Cabecera blog ciberseguridad

¿Qué diferencia un cloud pentesting de un pentesting al uso?

- Ciber 4 All Team

Differences between traditional and cloud pentesting

Hace unos días se hizo público que actores maliciosos están explotando una vulnerabilidad crítica presente en Aviatrix, una solución que permite a las empresas gestionar su infraestructura Cloud mediante múltiples servidores. Gracias a ello, los atacantes podrían ejecutar código de manera remota en las infraestructuras de la víctima y desplegar malware en entornos corporativos Cloud.

Este suceso no es anecdótico, sino una tendencia crítica en el ámbito de la ciberseguridad de las empresas: los malos han puesto el foco en los Software-as-a-Service (SaaS), las Platform-as-a-Service (PaaS) y las Infraestructure-as-a-Service (IaaS).

¿Por qué? Si las empresas migran a la nube gran parte de sus activos y procesos, resulta evidente que los actores hostiles deben modificar sus técnicas y tácticas para llevar a cabo ciberataques contra los entornos Cloud.

¿Y qué pasa con los servicios de ciberseguridad? También se han adaptado, como no podía ser de otra manera, al mundo Cloud. ¿Cómo? Mediante auditorías de seguridad de infraestructuras en la nube y la realización de cloud pentesting, una variante de los test de intrusión avanzados específicamente centrada en entornos Cloud.

A continuación, vamos a desgranar las claves del cloud pentesting y a explicar en qué se diferencia de un servicio de pentesting tradicional.

1. La seguridad de una empresa en la nube incumbe a la compañía y a sus proveedores

En los SaaS, PaaS o IaaS rige un modelo de responsabilidad compartida en términos de ciberseguridad. ¿Por qué? Esta clase de servicios son prestados por compañías que se dedican a ofrecer, por ejemplo, software de índole empresarial como podría ser un entorno de trabajo o un programa de control de stock.

Esta particularidad implica que tanto los proveedores como las propias empresas tienen que asumir una parte de responsabilidad a la hora de proteger los activos en la nube y prevenir los incidentes de seguridad.

En este sentido, es fundamental remarcar que las compañías que contratan SaaS, PaaS o IaaS a terceros deben implementar mecanismos de seguridad para controlar el acceso a los servicios por parte de los usuarios y proteger la información que comparten en la nube. De lo contrario, se estarán exponiendo a incidentes de seguridad graves que pueden generar consecuencias económicas, reputacionales y legales de enorme envergadura.

2. Del pentesting genérico al cloud pentesting: Especializarse o morir

El pentesting es un tipo de servicio de seguridad que ha sido esencial a lo largo de los años en la protección de las empresas. Pero… ¿en qué consiste exactamente el pentesting?

Es un conjunto de pruebas de seguridad ofensiva que se ponen en marcha en un entorno controlado contra una serie de activos previamente definidos. ¿Con qué fin? Los objetivos son variados y pueden ir desde evaluar las medidas de seguridad implementadas para proteger los activos corporativos, hasta explorar si es posible escalar privilegios de usuario o persistir en la infraestructura tecnológica de la empresa.

En el transcurso del pentesting no solo se busca cumplir con los objetivos pactados con la organización, sino que, además, se listan todas las vulnerabilidades detectadas para, posteriormente, proceder a mitigarlas.

¿Cuál es la particularidad del cloud pentesting? Los activos que se someten a los test de intrusión avanzados se encuentran en la nube u operan en la misma:

  • Infraestructura.
  • Procesos.
  • Usuarios.

Así, el cloud pentesting se centra en simular ataques para poner a prueba la seguridad de APIs, o bases de datos. Mientras que los servicios de pentesting nacieron en un mundo pre-Cloud, en el que la infraestructura de las empresas era on premise, en la actualidad los modelos as-a-Service se han convertido en hegemónicos por cuestiones como el precio o la escalabilidad.

Por ello, no debe sorprendernos que la metodología de los servicios de pentesting se haya adaptado a los cambios y, actualmente, se realicen servicios de cloud pentesting para ayudar a las empresas a proteger sus entornos Cloud frente a un panorama de amenazas cada vez más complejo y exigente.

Differences between common pentesting and cloud pentesting

3. ¿Los tipos y las fases del cloud pentesting son diferentes?

No. Al igual que sucede con los test de penetración avanzados tradicionales, las compañías de ciberseguridad prestan tres tipos diferentes de cloud pentesting:

  • Caja negra. En esta modalidad de cloud pentesting los especialistas que prestan el servicio no disponen de información sobre la infraestructura Cloud de la organización, ni sobre los usuarios de la misma.
  • Caja blanca. Por la contra, en esta tipología de cloud pentesting se facilita a los profesionales de ciberseguridad toda la información sobre el entorno Cloud: la tecnología, las cuentas de usuario…
  • Caja gris. Como resulta sencillo deducir, en este caso el equipo de cloud pentesting cuenta con una información parcial sobre los activos Cloud.

Igualmente, el cloud pentesting se sustenta en torno a las mismas cinco grandes fases del tradicional:

  • Reconocimiento. En esta fase los profesionales a cargo del cloud pentesting deben recopilar toda la información posible sobre los activos que van a ser sometidos a los test de intrusión
  • Identificación. En la segunda fase se rastrean vulnerabilidades que permitan a los especialistas cumplir los objetivos marcados.
  • Explotación. Se explotan las vulnerabilidades detectadas previamente.
  • Postexplotación. En la cuarta fase se procede a cumplir los objetivos: moverse lateralmente, persistir, exfiltrar datos de clientes o información corporativa crítica…
  • Elaboración de informes de pentest. Finalmente, el equipo a cargo del cloud pentesting debe entregar a la empresa un informe detallado con todas las pruebas realizadas, las vulnerabilidades encontradas, las evidencias recopiladas y una lista de medidas que pueden contribuir a mejorar la postura de seguridad de la compañía y mitigar las debilidades encontradas en los activos sometidos a los test.

4. ¿Hay herramientas específicas para la realización del cloud pentesting?

Sí, los profesionales de pentesting tienen a su disposición un amplio abanico de herramientas que son de utilidad a la hora de llevar a cabo test de intrusión avanzados como herramientas de escaneo de vulnerabilidades (Nessus), soluciones de ataque de fuerza bruta (Hydra) o herramientas de análisis y descubrimiento de APIKeys (Trufflehog).

En lo que respecta al cloud pentesting, se pueden emplear múltiples soluciones que permiten realizar análisis de seguridad en entornos Cloud de los tres principales proveedores a nivel mundial:

  • Microsoft Azure: Adconnectdump, MicroBurst, ROADtools, ScoutSuite, Stormspotter, herramientas de la interfaz de la línea de comandos de Azure…
  • Amazon Web Services: AWS_Consoler, Boto3, BucketFinder, Cloudspaining, Enumerate-iam, Pacu, herramientas de la interfaz de la línea de comandos de AWS.
  • Google Cloud: GCP BucketBrute, GCP Firewall Enum, GCP IAM Collector, Hayat, ScoutSuite…

5. Beneficios del cloud pentesting para las empresas

¿Por qué las empresas que operan en la nube y trabajan con SaaS o IaaS deben contar con servicios de cloud pentesting? ¿Qué beneficios les pueden reportar los test de intrusión avanzados focalizados en activos Cloud?

  1. Prevenir las amenazas más comunes en los entornos Cloud (brechas de datos, despliegue de ransomware, ataques de cadena de suministro) y mejorar su resiliencia ante los incidentes de seguridad.
  2. Comprobar fehacientemente si un activo crítico en la nube puede ser atacado de manera eficaz por actores maliciosos.
  3. Descubrir las vulnerabilidades presentes en la infraestructura Cloud corporativa.
  4. Conocer qué medidas se pueden implementar para subsanar las debilidades detectadas durante el cloud pentesting y mejorar los mecanismos defensivos de la compañía con respecto a sus activos en la nube.

Conclusión: un servicio esencial en el escenario actual

En definitiva, tanto las auditorías de seguridad cloud como el cloud pentesting se han convertido en servicios de ciberseguridad críticos ante la extensión masiva de infraestructuras, servicios y aplicaciones Cloud en empresas de todos los sectores y tamaños.

Gracias a estos servicios, las compañías pueden actuar de manera proactiva para prevenir incidentes de seguridad que se salden con pérdidas económicas y conflictos legales de enorme gravedad. ¿Quieres saber más? Contacta con nosotros para transmitirnos tus necesidades y evaluamos sin compromiso las soluciones adecuadas para tu caso.