Cloud Pentest

Cloud Pentest2019-10-30T09:38:54+03:00

Cloud Nedir?

Cloud, bilgisayarın sabit disk yerine internet üzerinden veri ve programların depolanması bunlara erişilmesi anlamına gelir.

Cloud Hizmet Modelleri

SaaS (Hizmet Olarak Yazılım)

SaaS hizmetinde istemciler sunucularda var olan uygulama hizmetlerine erişim sağlar. Uygulamalar var olduğundan dolayı müşterinin kurulum, kodlama veya yamalar hakkında çalışması gerekmez, yazılıma tarayıcılar ile erişilebilir. Uygulamayı ve çalışması için gereken tüm bileşenleri cloud servis sağlayıcıları yapar. Hotmail, Gmail gibi uygulamalar SaaS kabul edilir.

PaaS (Hizmet Olarak Platform)

PaaS hizmetinde, müşteriye uygun olarak kolay bir şekilde geliştirebileceği bir platform sağlanır. Platformlar arasındaki işletim sistemleri önceden mevcut olan web sunucusu, veri tabanı, ağ ve donanım altyapı servis sağlayıcılarının bakımıyla ilgilendikleri için müşteri sadece işletme ve geliştirme bölümü ile ilgilenir. Birçok organizasyon donanım kaynaklarına ödeme yapmak yerine PaaS ‘ı tercih ederek sadece seçilen platform ve kaynaklarına yatırım yapar. En yaygın olarak Microsoft Azure PaaS’ a örnek verilebilir.

Cloud Pentest

IaaS (Hizmet Olarak Altyapı)

 IaaS hizmetinde müşterilere VM, yük dengeleyiciler, WAF gibi gereken altyapı sağlanmaktadır. Bu hizmet ile yalnızca boş zamanlarında kullandıkları kaynaklar için ödeme yaparak daha düşük bir maliyetle işlerini halletmektedir. IaaS müşterileri altyapı üzerinde SaaS ve PaaS servislerinin istemcilerinden daha fazla kontrole sahiptir fakat daha fazla teknik bilgi gerektirmektedir. Amazon Web Servisleri yaygın kullanılan bir IaaS’dir.

Bazı Cloud Saldırı Tipleri

Cloud Malware Enjeksiyon Saldırıları

Cloud Malware enjeksiyon saldırıları; kullanıcının cloud’daki bilgilerini kontrol altına almak için kullanılır. Bu nedenle saldırganlar SaaS veya PaaS çözümüne virüslü bir hizmet uygulama modülü  ya da IaaS çözümüne sanal makine örnekleri ekleyerek  kullanıcının cloud isteklerini saldırganın modülüne yönlendirerek kötü amaçlı kodun yürütülmesini  başlatır.

Yan Kanal Saldırıları,

Saldırganlar, hedef sanal makine ile birlikte kötü amaçlı bir sanal makine yükleyerek aynı anda yan kanal saldırıları düzenler. Bu sırada saldırganların amacı kriptografik algoritmaların sistem uygulamalarına erişebilmektir. Bu tür saldırılara cloud için ciddi derecelerde yıkıma sebep olabilir.

 APT

APT saldırısı, saldırganların cloud da depolanan hassas verileri sürekli çalmalarına veya yasal kullanıcılar tarafından fark edilmeden cloud hizmetlerinden yararlanmalarına izin veren saldırılardır. Yetkisiz erişim sağlandıktan sonra saldırganlar veri merkezi ağları arasında dolaşabilir ve ağ trafiğini kullanabilir.

Spectre -Meltdown

Spectre ve Meltown saldırıları saldırganlar kötü amaçlı JavaScript kodu ile uygulamalar ve işletim sistemi arasındaki yalıtımı kırarak saldırganların çekirdekten bilgi okumasına izin veren saldırılardır.

Cloud Sızma Testi Nedir?

Cloud sızma  testi, cloud sisteminin kötü amaçlı koddan gelen saldırıyı simüle ederek aktif olarak kontrol etmenin ve incelemenin bir yöntemidir. Böylece hangi Cloud modelini kullandığınızdan bağımsız bir şekilde servislerinizin kırılganlığını ölçümleyebilirsiniz.

Cloud Pentest Hakkında Merak Edilen Sorular

Cloud Pentest Yaptırırken Nelere Dikkat Etmeliyim?2019-10-24T11:34:52+03:00
  • Kullanıcı adı ve şifre ile kullanıcıları doğrulayın.
  • Hizmet Sağlayıcıları Politikasına dikkat ederek Kodlama Politikasını güvence altına alın.
  • Güçlü parola politikası tavsiye edilir.
  • Kuruluş bazında düzenli olarak kullanıcı hesap adlarını, bulut sağlayıcıları tarafından atanan bir şifre gibi değiştirin.
  • Penetrasyon Testi sırasında açığa çıkan bilgileri koruyun.
  • Parola şifreleme önerilebilir.
  • SaaS Uygulamaları için merkezi Kimlik Doğrulama veya tek oturum açma kullanın.
  • Güvenlik Protokollerinin güncel ve esnek olduğundan emin olun.
Bilinen Cloud Saldırıları Nelerdir?2019-10-24T11:34:21+03:00

Siteler Arası Sahtecilik (Cross-Site Request Forgery): CSRF, kurbanı, doğası gereği zararlı olan, kullanıcı olarak bazı görevleri yerine getirme isteği göndermeye ikna etmek için tasarlanmış bir saldırıdır.

Yan Kanal Saldırıları (Side Channel Attacks): Bu saldırı türü buluta özgüdür ve potansiyel olarak çok yıkıcıdır, ancak büyük ölçüde beceri ve şans gerektirir.

Bu saldırı şekli, mağdurun gizliliğini dolaylı olarak bulutta paylaşılan kaynakları kullandıkları gerçeğinden yararlanarak ihlal etmeye çalışır.

İmza Sarma Atakları (Signature Wrapping Attacks): Bu, başka bir saldırı türüdür, bulut ortamına özgü değildir, ancak bir web uygulamasının güvenliğini açısından tehlikeli bir yöntemdir.

Temel olarak, imza sarma saldırısı, web servislerinde kullanılan bir tekniğin kullanılmasına dayanır.

Diğer Ataklar:

  • Ağ koklama kullanarak servis kaçırma
  • XSS saldırıları kullanarak oturum kaçırma
  • Alan Adı Sistemi (DNS) saldırıları
  • SQL enjeksiyon saldırıları
  • Kriptanaliz saldırıları
  • Hizmet reddi (DoS) ve Dağıtılmış DoS saldırıları

Gibi örnekler verilebilir.

Neden Cloud Sızma Testi Yaptırmalıyım?2019-10-24T11:33:00+03:00

Sistemlerinizdeki güvenlik açıklarının siber güvenlik şirketleri tarafından kontrol edilmesi, güçlü ve zayıf yanlarının raporlanarak bilginize sunulması sistem güvenliğiniz adına büyük önem arz etmektedir.

Fakat şirketinizin güvenliği sistemleriniz kadar Cloud tabanlı altyapınızın güvenliğine de bağlıdır. Cloud sızma testi hizmetimiz, buluttaki varlıklarınızın gerçekten ne kadar güvenli olduğunu belirlemenizde yardımcı olacaktır.