Fedramp Pentesting要求

 

如果您在云中进行业务,您可以了解合规性维护的一件事或两个。本文突出了联邦风险和授权管理计划(FEDRAMP),并解释了本认证如何通过其他额外检查来休息 这里 合规性标准。  

Fedramp总结了

那么,什么是fedramp? “这是一项政府范围的计划,为云产品和服务的安全评估,授权和持续监测提供了标准化的方法。”

Fedramp不合规依从性。认证由一个完全围绕安全的持续计划赚取。这种以安全为中心的设计允许任何使用它能够在任何给定时间提取安全事件的人。这被称为 连续监测。有了这一点,一家公司获得了更快的响应时间,以及保持更好的出现历史记录。 FedRamp还需要对云架构上存在的应用进行进攻单场竞猜(笔单场竞猜)。通过使认证的先决条件,Fedramp提供了确保未知的预防措施,众所周知,风险降低,以及用户的更安全的网络存在,以及互联网。在不断的监测到位,组织在给定时间内获得了对任何假设事件的相应洞察,提供了警报,并且大大辅助数据取证。

与任何渗透单场竞猜范围一样,就像在单场竞猜FEDRAMP认证时一样定义。要定义此操作,范围标识所使用的技术是:

  • Web应用程序
  • 应用程序接口
  • 移动应用程序
  • 网络单场竞猜
  • 模拟内部
  • 社会工程学

概述可能妥协的路线,其中一个技术被称为 攻击矢量。了解攻击向量介绍即将发生的事件的影响。 Fedramp. 为您或第三方评估组织开发了风险方案,同时考虑了渗透单场竞猜。这些方案专注于风险,并将帮助您的公司决策。

事件之间的所有关系都是基于信任的:

 

  • 企业外部外部不受信任的内部不受信任

在这种情况下,互联网攻击正在尝试通过CSP拥有和操作的外部公司网络来获得有用的信息或访问目标云系统。

  • 目标系统外部 - 外部不受信任的外部信任

基于互联网的攻击 一个未获得的第三方试图获得未经授权进入 target系统。

  • CSP管理系统的目标系统–外部信任内部受信任

作为凭证系统用户的外部攻击 访问CSP. management系统或基础设施。

  • 租客租客 - 外部信任外部信任

外部攻击 凭证系统用户 试图访问CSP. management 系统或基础设施。

  • 公司到CSP管理系统 - 内部不受信任的内部可信赖

尝试访问目标管理的内部攻击 系统来自具有识别的或CSP公司模拟安全弱点模仿恶意设备的网络

  • 移动应用程序 - 外部不受信任的外部信任

模拟移动应用程序用户尝试访问CSP的攻击目标系统或CSP的目标系统的移动应用程序。

Pentest Scoping.

通过识别攻击向量发现的潜在风险用于定义最优先级的范围。通过播放不同的场景,您能够识别与不同服务相关的风险。通过单场竞猜弱点,您正在通过可操作的结果向您的公司提供保证。需要了解这些攻击向量的必要性至关重要,因为它们确保了正确的范围,这导致更好的单场竞猜,提供全面的信息进入当前状态,有助于将来更加安全决策,这导致整体更好的决策 网络安全投资.

一旦定义了范围,渗透单场竞猜开始。审计师将首先发现有关您的申请,行为和所涉及的指纹技术的信息。发现过程应该是最优先的最长阶段。通过采取所需的时间来发现尽可能多的信息,单场竞猜仪能够制定更有效和更有利的结果。当审核员确定IN-SCOPE技术的操作系统时,它们也能够查看是否存在系统的现有利用。许多次旧的代码被录制到云环境中,具有现有的未知漏洞,这可能是系统妥协的触发。必须执行正确的发现,以便从黑匣子的角度获取此信息。在通过数据的应用程序中,最常见的是用户登录的应用程序,或提交密码重置的电子邮件。这些可能被滥用以披露错误消息,或者可能会枚举现有用户。管理用户是否存在,并且可以访问该帐户?在单场竞猜的这种关键阶段获得的信息被充分记录并作为单场竞猜期间的基础。单场竞猜仪必须了解他们正在工作的环境中的边界。哪些港口仍然开放?虽然应用程序正在通信是安全发送的信息?最后,可以颠覆使用的密码学吗?

审计员研究应用程序如何通信,以及他们究竟何种沟通。单场竞猜仪将检查应用程序如何与数据库通信,如果它能够直接访问。单场竞猜仪注意到可以通过服务器报头或错误消息等系统无意地公开的信息。此信息很有用,因为渗透单场竞猜仪将匹配系统到任何潜在的已知漏洞。在发现阶段,渗透单场竞猜仪将扫描,不仅可以进一步指纹系统,还可以帮助找到潜在的潜在漏洞。

开发阶段

当渗透单场竞猜仪感觉他们获得足够的信息时,单场竞猜的开发阶段开始。在渗透单场竞猜的开发阶段,从先前发现阶段获得的信息用于规避给定范围内的安全控制。其中的示例可能是通过输入字段的单个报价引起的错误消息。这种类型的行为是SQL注入的典型,其将在单场竞猜的单场竞猜阶段验证。例如,另一个将是对具有Metasploit模块的已知漏洞匹配的系统信息。在此阶段,模块以相关系统运行并记录相应的事件。虽然在某些情况下,漏洞可以采用应用程序逻辑,授权,身份验证或识别未加密的数据存储在设备上的形式,但只是为了命名几个。

剥削阶段

使用来自开发阶段的结果信息。这是适当的命名 剥削后 阶段,单场竞猜员然后演示单场竞猜结果的影响。从该单场竞猜的此阶段的文档用于显示实际临界性。该单场竞猜阶段允许创造性的渗透单场竞猜仪展示其他潜在的未知的载体。此前在此阶段,审计师将单场竞猜是否可以升级权限,或者以任何方式深入到您的应用程序或网络中。此操作通常被称为枢转。一个例子是申请妥协导致机器妥协,然后从该点移动到您的企业环境中。  

报告阶段

在完成单场竞猜后的剥削阶段后,审计进入了报告阶段。在报告阶段,单场竞猜仪在最后几种单场竞猜中收集的所有数据都被编译为概述概述的可消化文件。该报告将包括范围,攻击向量,活动时间表,执行/结果,调查结果,证据,链接和/或访问路径。从本报告中,您的公司可以提出明智的决定,以大大增加您的整体企业安全。这些报告告诉您您需要修复的内容以修复漏洞。修复漏洞使您的公司成为更安全的组织,而且还为用户提供更安全的体验。

Fedramp不是合规性

简而言之,FEDRAMP不合规。 FEDRAMP计划是一项认证,提高了您公司在今天监控和防止应用中的漏洞的能力。 Fedramp专注于了解攻击向量,通过穿透单场竞猜执行尽职调查,以便验证适当的控件,并降低了今天互联网上的可利用代码的数量。随着措施对整体安全的措施,与FEDRAMP相关的成本更大,需要一年一度的最优先措施来维持认证。通过忽视理解和拥抱Fedramp贵公司不会向前移动。为了与联邦政府今天开展业务,需要FEDRAMP认证,并且前进的日子。    
查看新文章 你如何最追求你的供应商?.

Ignyte保证平台为您提供了通过视觉向您迈出的所有步骤轻松管理所有合规需求所需的权力!我们能够从渗透单场竞猜,扫描数据等到更大的方式摄取您的安全单场竞猜输出,以便图表合规性进度。立即联系我们安排演示!  
看一眼 ignyte fedramp datasheet..