Cloud Pentest

Schützen Sie Ihre Cloud Umgebung

Was sind Einfallstore für Angreifer?

Der Trend, Daten in Clouds wie AWS, Azure oder der Google-Cloud zu speichern ist ungebrochen. Mit dem Umzug in die Cloud verlieren Unternehmen jedoch nicht die gesamte Verantwortung für den Schutz dieser Daten. Während die Provider für den Schutz der Cloud selbst verantwortlich sind, müssen Sie als Nutzer die Sicherheit Ihrer Daten sicherstellen.

Die zugrundeliegende Cloud-Infrastruktur kann noch so sicher sein – werden Anwendungen in der Cloud falsch aufgesetzt, schwache Passwörter verwendet oder Berechtigungen nicht restriktiv genug gesetzt, können Angreifer diese Schwachstellen ausnutzen, um möglicherweise die gesamte Cloud-Infrastruktur zu kompromittieren.

Bei unserem Cloud Pentest untersuchen unsere Security Analyst*innen alle relevanten Cloud-Komponenten umfassend und identifizieren mögliche Einfallstore für Angreifer.

Häufige Schwachstellen sind beispielsweise: 

  • Unberechtigter Zugriff auf Konfigurationsdaten der virtuellen Maschinen (Azure VMs, AWS EC2 oder Google Compute Engine)
  • Unberechtigtes Auslesen von Daten (z.B. fehlkonfigurierte AWS S3 Buckets)
  • Je nach Betriebskonzept typische Schwachstellen in herkömmlichen IT-Systemen und Webanwendungen (bspw. bei klassischem Rehosting nach „Lift and Shift“).
  • Preisgabe sensibler Daten für die Dienste des Cloud Service Providers wie Access Keys

Wie gehen wir beim Cloud Pentest vor?

Wir führen Pentests anhand einer einheitlichen Methodik durch, die bei Cloud Pentests um spezifische Elemente erweitert wird:

Bei der Überprüfung auf Schwachstellen von Systemen und Anwendungen in Cloud-Umgebungen greifen unsere Security Analyst*innen auf ihre langjährige Erfahrung mit Pentests traditioneller On-Premise-Lösungen zurück. Zusätzlich wird Ihre Umgebung auf Verwundbarkeiten von Cloud-Diensten untersucht. Dabei setzen unsere Security Analyst*innen etablierte Cloud-spezifische Tools ein. Die Resultate werden in unsere usd HeroLab Toolchain integriert. Die so gewonnen Informationen fließen anschließend in die manuelle Überprüfung Ihrer Cloud-Umgebung ein.

 

Welche Überprüfungen sind Bestandteil des Cloud Pentests?

Beim Pentest Ihrer Anwendungen und Systeme in der Cloud sind die Prüfungen des System Pentest bzw. Pentest von Webapplikationen Bestandteil. Zusätzlich werden Cloud-spezifische Tests im Rahmen des Cloud-Pentest durchgeführt, wie z.B.:

 

  • Untersuchung von AWS S3 Buckets und Azure Storage Accounts auf Fehlkonfigurationen in der Zugriffsberechtigung
  • Code Review der eingesetzten Lambda-Funktionen und Azure Functions
  • Überprüfung integrierter Anmeldeverfahren, wie z.B. AWS Cognito, auf Schwachstellen
  • Unberechtigter Zugriff auf den Metadaten-Dienst von EC2 Instanzen, Azure VMs oder Google Compute Engine
cloud security audit

Werden Infrastrukturen in der Cloud betrieben, müssen weitere Angriffsvektoren bedacht werden. Denn werden Cloud Services unsicher konfiguriert, kann eine Kompromittierung Ihrer Daten die Folge sein. Daher empfehlen wir Ihnen, durch ein Cloud Security Audit die sichere Konfiguration Ihrer Cloud-Subscription zu überprüfen.

Mehr Einblicke

Pentest: Unsere einheitliche Vorgehensweise

Pentest: Ihre Vorteile auf einen Blick

Angriffe auf die Cloud – Welche Schwachstellen nutzen Hacker aus?

Planen Sie jetzt Ihren Pentest und erhalten Sie unseren Online-Rabatt.

Pentest planen


 

Kontakt

Sie haben Fragen oder Interesse? Sprechen Sie uns gerne an.

 

Telefon: +49 6102 8631-190
E-Mail: vertrieb@usd.de
PGP Key
S/MIME
Kontaktformular

 

Daniel Heyne
usd Team Lead Sales,
Security Consultant Pentest, OSCP, OSCE