭据是要紧的攻击向量。在数据中心时代,这些咨询题中的大多数都没有这么令人担忧,或者坏人使用的想法这样不同,以至于需要不同的技术。

我们在Fugue工作了数年,致力于解决云错误配置和安全威胁,通常在新的云漏洞被公开时,我们了解到一些新事情,即坏的参与者是怎么攻击云服务的。换句话讲,不管你对自个儿的安全架构和实现有多自信,永久不要相信你啥都想好了。

笔测试和奖金

在Fugue,我们使用了两种想法对我们的云环境举行笔测试/红队合作:雇佣一具特意的供应商和团队;并使用为白帽黑客策划的网络提供奖金的服务。我们建议两者都做。

我们从一具特意的团队开始,尽管他们没有发觉严峻的咨询题,但他们真的指出了一些我们能够改进的地点。在评估pen测试专用团队时,重要的是可以采访将参与测试的特定人员,以便您可以评估他们的技能,因为他们与您使用的云服务上的真实攻击向量相关。

即使是在相对较小的公司,高防cdn,云计算特定攻击向量的技能水平和知识将呈现多样性。您大概想咨询的一些咨询题:

1.关于服务X(您使用的服务),你能描述一下常见的攻击向量吗?2.你能详细描述一次使用多个云服务的攻击向量吗?3.你能描述一具特定的建议,你为客户提供了怎么幸免发觉的错误配置吗?我们向白帽黑客提供了奖金,以寻觅更多信息。在我们的案例中,我们很有安全意识,于是再次强调,没有发觉太多,但有一些地点我们能够进一步强化我们的安全姿态,我们做到了。

我们如今经常重复那个由赏金驱动的过程。它的一具好处是,您能够从各种各样的白帽黑客查看您的系统中获益,我们相信这会增加识别单个团队大概不大概思量的咨询题的大概性。这种想法的另一具特别好的方面是,安全性越好,随着时刻的推移,你支付的奖金就越少。

固然,CC防御,在你参与pen测试打算之前,你应该先举行内部云安全测试和分析,以便在与任何外部供应商接触之前捕获大多数漏洞。这将关心您的团队进展他们自个儿与云安全相关的技能,假如您挑选资助奖金,这将落低您的成本。

Fugue固然能够关心您找到很多导致云破坏的要紧错误配置——笔试人员将寻觅的错误配置。Fugue Developer是一具免费打算,大约需要15分钟来识别云帐户中的错误配置和违反策略的事情。

版权保护: 本文由 主页 原创,转载请保留链接: /web/139352.html


QQ客服

400-0797-119