29 jul. 2019

Cloud Penetration Testing Playbook

Las pruebas de seguridad son cruciales para garantizar la seguridad de los entornos, sistemas y servicios en la nube. En este nuevo documento de CSA "Cloud Penetration Testing Playbook" se discute las formas más comunes de Pentesting en relación con los entornos de nube.

Las pruebas de penetración, según lo define el NIST, es un tipo especializado de evaluación técnica realizada en sistemas de información o componentes individuales del sistema para identificar vulnerabilidades que podrían ser explotadas por adversarios.
Dichas pruebas pueden usarse para identificar vulnerabilidades o determinar el grado de resistencia que los sistemas de información organizacional tienen para los adversarios dentro de un conjunto de restricciones específicas (por ejemplo, tiempo, recursos y/o habilidades) 1. La definición de ENISA es conceptualmente similar a la de NIST.

Tradicionalmente, el objetivo principal de las pruebas de penetración es identificar las debilidades técnicas de seguridad y la resistencia de los sistemas. Sin embargo, una aplicación más amplia de las pruebas de seguridad también sirve para evaluar una implementación de la organización de la política de seguridad, requisitos de cumplimiento, la efectividad de la conciencia de seguridad de los empleados y la capacidad de identificar y responder a incidentes de seguridad. Por lo tanto, las pruebas de penetración son esenciales para cualquier esfuerzo de defensa holístico, ya que brindan visibilidad de la seguridad del sistema, su garantía (o su ausencia) y producen mitigaciones altamente procesables para impulsar la seguridad de los sistemas y entornos involucrados.

A medida que los servicios en la nube continúan habilitando nuevas tecnologías, ven una adopción masiva y se convierten en una base para muchas empresas, existe la necesidad de ampliar el alcance de las pruebas de penetración en la nube pública.

El proceso descrito aquí por CSA tiene como objetivo proporcionar la base para una metodología de prueba de penetración de nube pública y está diseñado para las tecnologías actuales y futuras que se alojan en entornos o servicios de nube pública. En particular, este documento se centra en las pruebas de penetración de aplicaciones y servicios alojados en la nube. Aborda las lagunas metodológicas y de conocimiento en las pruebas de seguridad de los sistemas y aplicaciones de información en entornos de nube pública.

Este trabajo se centra en probar sistemas y servicios alojados en entornos de nube pública de acuerdo a STRIDE. Esto se refiere a los sistemas y servicios controlados por el cliente. Por ejemplo, una máquina virtual personalizada, administrada y controlada por el cliente de la nube, en un entorno IaaS estaría dentro del alcance, mientras que el hipervisor de un entorno IaaS que está controlado por el proveedor de servicios en la nube no lo está. En cuanto a las pruebas de nubes híbridas, este documento no cubre la interfaz híbrida ni el entorno local.

El público objetivo de este documento son los pentesters y los profesionales de seguridad de sistemas basados ​​en la nube. Sin embargo, las primeras páginas proporcionarán a los CIOs, CISOs y la alta gerencia una comprensión de qué es la prueba de penetración de la nube, su alcance, su contexto, sus objetivos y cómo encaja dentro de una estrategia de ciberseguridad. Los desarrolladores y arquitectos también encontrarán útil este documento al diseñar sistemas seguros (basados ​​en la nube pública).

Este documento es el complemento ideal para Pen Testing in the Cloud.

Fuente: CSA

0 comentarios:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info
Si vas a dejar una consulta, procura tener habilitado tu perfil en Blogger o deja una forma de contacto.

Gracias por comentar!