SEC588: Teste de penetração na nuvem (36 CPEs)

As cargas de trabalho de computação estão migrando para a nuvem há anos. Os analistas preveem que a maioria, senão todas as empresas, terá cargas de trabalho em ambientes públicos e em nuvem em um futuro muito próximo. Embora as organizações que começam em um ambiente que prioriza a nuvem possam eventualmente migrar para uma nuvem híbrida e uma solução de data center local, o uso da nuvem não diminuirá significativamente. Portanto, quando se trata de avaliar o risco para as organizações, precisamos estar preparados para avaliar a segurança dos serviços fornecidos pela nuvem.

Neste curso, você aprenderá as últimas novidades em técnicas de teste de penetração com foco na nuvem e como avaliar ambientes em nuvem. As perguntas mais comuns sobre segurança em nuvem são “Preciso de treinamento para testes de penetração específicos para nuvens” e “Posso cumprir meus objetivos com outro treinamento de pen test e aplicá-lo à nuvem?” A resposta a ambas as perguntas é sim, mas para entender por que, precisamos abordar a importância explícita de ter testes de penetração focados na nuvem.

Em ambientes de provedor de serviços em nuvem, os testadores de penetração não encontrarão um design de data center tradicional. Especificamente, o que confiamos para ser verdade em um ambiente tradicional – como quem é o proprietário do sistema operacional, quem é o proprietário da infraestrutura e como os aplicativos estão sendo executados – provavelmente será muito diferente. Aplicativos, serviços e dados serão hospedados em um ambiente de hospedagem compartilhada que é potencialmente exclusivo para cada provedor de nuvem.

O que torna a nuvem nativa diferente? A Cloud Native Computing Foundation, que foi contratada para fornecer orientação sobre o que é um aplicativo que prioriza a nuvem e o que é nativo da nuvem, afirma que o aplicativo e o ambiente serão compostos de contêineres, malhas de serviço, microsserviços, infraestrutura imutável e APIs declarativas. Embora alguns desses itens estejam disponíveis em um ambiente fora da nuvem, na nuvem esses recursos são ainda mais decompostos em serviços que são disponibilizados pelos provedores de nuvem. Nesse ambiente, um exemplo de complexidade é uma arquitetura de microsserviços em que pode haver uma máquina virtual, um container ou mesmo o que é considerado uma área de hospedagem “sem servidor”. Devemos, portanto, lidar com a complexidade adicional para avaliar adequadamente este ambiente, permanecer dentro dos limites legais e aprender maneiras novas e diferentes de realizar o que consideraríamos ataques legados.

O SEC588 se aprofunda nesses tópicos, bem como em outros novos tópicos que aparecem na nuvem, como microsserviços, armazenamentos de dados na memória, arquivos na nuvem, funções sem servidor, malhas Kubernetes e contêineres. O curso também cobre especificamente os testes de penetração do Azure e AWS, o que é particularmente importante, visto que a Amazon Web Services e a Microsoft respondem por mais da metade do mercado. O objetivo não é demonstrar essas tecnologias, mas sim ensiná-lo a avaliar e relatar o verdadeiro risco que a organização pode enfrentar se esses serviços não forem seguros.

Requisitos de laptop

Importante! Traga seu próprio sistema configurado de acordo com estas instruções!

Um sistema devidamente configurado é necessário para participar totalmente deste curso. Se você não ler e seguir atentamente essas instruções, provavelmente deixará a classe insatisfeito porque não poderá participar dos exercícios práticos essenciais para este curso. Portanto, recomendamos enfaticamente que você chegue com um sistema que atenda a todos os requisitos especificados para o curso.

É fundamental que você faça backup de seu sistema antes da aula. Também é altamente recomendável que você não traga um sistema que armazene dados confidenciais.

Requisitos de hardware do sistema

CPU

• Processador Intel i5 / i7 2.0+ GHz de 64 bits
• O processador do seu sistema deve ser um processador Intel i5 ou i7 2.0 GHz de 64 bits ou superior. Sua CPU e sistema operacional devem oferecer suporte a uma máquina virtual convidada de 64 bits.
• A VMware fornece uma ferramenta gratuita para Windows que detecta se o seu host suporta ou não máquinas virtuais convidadas de 64 bits.
• Os usuários do Windows podem usar este artigo para aprender mais sobre seus recursos de CPU e sistema operacional.
• Os usuários da Apple podem usar esta página de suporte para aprender mais informações sobre a capacidade do Mac de 64 bits.

BIOS

• Ativado “Intel-VT”
• A tecnologia de virtualização de hardware VT (VT-x) da Intel deve ser ativada nas configurações de BIOS ou UEFI do seu sistema. Você deve ser capaz de acessar o BIOS do seu sistema durante a aula. Se o seu BIOS é protegido por senha, você deve ter a senha.

USB

• Porta USB 3.0 Tipo A
• É necessária pelo menos uma porta USB 3.0 Tipo A disponível para copiar grandes arquivos de dados dos pen drives USB 3.0 que fornecemos em sala de aula. A porta USB não deve ser bloqueada em hardware ou software. Alguns laptops mais recentes podem ter apenas as portas Type-C menores. Neste caso, você precisará trazer um adaptador USB Type-C para Type-A.

RAM

• 8 GB de RAM (mínimo de 4 GB) são necessários para a melhor experiência. Para verificar no Windows 10, pressione a tecla Windows para abrir Configurações, clique em “Sistema” e em “Sobre”. Suas informações de RAM estarão na parte inferior da página. Para verificar em um Mac, clique no logotipo da Apple no canto superior esquerdo da tela e clique em “Sobre este Mac”.

Espaço Livre no Disco Rígido

60 GB GRÁTIS de espaço GRATUITO no disco rígido é fundamental para hospedar as máquinas virtuais e arquivos adicionais que distribuímos. Os drives SSD também são altamente recomendados, pois permitem que as máquinas virtuais funcionem muito mais rápido do que os discos rígidos mecânicos.

Sistema operacional

• Versão mais recente do Windows 10, macOS 10.15.x ou posterior, ou Linux que também pode instalar e executar produtos de virtualização VMware descritos abaixo. É necessário atualizar totalmente o sistema operacional host antes da aula para garantir que você tenha os drivers e patches corretos instalados para utilizar os dispositivos USB 3.0 mais recentes. Aqueles que usam um host Linux também devem ser capazes de acessar partições exFAT usando o kernel apropriado ou módulos FUSE.
• Nota: Os sistemas Apple que usam o processador M1 não podem realizar a virtualização necessária neste momento e não podem ser usados ??para este curso.

Requisitos Adicionais de Hardware

Os requisitos abaixo são adicionais aos requisitos básicos fornecidos acima. Antes do início da aula, você deve instalar o software de virtualização e atender aos requisitos adicionais de hardware e software conforme descrito abaixo. Se você não ler e seguir atentamente essas instruções, sairá da classe insatisfeito porque não poderá participar dos exercícios práticos essenciais para este curso.

• Rede, conexão sem fio
• É necessário um adaptador de rede sem fio 802.11 B, G, N ou AC. Pode ser o adaptador sem fio interno em seu sistema ou um adaptador sem fio USB externo. Um adaptador sem fio permite que você se conecte à rede sem cabos. Se você pode navegar na Internet em seu sistema sem conectar um cabo de rede, você tem wireless.

Requisitos Adicionais de Software

• Baixe e instale o VMware Workstation Pro 15.5.x, VMware Player 15.5.x ou Fusion 11.5.x ou versões superiores antes da aula. Se você não possui uma cópia licenciada do VMware Workstation ou Fusion, pode baixar uma cópia de avaliação gratuita de 30 dias da VMware. A VMware enviará a você um número de série com limite de tempo se você se registrar para a avaliação em seu site.
• Outros softwares de virtualização, como VirtualBox e Hyper-V, não são apropriados devido aos problemas de compatibilidade e solução de problemas que você pode encontrar durante as aulas.
• VMware Workstation Pro e VMware Player no Windows 10 não é compatível com as tecnologias Windows 10 Credential Guard e Device Guard. Desative esses recursos durante a aula, se eles estiverem ativados em seu sistema, seguindo as instruções neste documento.

Definições de configuração do sistema

• Administrador local – tenha uma conta com privilégios de administrador local.
• Algumas das ferramentas usadas no curso exigirão acesso de administrador local. Isso é absolutamente necessário. Se sua empresa não permitir esse acesso durante o curso, você deve providenciar um sistema diferente.
• Desativar VPN – A capacidade de desativar o cliente VPN da empresa temporariamente para alguns exercícios.
• Os clientes VPN corporativos podem interferir na configuração de rede necessária para participar da aula. Para evitar qualquer frustração na aula, desinstale ou desative o cliente VPN da sua empresa enquanto durar a aula. Se você o mantiver instalado, certifique-se de ter acesso para desabilitá-lo ou desinstalá-lo na aula.
• Desativar AV – A capacidade de desativar suas ferramentas antivírus temporariamente para alguns exercícios.
• Você será solicitado a desabilitar suas ferramentas antivírus temporariamente para alguns exercícios, portanto, certifique-se de ter as permissões de administrador do antivírus para fazer isso. NÃO planeje apenas encerrar seu serviço ou processos antivírus, porque a maioria das ferramentas antivírus ainda funcionam mesmo quando seus serviços e processos associados foram encerrados. Para muitos clientes gerenciados pela empresa, a desativação da ferramenta antivírus pode exigir uma senha diferente da senha da conta do administrador. Traga essa senha de administrador para sua ferramenta antivírus.
• A mídia do seu curso agora será entregue via download. Os arquivos de mídia para a aula podem ser grandes, alguns na faixa de 40 a 50 GB. Você precisa permitir bastante tempo para que o download seja concluído. As conexões e a velocidade da Internet variam muito e dependem de muitos fatores diferentes. Portanto, não é possível dar uma estimativa do tempo que levará para baixar seus materiais. Inicie os downloads de mídia do curso assim que receber o link. Você precisará da mídia do curso imediatamente no primeiro dia de aula. Esperar até a noite anterior ao início da aula para começar o download tem uma grande probabilidade de falha.

SANS começou a fornecer materiais impressos em formato PDF. Além disso, certas classes estão usando uma pasta de trabalho eletrônica, além dos PDFs. O número de aulas usando eWorkbooks aumentará rapidamente. Neste novo ambiente, descobrimos que um segundo monitor e / ou um tablet pode ser útil, mantendo os materiais da aula visíveis enquanto o instrutor está apresentando ou enquanto você está trabalhando nos exercícios de laboratório.

• SEC588.1: Arquitetura, descoberta e reconhecimento em escala
• Metodologia de Avaliação de Nuvem
• Componentes de infraestrutura de nuvem
• Termos de serviço e pontos de demarcação
• Recon em escala de nuvem
• Endereçamento IP e hosts em provedores de serviços em nuvem
• Mapeamento de URLs para serviços
• Commonspeak2 e listas de palavras
• Auxiliares de visualização
• Estruturas de descoberta de ativos

• SEC588.2: Ataque aos sistemas de identidade
• O Processo de Mapeamento
• Autenticações e material chave
• Introdução ao AWS Command Line Interface (CLI)
• Introdução à CLI do Azure
• Coleta de nome de usuário
• Compartilhamentos de arquivos não autenticados
• Microsoft Identity Systems e Azure Active Directory
• Padrões de autenticação na web
• SAML e Golden SAML
• Introdução ao Mailman

• SEC588.3: Ataque e abuso de serviços em nuvem
• Mimikatz e PRT
• Microsoft Graph para extração de dados
• Caminhos de escalonamento de privilégios AWS IAM
• AWS Compute
• Amazon KMS e chaves
• PACU para AWS Attack Automation
• Máquinas Virtuais Azure
• Execução de código em VMs do Azure

• SEC588.4: Vulnerabilidades em aplicativos nativos da nuvem
• Ações TravisCI e Git
• Pipelines de implantação
• Injeções de aplicativos da web
• Falsificações de solicitações do servidor e seus impactos
• Injeções de linha de comando
• Funções sem servidor na AWS
• Funções sem servidor no Azure
• Bancos de dados expostos e portas
• Injeções de SQL em aplicativos de nuvem

• SEC588.5: Ataques de infraestrutura e equipe vermelha
• Clusters Kubernetes e Kubernetes
• Aproveitando backdoors em clusters
• Equipe Vermelha e Metodologias
• Carcaças pesadas e leves
• Contrabando de dados
• Fronting de Domínio
• Evitando detecções

• SEC588.6: Evento Capstone
• No último dia do curso, esteja preparado para trabalhar em equipe e concluir uma avaliação de ponta a ponta em um novo ambiente de nuvem. Os aplicativos e configurações foram todos recentemente projetados para imitar os ambientes do mundo real. Esta seção do curso foi projetada para permitir que os alunos juntem o valor da semana de conhecimento, reforcem a teoria e a prática e simulem um teste de ponta a ponta. É também um evento decisivo, pois pediremos aos alunos que escrevam um relatório usando um método de fácil leitura para desenvolvedores e equipe administrativa. Forneceremos aos alunos algumas rubricas e maneiras de trabalhar os cenários. Sempre há soluções novas e inovadoras, e gostamos que os alunos compartilhem o que aprenderam e como fizeram o que fizeram uns com os outros.

• Ex-alunos de:
• SANS SEC488: Cloud Security Essentials
• SANS SEC542: Teste de Penetração de Aplicativos da Web e Hacking Ético
• SANS SEC540: Segurança em nuvem e automação DevOps
• SANS SEC560: Teste de Penetração de Rede e Hacking Ético

Este curso tem muitos laboratórios, por isso é fundamental que os alunos venham preparados com o seguinte nível básico de conhecimento:

• Familiaridade com o Linux bash – Não é um nível de especialista, mas um entendimento básico
• Familiaridade básica com as ferramentas do Azure e AWS CLI
• Conhecimento básico de rede e TCP / IP
• Compreensão rudimentar do console Metasploit CLI
• Compreender como funcionam os pivots

Os alunos que fizeram o SEC560 terão o conhecimento necessário em alguns dos tópicos acima, mas também podem querer dar uma olhada em:

• CLI do Azure
• AWS CLI
• Exemplos de AWS CLI

Os alunos vindos do SEC540 ou de um curso de nuvem diferente irão querer dar uma olhada nos seguintes materiais:

• SANS Cheatsheets
• SANS Metasploit Cheatsheet

• Realizar testes de penetração baseados em nuvem
• Avaliar ambientes de nuvem e trazer valor de volta para os negócios localizando vulnerabilidades
• Entender em primeira mão como os ambientes de nuvem são construídos e como escalar fatores na coleta de evidências
• Avaliar os riscos de segurança em ambientes Amazon e Microsoft Azure, as duas maiores plataformas de nuvem do mercado hoje