Gli attaccanti non entrano, ma accedono: Il punto cieco dell'MFA

Bollettino dei cyberattacchi: Gli attaccanti non entrano, ma accedono: Il punto cieco dell'MFA >

Vectra AI Giappone, ITR発行の最新レポート内「NDR市場」にて国内トップシェアを獲得
詳細を見る
Icona dell'hamburger in alto
Icona dell'hamburger linea centrale
Icona dell'hamburger linea di fondo
Superfici di attacco

Halberd: Lo strumento open source che democratizza i test di sicurezza multiCloud

2 ottobre 2024
Arpan Sarkar
Ingegnere di sicurezza senior
Halberd: Lo strumento open source che democratizza i test di sicurezza multiCloud

In un panorama in continua evoluzione come quello della sicurezza cloud , stare al passo con le minacce è come cercare di colpire un bersaglio in movimento con gli occhi bendati. I team che si occupano di sicurezza si trovano di fronte a una sfida ardua: come testare in modo coerente ed efficace la sicurezza su più piattaforme cloud , senza spendere una fortuna e senza esaurire il team. Con l'accelerazione dell'adozione cloud , la necessità di strumenti di test di sicurezza accessibili e completi non è mai stata così forte. Ecco Halberd, lo strumento di test di sicurezza open source che sta per aggiornare il modo in cui affrontiamo le valutazioni della sicurezza cloud .

Halberd mira a democratizzare i test di sicurezza. Crediamo che tutti coloro che desiderano eseguire test di sicurezza debbano essere in grado di farlo senza vincoli di risorse disponibili, come competenze, persone, tempo o budget. Fornendo uno strumento intuitivo e accessibile, Halberd consente alle organizzazioni di tutte le dimensioni di assumere il controllo dei propri test di sicurezza cloud .

Perché Halberd? Perché la sicurezza Cloud non dovrebbe essere una scienza missilistica

Ammettiamolo: testare la sicurezza cloud su Entra ID, M365, AWS e Azure può sembrare come destreggiarsi con una motosega mentre si guida un monociclo. Ogni piattaforma ha le sue stranezze e mettere insieme una valutazione completa della sicurezza spesso richiede un'accozzaglia di strumenti e script. Halberd si propone di cambiare questa situazione offrendo un'interfaccia unificata e intuitiva per l'esecuzione di tecniche di attacco su più superfici cloud .

Come mi piace dire: "I problemi complessi non hanno bisogno di soluzioni complesse". Questa filosofia è alla base del design di Halberd.

Ecco Halberd: il vostro nuovo aiutante preferito per i test di sicurezza

Halberd è uno strumento di test di sicurezza open-source che consente ai professionisti della sicurezza di valutare in modo proattivo le loro difese cloud . Con la sua elegante interfaccia web, Halberd rende l'esecuzione di tecniche di attacco complesse facile come ordinare una pizza online (senza i carboidrati e i rimpianti).

È importante notare che Halberd è uno strumento potente per i test di sicurezza, ma non sostituisce una vera e propria esercitazione di red team. Al contrario, è stato progettato per colmare le lacune in cui i test di sicurezza regolari potrebbero essere carenti a causa della scarsità di risorse o di altre sfide. Halberd consente ai team di eseguire valutazioni di sicurezza frequenti e mirate, a complemento di strategie di sicurezza più complete.

Schermata dell'interfaccia di Halberd che mostra i TTP

La salsa segreta di Halberd: Semplicità, velocità ed efficacia

  1. Semplicità: L'interfaccia utente intuitiva di Halberd non richiede un dottorato in scienze missilistiche per eseguire test di sicurezza avanzati.
  2. Velocità: Distribuire rapidamente e iniziare a testare più velocemente di quanto si possa direcloud misconfigurazionecloud ".
  3. Efficacia: Eseguire tecniche di attacco reali per identificare le lacune di sicurezza prima che lo facciano i cattivi.

Sebbene Halberd sia ancora nelle sue fasi iniziali, è già in grado di dare il meglio di sé con oltre 80 tecniche uniche su Entra ID, M365, AWS e Azure. E come un vino pregiato o il vostro formaggio preferito, migliorerà solo con l'età (e con i contributi della comunità).

Cosa distingue Halberd?

Halberd non è qui per sostituire il vostro kit di strumenti esistente, ma per potenziarlo. Mentre altri strumenti possono eccellere in aree specifiche, Halberd mira a essere il vostro negozio unico per i test di sicurezza cloud . La sua interfaccia web lo rende accessibile sia ai pentester esperti che a quelli che si stanno avvicinando al mondo della sicurezza cloud .

Facile gestione dell'accesso Cloud

Una caratteristica che spicca è la facilità di gestione degli accessi di Halberd. La gestione degli accessi su più piattaforme cloud può essere un incubo, ma Halberd semplifica questo processo. È possibile stabilire, visualizzare e gestire facilmente l'accesso ai vari ambienti di destinazione da un unico strumento. Questa gestione centralizzata degli accessi snellisce il processo di test fornendo una chiara visibilità delle identità di test.

Schermata di Halberd che mostra la gestione semplificata dell'accesso cloud

Playbook di attacco con Automator

La funzione Automator porta le capacità di Halberd a un livello superiore. Creando playbook di attacco, è possibile eseguire facilmente scenari di attacco complessi e in più fasi con un solo clic. Avete bisogno di testare il vostro processo di risposta agli incidenti? Create un playbook che simuli una catena di attacchi realistica. La funzione di pianificazione consente di ripetere i test, assicurando che le difese rimangano solide nel tempo e che non si verifichino guasti silenziosi. Inoltre, la possibilità di condividere e importare i playbook consente di sfruttare la saggezza collettiva della comunità della sicurezza, implementando facilmente i casi di test sviluppati da altri esperti.

Ma ecco la parte migliore: ricordate a scuola quando copiare i compiti era disapprovato? Ebbene, nel mondo di Halberd lo incoraggiamo! La possibilità di condividere e importare playbook significa che è possibile "copiare" i "compiti di sicurezza" di altri esperti. Quindi, utilizzate pure il brillante playbook creato dal vostro collega - non lo diremo a nessuno. Dopotutto, perché reinventare la ruota quando si può prendere in prestito quello perfettamente valido di qualcun altro? Ricordatevi solo di offrire un caffè al creatore del playbook originale, prima o poi!

Sotto il cofano, Halberd sfrutta metodi potenti e specifici della piattaforma per interagire con diversi ambienti cloud :

  • Grafico Microsoft
  • SDK AWS per Python (boto3)
  • Azure CLI e Azure SDK per Python

Ciò garantisce che Halberd possa eseguire test approfonditi e accurati su tutte le piattaforme supportate, presentando all'utente un'interfaccia unificata.

Segnalazione

Anche le funzionalità di reporting di Halberd sono particolarmente utili. Lo strumento registra le tecniche eseguite durante le sessioni di test e genera un rapporto completo e ricco di dati. Questi rapporti forniscono:

  • Un riepilogo esecutivo con le metriche chiave, tra cui il totale delle tecniche eseguite, i tassi di successo e la durata dei test.
  • Dettagliate analisi delle tattiche e delle tecniche utilizzate, con il conteggio delle esecuzioni e le percentuali di successo.
  • Analisi per fonte, che mostra quali identità o sistemi sono stati utilizzati per eseguire i test.
  • Registri cronologici dell'esecuzione di ogni tecnica, compresi i timestamp, i risultati e gli obiettivi.
  • Rappresentazioni visive dei dati attraverso grafici e diagrammi per una facile interpretazione

Questo livello di dettaglio trasforma i dati grezzi dei test in informazioni utili, aiutando i team di sicurezza a comprendere rapidamente i punti di forza e di debolezza dell'ambiente cloud .

Testare presto, testare spesso: Il vostro Cloud vi ringrazierà

Ricordate, gente: la sicurezza cloud non è una cosa che si fa una volta sola. È un processo continuo, come cercare di mantenere la casella di posta elettronica a zero o mantenere un lievito madre. I test regolari sono la chiave per essere al passo con le minacce e Halberd semplifica l'integrazione delle valutazioni di sicurezza nella vostra routine.

Unisciti alla rivoluzione dell'Alabarda!

Stiamo chiamando a raccolta tutti gli appassionati di sicurezza cloud , i cacciatori di bug e chiunque abbia mai pensato "ci deve essere un modo migliore" mentre testava ambienti cloud . Provate Halberd, mettetelo alla prova e fateci sapere cosa ne pensate. E se vi sentite particolarmente ispirati, perché non contribuire al progetto? Insieme, possiamo rendere i test di sicurezza cloud meno un grattacapo e più un... beh, un po' meno un grattacapo.

Halberd in azione: Un approfondimento tecnico

Sporchiamoci le mani e vediamo l'Alabarda in azione. Ecco un esempio di quanto sia semplice eseguire una tecnica:

  1. Andare alla pagina dell'attacco
  2. Selezionare l'ambiente di destinazione (ad esempio, Entra ID).
  3. Scegliere una tattica (ad esempio, Accesso iniziale)
  4. Scegliere una tecnica (ad esempio, Stabilire l'accesso tramite il flusso di codice del dispositivo).
  5. Configurare i parametri tecnici richiesti
  6. Premete "Esegui tecnica".
Schermata della console di attacco in Halberd

La gamma di tecniche di Halberd consente di eseguire test completi su vari scenari. Ad esempio:

  • Escalation dei privilegi: Provare ad assegnare un ruolo di directory a un utente in Entra ID o ad assumere un ruolo in AWS.
  • Esfiltrazione dei dati: Testate i controlli DLP tentando di esfiltrare i dati da un bucket S3 o dalla casella di posta elettronica di un utente.
  • Persistenza: Simulare la creazione di un account backdoor da parte di un aggressore o l'invito di un utente esterno al vostro Entra ID.

Halberd in azione: Uno scenario di attacco Cloud

Facciamo un tuffo in uno scenario più complesso e realistico che dimostra la potenza delle capacità di test cloud di Halberd. Immaginate di voler testare le difese della vostra organizzazione contro un attacco sofisticato che si estende a Entra ID, M365 e Azure. Ecco come si potrebbe utilizzare Halberd per simulare questa catena di attacchi:

  1. Iniziare utilizzando la tecnica "EntraDeviceCodeFlowAuth" di Halberd per simulare l'accesso a Entra ID e M365 utilizzando credenziali compromesse.
  2. Successivamente, si sfrutta la tecnica "EntraEnumerateApps" per ricognire le applicazioni presenti nell'ambiente.
  3. Utilizzate "GenerateAppCredentials" per creare nuove credenziali per un'applicazione troppo permissiva che avete identificato.
  4. Con queste nuove credenziali, utilizzate "EntraEstablishAccessAsApp" per ottenere l'accesso come applicazione.
  5. Utilizzando questo accesso elevato, si può simulare la creazione di un account backdoor con "EntraCreateBackdoorAccount".
  6. Aumentare i privilegi assegnando i diritti di amministratore globale a questo nuovo account utilizzando "EntraAssignDirectoryRole".
  7. Passate ad Azure, utilizzando "AzureElevateAccessFromEntraId" per elevare l'accesso dell'account backdoor a "User Access Admin".
  8. Per un'ulteriore escalation in Azure, concedere i diritti di "Proprietario" con "AzureAssignRole".
  9. Infine, dimostrate l'impatto potenziale esponendo pubblicamente un account di archiviazione con "AzureExposeStorageAccountPublic".

Questo percorso di attacco attraversa più servizi cloud , dimostrando come un attaccante del mondo reale potrebbe passare dall'accesso iniziale in Entra ID alla compromissione finale dei dati sensibili in Azure. Con Halberd, è possibile eseguire l'intera catena di tecniche senza soluzione di continuità, senza passare da strumenti o interfacce diverse.

La bellezza di Halberd risiede nella sua capacità di simulare senza sforzo scenari complessi e multipiattaforma. Fornendo un'interfaccia unificata per i test su Entra ID, M365, Azure e AWS, Halberd permette ai team di sicurezza di:

  1. Emulare in modo realistico attacchi sofisticati e in più fasi che si estendono a diversi servizi cloud .
  2. Identificare i potenziali punti deboli nelle configurazioni di sicurezza multipiattaforma.
  3. Testare le procedure di risposta agli incidenti su più ambienti cloud contemporaneamente.
  4. Semplificare il processo di test, riducendo i tempi e la complessità delle valutazioni complete della sicurezza cloud .

Ricordiamo che, sebbene questo esempio si concentri sui servizi Microsoft, le capacità di Halberd si estendono anche ad AWS, consentendo simulazioni di attacchi cloud ancora più complesse.

Sfruttando Halberd per eseguire test così completi, le organizzazioni possono ottenere una visione olistica della loro posizione di sicurezza cloud , identificando e risolvendo le vulnerabilità che potrebbero sfuggire quando si testa ogni piattaforma in modo isolato. È come avere un coltellino svizzero per i test di sicurezza cloud : versatile, efficiente e sempre pronto all'azione.

Iniziare i test con Halberd

Per informazioni più dettagliate sulle funzionalità di Halberd, istruzioni per l'installazione e guide all'uso, si consiglia di consultare il wiki completo di Halberd.

Nelle parole di un saggio professionista della sicurezza (io, proprio ora): "Perché passare ore a mettere insieme test di sicurezza quando si potrebbe sorseggiare un caffè e guardare Halberd che fa il lavoro pesante?".

Quindi, cosa state aspettando? Prendete la vostra Alabarda e iniziate ad hackerare, ovviamente in modo etico. Le vostre nuvole vi ringrazieranno e chi lo sa? Potreste anche divertirvi un po' lungo la strada.

DOMANDE FREQUENTI