概要
クラウド侵入テストは、過剰な権限を持つIAM、露出したストレージ、メタデータの悪用、クラウドネイティブサービス間の権限昇格など、従来の侵入テストでは見逃される設定ミスやアイデンティティに基づく攻撃経路についてクラウド環境を評価します。CIS Benchmarksに照らした設定レビューと、実地でのエクスプロイトを組み合わせます。AWS、Azure、Google Cloudにわたる模擬攻撃を通じてクラウド環境を評価します。テストは責任共有モデルを反映し、顧客が保護すべきクラウドの設定ミスとアイデンティティの弱点に焦点を当てます。
方法論&標準
CIS Benchmarks(AWS/Azure/GCP)、プロバイダーのテストポリシー、MITRE ATT&CK for Cloudを、PTESおよびNIST SP 800-115の枠組みの中で活用します。各実施は攻撃対象領域のレビュー、設定の評価、アクセス制御の検証、ならびに復旧とレジリエンスの考慮事項を網羅します。
含まれる内容
提供される成果物
よくある質問
ユーザーが操作するほとんどのリソースについて、各プロバイダーは現在、事前承認なしのテストを許可していますが、一部のマネージドサービスはなお通知を必要とします。当社はスコープ策定時にプロバイダーのポリシーを確認し、その範囲内で実施します。
いいえ。ポスチャツールは設定ミスを指摘しますが、当社はそれらを悪用し、過剰な権限を持つロールや露出した認証情報を、実際の権限昇格とデータアクセスへと連鎖させます。
はい。組み合わせた実施では、アプリ層の足がかりがクラウドのIAMを通じてどのように昇格していくかをマッピングします。これは実際の侵害が展開する仕方そのものです。
一般的な問題には、安全でないAPI、過剰な権限、サーバーの設定ミス、脆弱な認証情報、古いソフトウェアが含まれます。