PME - MesProcedures
06 novembre 2023
Parce que... c'est l'épisode 0x384!
PME - Pourquoi toutes les entreprises PME sont concernées
15 septembre 2023
Parce que... c'est l'épisode 0x383!
Teknik - Zero trust
22 septembre 2023
Parce que... c'est l'épisode 0x382!
Spécial - Accompagnement en cybersécurité
02 novembre 2023
Parce que... c'est l'épisode 0x381!
Teknik - Kubernetes - Couche réseau
23 octobre 2023
Parce que... c'est l'épisode 0x380!
Curieux - Proton Mail et Proton Calendar
18 octobre 2023
Parce que... c'est l'épisode 0x379!
Teknik - Pentest cloud - Élévation de privilèges
31 octobre 2023
Parce que... c'est l'épisode 0x378!
Teknik - Évasion EDR
12 octobre 2023
Parce que... c'est l'épisode 0x377!
PME - Où devrions-nous placer le rôle de sécurité et protection des renseignements personnels en entreprise?
09 octobre 2023
Parce que... c'est l'épisode 0x376!
H'umain - Lorsque la neurodivergence bouscule la cybersécurité (part 1)
31 octobre 2023
Parce que... c'est l'épisode 0x375!
Spécial - Cyber Defense Matrix (CDM) - Analyse d'un cas fictif
04 octobre 2023
Parce que... c'est l'épisode 0x374!
Teknik - Analyse d'un incident - TV5 Monde
22 septembre 2023
Parce que... c'est l'épisode 0x373!
PME - Comment déployer des services de cybersécurité adaptés aux PMEs
15 septembre 2023
Parce que... c'est l'épisode 0x372!
Teknik - Survol du rapport d'extorsion 2023 - Unit 42
18 octobre 2023
Parce que... c'est l'épisode 0x371!
Spécial - La relation et la gestion de l'argent pour le freelance
30 juin 2023
Parce que... c'est l'épisode 0x370!
Teknik - Scénario RedTeam - Nouvel employé et la reconnaissance passive... et un peu plus!
18 septembre 2023
Parce que... c'est l'épisode 0x369!
PME - Fonctionnement d'une enquête lors d'une fraude bancaire
20 octobre 2023
Parce que... c'est l'épisode 0x368!
H'umain - Trois astuces pour détecter une situation problématique en cyber
18 septembre 2023
Parce que... c'est l'épisode 0x367!
PME - Politique de mots de passe et astuce pour sécuriser sa voûte de mots de passe
02 octobre 2023
Parce que... c'est l'épisode 0x366!
Spécial - Paysage des startups canadiennes sous l'angle financier
15 septembre 2023
Parce que... c'est l'épisode 0x365!
Teknik - Gestion des identités et des accès dans AzureAD/Entra
08 septembre 2023
Parce que... c'est l'épisode 0x364!
H'umain - Hyperconnectivité et déconnexion
07 septembre 2023
Parce que... c'est l'épisode 0x362!
H'umain - De bons et moins bons moyens pour sensibiliser les utilisateurs à la cybersécurité
03 octobre 2023
Parce que... c'est l'épisode 0x363!
Spécial - CyberAssurance - Les requis qui sont demandés par les assureurs
04 octobre 2023
Parce que... c'est l'épisode 0x361!
Curieux - Rencontre avec les fondateurs de CyberCitoyen
26 septembre 2023
Parce que... c'est l'épisode 0x360!
Spécial - L'analyse de risque, en faisons-nous vraiment un bon usage?
24 août 2023
Parce que... c'est l'épisode 0x359!
PME - Expliquer les pans de la cybersécurité
15 septembre 2023
Parce que... c'est l'épisode 0x358!
Teknik - Pentest cloud - Accès initial
22 août 2023
Parce que... c'est l'épisode 0x357!
Parce que… c’est l’épisode 0x357!
Shameless plug
- 21 au 23 novembre 2023 - European Cyber Week
- février 2024 - SéQCure
- Formation Crise et résilience
Description
Dans cet épisode, l’invité nous plonge dans l’univers du pentest cloud, en mettant particulièrement l’accent sur la phase d’accès initial, essentielle pour s’ancrer dans un système cible. Le discours s’appuie sur une série de concepts, d’exemples concrets et de techniques pour dépeindre le paysage des tests d’intrusion dans le cloud.
L’invité introduit la notion de TTP (Tactique, Technique et Procédures) et référence la matrice MITRE ATT@CK Enterprise, qui aide à définir la chaîne d’une attaque. Il met en lumière l’importance de l’accès initial dans le processus d’attaque, soulignant la variété de techniques et de procédures utilisées pour réaliser cette étape cruciale.
La discussion se centre ensuite sur les spécificités des environnements cloud, mentionnant des plateformes telles qu’AWS, Azure, et GCP. L’orateur explique que malgré l’existence de la matrice MITRE ATT@CK Cloud, de nombreux outils et ressources spécifiques sont nécessaires pour simuler et comprendre le cycle de vie d’une attaque dans ces environnements particuliers. Il cite l’exemple de Microsoft qui a créé Azureattaque matrix pour Azure et Microsoft 365, fournissant ainsi des détails plus précis pour la défense.
La conversation aborde les initiatives de la communauté et des éditeurs visant à améliorer et à affiner ces matrices d’attaque. L’orateur note que ces efforts sont essentiels car chaque CSP (Cloud Service Provider) a son propre nommage et ses spécificités, nécessitant des approches différentes pour identifier les vulnérabilités.
L’invité soulève également le problème récurrent des entreprises déployant des environnements cloud sans avoir une compréhension et une expertise suffisantes de la technologie. Il cite des exemples de failles de sécurité liées à des configurations incorrectes, des erreurs humaines et des permissions excessives.
Il évoque plusieurs techniques d’identification de vulnérabilités, y compris l’utilisation de Google Dorks et Bing Dorks, qui permettent de découvrir des ressources cloud spécifiques. L’orateur rappelle que l’Internet est permanent, et toute erreur devient publique et éternelle, soulignant l’importance de vérifications en amont.
La conversation explore ensuite différentes techniques de phishing basées sur le protocole OAuth. L’orateur détaille le processus du device code phishing et explique comment les attaquants créent des applications malveillantes, demandent le consentement des utilisateurs, et exploitent les permissions accordées pour accéder à des informations sensibles.
L’invité décrit également des exemples de scénarios où les utilisateurs accordent imprudemment des permissions, et comment cela peut être exploité. Il met en lumière la complexité et les défis liés à la gestion des droits dans les environnements cloud, et en particulier sur Azure.
Il mentionne les difficultés à suivre les mises à jour constantes et les changements dans le domaine du cloud, soulignant que cela rend la tâche encore plus ardue pour les professionnels de la sécurité. La transcription se termine sur une note de réflexion, laissant le lecteur à considérer les implications et les défis persistants dans le domaine du pentest cloud.
En conclusion, cet épisode offre un aperçu approfondi du pentest cloud et de ses diverses facettes. Elle souligne l’importance de l’accès initial, explore les défis liés aux environnements cloud spécifiques et aux différentes plateformes, et met en lumière les dangers liés à un manque de compréhension et d’expertise. Les techniques de phishing, la gestion des droits et les défis constants dans le domaine de la sécurité cloud sont également discutés en détail, offrant ainsi une ressource complète pour quiconque s’intéresse à la sécurité dans le cloud.
Notes
- Azure Cloud ATT&CK and others threat lifecycle Matrix
- AWS ATT&CK Matrix
- GCP ATT&CK Matrix
Collaborateurs
Crédits
- Montage par Intrasecure inc
- Locaux virtuels par Riverside.fm
Tags: attack, aws, azure, cloud, evilginx, gcp, iam, mitre, oauth, oid, pentest, ttp
Tweet