Los profesionales de seguridad de INE disfrutaron de una doble presentación en Black Hat USA ayer (10 de agosto) cuando mostraron las herramientas de prueba de penetración AWSGoat y AzureGoat.
Amazon Web Services (AWS) y Microsoft Azure son dos de los nombres más importantes en infraestructura en la nube, junto con Google Cloud Platform (GCP).
Dado que la nube sigue siendo un fenómeno relativamente nuevo, muchos desarrolladores no son plenamente conscientes del panorama de amenazas y, sin darse cuenta, pueden implementar una infraestructura de nube vulnerable.
A veces, un simple error de configuración o una vulnerabilidad de una aplicación web es todo lo que un atacante necesita para comprometer completamente el entorno de una organización.
Ataques preventivos
Mostrados durante las sesiones de Black Hat Arsenal en Las Vegas esta semana, AWSGoat y AzureGoat tienen como objetivo proporcionar a los entusiastas de la seguridad y a los evaluadores de penetración una infraestructura vulnerable fácil de implementar.
Aquí, pueden aprender cómo enumerar aplicaciones en la nube, identificar vulnerabilidades y encadenar varios ataques para comprometer la cuenta de AWS o Azure.
La infraestructura vulnerable por diseño muestra los peligros de las 10 principales amenazas de seguridad de aplicaciones web de OWASP .
AWSGoat también presenta configuraciones incorrectas basadas en servicios como IAM, S3, API Gateway, Lambda, EC2 y ECS.
“AzureGoat es nuestro intento de acortar la brecha”, dijo el equipo de la firma de capacitación en TI y seguridad INE. “Hay muchas menos opciones disponibles para la comunidad”.
El usuario podrá implementar AzureGoat en su cuenta de Azure mediante una imagen y scripts de Docker creados previamente. Una vez implementado, AzureGoat se puede usar para prácticas de tiro y se puede eliminar convenientemente más adelante.
Todo el código y los scripts de implementación para AWSGoat y AzureGoat se han hecho de código abierto.
Es especialista en ciberseguridad con más de 16 años de experiencia en seguridad de la información. Conoce muy bien la inteligencia de amenazas, la gestión de riesgos, la evaluación de vulnerabilidades y las pruebas de penetración, el análisis forense cibernético y la tecnología de seguridad en la nube (AWS, Azure, Google Cloud). Ocupó varios puestos de investigador de ciberseguridad en diferentes empresas. Tiene experiencia en diferentes industrias como finanzas, atención médica, marketing, gobierno, finanzas turísticas, aerolíneas, telecomunicaciones y biometría.