Wij zijn |
Azure pentest uitvoeren
Als je gebruikmaakt van één van de volgende Microsoft oplossingen, dan maak je gebruik van Azure en beheer je een Azure Tenant:
- Microsoft Office 365 applicaties, waaronder OneDrive, SharePoint, Outlook en Teams.
- Resources zoals virtuele machines, Storage accounts, Key vaults, Kubernetes of Function apps/App services.
- Microsoft Intune als beheerservice voor endpoints.
- Microsoft Entra Connect (Azure AD Connect) in combinatie met een lokale Active Directory (AD).
- Microsoft Dynamics 365 als CRM- en ERP-softwareoplossing.
- Microsoft Power BI voor data-visualisatie.
Door het gemak waarmee Microsoft alle gebruikers beheert als één centraal systeem en de mogelijkheid biedt om met Single Sign-On (SSO) in te loggen op applicaties van derden, worden deze services en hun gebruikers een aantrekkelijk doelwit voor kwaadwillende hackers.
De uitgebreide functionaliteiten en de veelzijdige configuratieopties van Microsoft, bedoeld om jouw Tenant zo gebruiksvriendelijk mogelijk te maken, brengen echter ook het risico met zich mee dat gebruikers onbedoeld toegang krijgen tot informatie en/of services binnen jouw Azure-omgeving.
Een aanvaller die toegang verkrijgt tot een gebruikersaccount binnen jouw Azure-omgeving, kan hierdoor ook veel toegang krijgen tot informatie en services binnen of buiten Azure. Dit kan leiden tot datalekken of zelfs tot dataverlies.
Een Azure-pentest biedt inzicht in kwetsbaarheden en misconfiguraties en helpt ervoor te zorgen dat je gevoelige informatie veilig blijft.
Hoe wordt een Azure pentest uitgevoerd?
Een Azure pentest is er in verschillende vormen en maten. Er kan onderscheid gemaakt worden in drie benaderingen. Elke benadering verschilt in hoeveel informatie de pentester vooraf krijgt.
Blackbox Azure penetratietest
Bij deze Azure pentestvorm kruipt de pentester in de huid van een normale internetgebruiker. Vanuit dit perspectief krijgt de pentester geen informatie over de Azure Tenant, behalve het domein en wordt ontvangen wij geen geldige inloggegevens. Wel wordt er OSINT-onderzoek uitgevoerd om zoveel als mogelijk gebruikersaccounts in kaart te brengen. Vervolgens wordt er geprobeerd om in te loggen op deze gebruikersaccount door zwakke wachtwoorden en bekende wachtwoorden uit datalekken te gebruiken. Daarnaast analyseren wij alle endpoints van de Azure omgeving die extern te benaderen zijn, zoals IP-adressen van virtuele machines of domeinen van Key Vaults. Deze vorm komt het dichtst in de buurt van een realistische hack door een hackers die van buitenaf de webapplicatie probeert binnen te dringen. Wij raden deze variant ook aan in combinatie met een MFA–phishingtest.- Deze vorm schetst het risicobeeld vanuit het perspectief van een externe hacker.
- De pentester gedraagt zich tijdens de pentest als een normale internetgebruiker (zonder kennis van de Tenant of gebruikersaccounts).
Greybox Azure penetratietest
Deze pentestvorm is een combinatie van zowel black- als whitebox. De pentester zal wat informatie en hulp krijgen bij het uitvoeren van de pentest, maar de pentest zal toch dicht bij realistische aanvalsomstandigheden blijven. De pentester krijgt bijvoorbeeld een normaal gebruikersaccount en wat informatie over gebruikte services van Azure. Deze vorm van pentesten wordt vaak gekozen als je ervan overtuigd bent dat een aanvaller altijd toegang weet te krijgen tot een gebruikersaccount, maar je niet precies weet welke schade hij kan aanrichten.
- Een combinatie van zowel black- als whitebox.
- Uitvoerige pentests die dicht bij realistische aanvalsomstandigheden blijft.
- De pentester krijgt informatie over de services binnen Azure.
- De pentester krijgt beperkte toegang tot Azure via een normaal gebruikersaccount.
- Een greybox pentest is grondiger dan een blackbox pentest.
Whitebox Azure penetratietest
Deze vorm van Azure pentesten is het uitvoerigst. De pentester krijgt vooraf toegang tot alle mogelijke informatie over de Azure omgeving. Dit wordt gedaan via een administratorsaccount die leesrechten heeft op de volledige Azure-omgeving. Via dit account bekijken wij alle configuraties van alle services. Hoewel deze vorm niet representatief is aan de werkelijkheid, schetst deze pentestvorm een volledig beeld van het beveiligingsniveau van de Azure omgeving. Deze vorm van pentesten is veelal het efficiëntst en is daarom de meest gevraagde vorm voor het uitvoeren van een Azure pentest.
- De pentester krijgt toegang tot alle soorten services, dus ook administratieve portalen.
- Deze pentestvorm is niet representatief voor realistische aanvalsomstandigheden, tenzij er een kwaadwillende administrator in het spel is.
- Doeltreffender en vollediger bij het beveiligen van Azure dankzij een grondige analyse van de configuraties.
Wat kost een Azure pentest?
Dit is een vraag die wij Nederlanders altijd graag willen weten. Helaas is het antwoord niet eenvoudig. Dit komt door de verschillende soorten Azure omgevingen en de verschillende testvormen die tijdens een webapplicatie pentest gehanteerd kunnen worden. Daarnaast is de prijs afhankelijk van het aantal Azure oplossingen die gebruikt worden.
Bij het bepalen van de kosten wordt er rekening gehouden met de scope en vorm van de pentest. De hoeveelheid tests die nodig zijn verschilt op basis van gebruikte services en aantal gebruikers. Voor een simpele Azure omgeving die enkel gebruik maakt van Office 365 kunt u met een whitebox perspectief rekenen op een prijs vanaf € 3600,-. Bij een complexe Azure omgeving, waarbij er gebruik wordt gemaakt van veel verschillende resources kunnen de kosten bij een whitebox pentest oplopen tot boven de €7.500.
Tijdens een vrijblijvend intakegesprek zal de scope en de daarbij behorende kosten door onze consultants met u besproken worden zodat u een prijs op maat kunt krijgen.
Azure pentest certificeringen
De kwaliteit van een Azure pentest is afhankelijk van de vakbekwaamheid van de pentester die de test uitvoert. Maar hoe bepaalt u de vakkennis van een pentestleverancier? Naast de praktijkervaring kan er gekeken worden naar de certificeringen die de pentester heeft behaald. Onderstaand volgt een lijst van pentestcertificeringen gericht op Azure:
- CARTP – Het Certified Az Red Team Professional is een pentestcertificaat die gericht is op Red Team aanvallen op Azure vanaf een geslaagde phishing-aanval tot toegang op het on-prem AD waarmee Azure verbonden is. Een review over de cursus geschreven door een van onze pentesters is hier terug te vinden.
- CAWASP – Het Certified Azure Web Application Security Professional is een pentestcertificaat gericht op de beveiliging van webapplicaties die op Azure draaien. Hier leer je toegang te krijgen tot een Azure omgeving via een kwetsbaarheid in een webapplicatie.
Welke tooling wordt er gebruikt?
Hoewel een pentest handwerk is, wordt er veelvuldig gebruik gemaakt van hulpmiddelen in vorm van tooling. Deze tooling kan gezien worden als gereedschap van de pentester. Het is echter wel belangrijk dat de pentester weet hoe de tooling werkt en hoe de resultaten geanalyseerd en geïnterpreteerd moeten worden.
Onderstaand volgt een overzicht van tools die in verschillende fases van een Azure pentest gebruikt kunnen worden:
- Microsoft Graph API – De API van Microsoft zelf om automatisch veel informatie te bemachtigen over de Tenant.
- Azure Powershell – Een Powershell module van Microsoft zelf om Resources te beheren of te analyseren.
- MFASweep – Een PowerShell module om de MFA-configuratie te analyseren van een Azure Tenant.
- Evilginx – Een phishing framework om sessies te stelen van gebruikers binnen Azure, ook als er MFA wordt gebruikt.
Waarom een Azure pentest uitvoeren?
Naarmate meer bedrijven zich volledig vestigen in het Azure-landschap, wordt het voor aanvallers steeds aantrekkelijker om hun aanvallen op deze omgeving te richten. Aanvallers die erin slagen binnen te dringen in uw Azure-omgeving kunnen aanzienlijke schade aanrichten, zowel financieel als reputatieschade. Ze kunnen dit doen door gevoelige informatie te lekken of te verwijderen.
Het uitvoeren van een Azure-pentest biedt u inzicht in de kwetsbare punten van uw Azure-omgeving, zodat u deze tijdig kunt aanpakken. Op deze manier blijft u hackers een stap voor en voorkomt u dat uw gevoelige informatie uitlekt.
Azure pentest aanvragen
Zoals u heeft kunnen lezen is de Azure-omgeving een integraal onderdeel geworden van de IT-omgeving en het is belangrijk dat deze beschermd is tegen een verscheidenheid aan cyberaanvallen. Het uitvoeren van een Azure pentest vereist specifieke kennis en expertise.
Pentests.nl is een actief lid van de branchevereniging Cyberveilig Nederland en onze pentesters onderscheiden zich door hun jarenlange ervaring en expertise. Wilt u de informatiebeveiliging van uw organisatie ook laten evalueren en verbeteren? Neem dan vrijblijvend contact met ons op en laat onze pentesters u overtuigen van de waarde van deze pentest voor uw organisatie.
Hoe kunnen wij u helpen?
QR Codes: Het onverwachte wapen in Device Code Phishing
Device code phishing, net als aanvallen via Adversary-in-the-middle (AiTM), vertegenwoordigt een geavanceerde vorm van cyberdreiging die zich onderscheidt van traditionele phishing. Device code phishing exploiteert de ‘OAuth2 Device Authorization Grant flow‘ van Microsoft Azure, die gebruikers in staat stelt zich aan te melden bij apparaten met beperkte invoermogelijkheden.
Cross-Site Scripting (XSS): wat is het en hoe te voorkomen
In deze blogpost lees je alles over Cross-Site Scripting (XSS). Welke vormen van XSS er zijn. Wat de impact van een XSS-aanval kan zijn en hoe je het kan voorkomen.
CORS: het belang van Cross-Origin Resource Sharing
Bij onze klanten zien we een toenemende implementatie van Cross-Origin Resource Sharing (CORS). Helaas constateren we ook een stijging in het aantal onveilig geconfigureerde CORS-implementaties. In deze blog duiken we dieper in wat CORS is, de meest voorkomende misconfiguraties en hun potentiële risico’s, en hoe je sterke CORS-regels kunt instellen om je webapplicaties te beschermen.