개요
클라우드 침투 테스트는 과도하게 허용적인 IAM, 노출된 저장소, 메타데이터 오용, 클라우드 네이티브 서비스 전반의 권한 상승과 같이 전통적인 침투 테스트가 놓치는 잘못된 구성 및 ID 기반 공격 경로에 대해 클라우드 환경을 평가합니다. CIS Benchmarks 기반 구성 검토와 실제 익스플로잇을 결합합니다. AWS, Azure, Google Cloud 전반에 걸친 시뮬레이션 공격을 통해 클라우드 환경을 평가합니다. 테스트는 공동 책임 모델을 반영하며, 고객이 보호해야 할 클라우드 구성 오류와 ID 약점에 집중합니다.
방법론 및 표준
CIS Benchmarks(AWS/Azure/GCP), 공급자 테스트 정책, MITRE ATT&CK for Cloud를 따르며, PTES와 NIST SP 800-115의 틀을 따릅니다. 각 작업은 공격 표면 검토, 구성 평가, 접근 제어 검증, 복구 및 복원력 고려사항을 포함합니다.
포함 내용
제공 산출물
자주 묻는 질문
대부분의 사용자 운영 리소스에 대해 공급자는 이제 사전 승인 없이 테스트를 허용하지만, 일부 관리형 서비스는 여전히 통보가 필요합니다. 당사는 범위 설정 단계에서 공급자 정책을 확인하고 그 안에서 진행합니다.
아닙니다. 포스처 도구는 잘못된 구성을 표시하지만, 당사는 그것을 악용하여 과도하게 허용적인 역할이나 노출된 자격 증명을 실제 권한 상승 및 데이터 접근으로 연결합니다.
네. 결합된 작업은 애플리케이션 계층의 발판이 클라우드 IAM을 통해 어떻게 상승하는지를 매핑하며, 이는 실제 침해가 전개되는 방식입니다.
일반적인 이슈로는 안전하지 않은 API, 과도한 권한, 서버 구성 오류, 취약한 자격 증명, 오래된 소프트웨어가 있습니다.