De meeste penetratietesten worden uitgevoerd op (ICT-)systemen die in productie zijn, op omgevingen waar cybercriminelen – direct of indirect – bij kunnen. Maar als je als organisatie zelf software en systemen ontwikkelt, is het verstandig bij het pentesten naar de gehele OTAP-keten te kijken, d.w.z. naar de Ontwikkeling-, Acceptatie-, Test- èn Productieomgeving, ongeacht of het proces zich ‘on premise’ of ‘in de cloud’ afspeelt.
In het geval van een Keten-pentest onderzoekt LBVD de veiligheid van de Ontwikkeling-, Acceptatie-, Test- en/of Productie-omgeving. LBVD onderkent daarbij specifieke situaties.
Keten-pentest
Tijdens pentest van de gehele keten, welke bijvoorbeeld gebruik maakt van Kubernetes en Docker, wordt uw productie- en eventueel ontwikkelomgeving onderzocht, met als doel om te onderzoeken hoe groot de impact is wanneer uw applicatie door een cybercrimineel (of andere actor) gecompromitteerd wordt en de aanvaller kans zie zichzelf toegang te verschaffen tot het onderliggende systeem. Is de aanvaller bij machte om ‘uit te breken’ uit containers en de onderliggende server te benaderen? Is het mogelijk om controle te krijgen over andere ‘pods’ binnen een Kubernetes-node, of om zelfs het volledige Kubernetes-cluster over te nemen? Is uw omgeving vrij van de kwetsbaarheden – en daarmee risico’s – als vermeld in de OWASP Top 10 Kubernetes Risks, OWASP Top 10 CI/CD Security Risks en de OWASP Top 10 API Security Risks?
CI/CD-pentest
Tijdens een CI/CD-pentest richten de ethical hackers van LBVD zich primair op de ontwikkelstraat. Om eenvoudiger en sneller nieuwe features toe te kunnen voegen aan applicaties, maken moderne ontwikkelteams gebruik van verschillende technologieën die het mogelijk maken toevoegingen automatisch te valideren en uit te rollen. Een belangrijk onderdeel hierbij zijn zgn. CI/CD-pipelines. Deze zijn te beschouwen als scripts waarin gedefinieerd staat hoe de verschillende stappen van het bouw- en uitrolproces eruit zien en moeten verlopen. Voorbeelden hiervan zijn Github Runners en Gitlab CI/CD. Mogelijk komen hierbij ook Kubernetes en Docker om de hoek kijken. Misconfiguraties in het bouw- en uitrolproces kunnen ertoe leiden dat kwetsbaarheden geïntroduceerd worden in de uiteindelijke applicatie, bewust of onbewust. Daarnaast kan een gecompromitteerde pipeline ertoe leiden dat geheimen uitlekken, zoals wachtwoorden voor de productieomgeving. Ook kunnen enorme kosten optreden als gestelde rekenkrachtlimieten worden overschreden, zeker wanneer de pipelines in een publieke cloud draaien.
Actieplan
Tijdens een Keten-pentest kijken de ethical hackers van LBVD of uw private, hybrid of public cloud-omgeving veilig geconfigureerd is. Ze kammen de te onderzoeken delen van de keten uit op kwetsbaarheden, om het mogelijk te maken deze te elimineren voordat kwaadwillenden ze vinden en misbruiken. Naast via hun kennis en jarenlange ervaring doen ze dat op basis van de Penetration Testing Execution Standard (PTES), de OWASP Web Security Testing Guide (WSTG) en de hierboven genoemde OWASP Top 10 lijsten. LBVD helpt u aan een adequaat actieplan voor de hoge, midden en lage risico’s zodat u direct corrigerende maatregelen kunt treffen. Via een hertest (“validatietest”) toetst LBVD later of dat is gelukt.