Você acha que sabe tudo sobre pen-testing de segurança na nuvem?

Você acha que sabe tudo sobre pen-testing de segurança na nuvem? Veja como provar isso. A nova qualificação GIAC mostra que você pode colocar o Sec em DevSecOps e quantificar o risco em SRE.

Diante disso, o teste de penetração na nuvem pode parecer um empreendimento complexo envolvendo arquiteturas muito diferentes, como contêineres e Kubernetes, daquelas encontradas na infraestrutura local tradicional.

Mas depois que você se aprofunda um pouco, fica claro que as coisas são na verdade ainda mais complexas. As empresas convencionais em grande parte se estabeleceram em um punhado de plataformas de nuvem, mas cada uma delas apresenta seus próprios desafios exclusivos. Ao mesmo tempo, a natureza distribuída e com várias nuvens dos aplicativos nativos da nuvem levanta questões adicionais legais e de propriedade.

Grande parte da sua experiência de penetração tradicional – e qualificações – sem dúvida será útil neste novo mundo nativo da nuvem. Mas ter provas documentadas de que você tem as habilidades necessárias para conduzir testes de penetração específicos da nuvem e avaliar a segurança da infraestrutura baseada na nuvem oferece à sua organização uma camada adicional de conforto. Também lhe dá a capacidade de se destacar da concorrência quando se trata de sua próxima oportunidade de emprego ou promoção.

É por isso que você vai querer considerar a recém-lançada GIAC Cloud Penetration Testing Certification ( GCPN ), quer você se classifique como um testador de penetração, analista de vulnerabilidade ou praticante de segurança com foco em ataque ou defesa – ou nenhum desses.

 

Além de cobrir os fundamentos do teste de penetração na nuvem, mapeamento do ambiente e descoberta de serviço, a qualificação GCPN aprofunda os detalhes de segurança dos aplicativos nativos da nuvem com contêineres e pipelines CI / CD.

Ele também examina as especificações dos serviços de nuvem AWS e Azure – essas duas plataformas constituem metade da infraestrutura nativa da nuvem e podem diferir drasticamente uma da outra nos bastidores.

Portanto, além de abordar contêineres e arquiteturas Kubernetes em geral, a qualificação também testa você nas próprias abordagens de contêiner do AWS e do Azure, suas diferentes arquiteturas sem servidor e as possíveis estratégias de ataque para cada uma.

E, naturalmente, abrange testes de penetração do Red Team em ambientes de nuvem, descoberta e identificação de fontes potenciais de exposição em ambientes de nuvem e ataques de senha e aplicativo da web.

A certificação GIAC Cloud Penetration Testing (GCPN) fornece ao nosso setor um primeiro exame focado em tecnologias de nuvem e disciplinas de teste de penetração. Esta certificação exigirá um domínio na avaliação da segurança de sistemas, redes, aplicativos da web, arquitetura da web, tecnologias de nuvem e design de nuvem. Aqueles que possuem o GCPN foram capazes de cruzar essas áreas de disciplina distintas e simular as maneiras como os invasores estão violando as empresas modernas. ” – Moses Frost, autor do curso SEC588: Teste de penetração na nuvem

Não há requisitos de treinamento específicos para o GCPN, mas os mapas de qualificação para o plano de estudos do curso SEC588 do SANS Institute. Se sua experiência é em prática tradicional de segurança ou avaliação de risco, ou você é um especialista em DevOps ou SRE, garantir a certificação GCPN dará a você, e mais importante ao resto do mundo, a prova de que você é um nativo da nuvem e um nativo em segurança.

Para começar e saber mais basta seguir este link e você poderá alcançar o céu e proteger as nuvens.

 

GIAC Cloud Penetration Tester (GCPN)

 

Áreas cobertas

  • Fundamentos de teste de penetração de nuvem, mapeamento de ambiente e descoberta de serviço
  • AWS e serviços de nuvem do Azure e ataques
  • Aplicativos nativos da nuvem com contêineres e pipelines CI / CD

Para quem é o GCPN?

  • Profissionais de segurança com foco em ataque e defesa
  • Testadores de penetração
  • Analistas de vulnerabilidade
  • Oficiais de avaliação de risco
  • Engenheiros DevOps
  • Engenheiros de confiabilidade do site

Objetivos da certificação do exame e declarações de resultados

As áreas de tópico para cada parte do exame são as seguintes:

Autenticação AWS e serviços em nuvem
O candidato demonstrará compreensão dos métodos de autenticação da AWS, incluindo a estrutura, políticas e identidades usadas por meio do IAM, incluindo o escalonamento de privilégios no ambiente AWS. O candidato demonstrará compreensão das funções Amazon KMS e Lambda e do uso fundamental de ferramentas de exploração para AWS.
Azure Functions e Windows Containers
O Candidato demonstrará compreensão da capacidade do Azure Functions e das diferenças entre ela e as funções do AWS Lambda, execução de código no ambiente do Azure, incluindo Windows Containers e a ferramenta Microsoft Graph.
Aplicativos nativos da nuvem e pipelines de CI / CD
O candidato demonstrará compreensão de exemplos de aplicativos nativos em nuvem e pipelines de CI / CD e como encontrar vulnerabilidades neles.
Fundamentos de teste de penetração de nuvem
O candidato demonstrará compreensão dos fundamentos do teste de penetração aplicado a aplicativos em nuvem, incluindo reconhecimento, avaliação, descoberta e restrições de ambientes em nuvem. O candidato demonstrará compreensão da estrutura e configurações de infraestruturas de nuvem pública.
Estrutura de contêineres e Kubernetes
O candidato demonstrará compreensão da implantação de aplicativos em contêineres, bem como da estrutura e configuração de Kubernetes e malhas de serviço.
Descobrindo serviços e dados em nuvem
O candidato será capaz de descobrir e identificar fontes de exposição em ambientes de nuvem, incluindo portas expostas, serviços, bancos de dados, segredos e ferramentas e repositórios de desenvolvedor.
Mapeamento de ambientes em nuvem
O candidato demonstrará compreensão do processo de mapeamento de ambientes em nuvem, incluindo a estrutura do locatário, a camada de contêiner e os aplicativos por meio do uso de CLI e ferramentas de mapeamento.
Serviços e ataques em nuvem do Microsoft Azure
O candidato mostrará compreensão dos serviços em nuvem do Microsoft Azure, padrões de autenticação e gerenciamento de identidade da Web e ataques contra usuários e serviços do Azure.
Ataques de senha em ambientes de nuvem
O candidato demonstrará uma compreensão das metodologias e ferramentas de coleta de nome de usuário e ataque de senha.
Teste de penetração da Red Team em ambientes de nuvem
O Candidato demonstrará compreensão dos processos de teste de penetração do Red Team, incluindo exploração e desenvolvimento de carga útil e as ferramentas associadas a esses conceitos.
Redirecionamento e ofuscação de ataque
O Candidato demonstrará compreensão do processo de ofuscação de comandos e estrutura de ataque por meio de fronting de domínio e outras ferramentas, e pivotagem usando proxies e outros métodos.
Ataques de aplicativos da web
O Candidato demonstrará compreensão de ataques de aplicativos da web comuns e como eles impactam aplicativos nativos da nuvem e funções sem servidor.

Nenhum treinamento específico é necessário para qualquer certificação GIAC. Existem muitas fontes de informação disponíveis sobre as áreas de conhecimento dos objetivos da certificação. A experiência prática é uma opção; também existem vários livros no mercado que cobrem a tecnologia  de segurança da informação. Outra opção são quaisquer cursos relevantes de provedores de treinamento, incluindo SANS.

Outros recursos

O treinamento está disponível em uma variedade de modalidades, incluindo treinamento em conferência ao vivo, online e auto-estudo. A experiência prática de trabalho pode ajudar a garantir que você domine as habilidades necessárias para a certificação. Cursos de nível universitário ou estudo por meio de outro programa podem atender às necessidades de domínio.

Fonte The Register & GIAC.org & SANS Institute

 

Veja também:

Sobre mindsecblog 2399 Artigos
Blog patrocinado por MindSec Segurança e Tecnologia da Informação Ltda.

2 Trackbacks / Pingbacks

  1. Resolução BACEN 4893 substitui 4658 - Veja o que muda!
  2. Especial Mulheres 50 Associações e Grupos de Segurança Cibernética

Deixe sua opinião!