Simple Science

Scienza all'avanguardia spiegata semplicemente

# Informatica# Crittografia e sicurezza# Ingegneria del software

Migliorare la sicurezza IAM con il Greybox Testing

Un nuovo metodo migliora la sicurezza dell'IAM nel cloud garantendo al contempo la privacy.

― 6 leggere min

Sicurezza IAM ReinventataSicurezza IAM Reinventataefficace.affronta le vulnerabilità in modoUn nuovo approccio al testing IAM
Indice

La Gestione dell'Identità e degli Accessi (IAM) è un sistema usato nel cloud per gestire chi può accedere alle risorse e quali azioni possono intraprendere con esse. Configurare bene l'IAM è fondamentale per mantenere la sicurezza negli ambienti cloud. Se l'IAM non è impostato correttamente, può portare a violazioni della sicurezza in cui utenti non autorizzati accedono a informazioni sensibili, causando potenzialmente danni finanziari significativi.

I Rischi delle Misconfigurazioni IAM

Quando l'IAM è configurato male, si apre la porta agli attaccanti per sfruttare quelle vulnerabilità. Un tipo comune di attacco è chiamato escalation dei privilegi. In questi attacchi, individui non autorizzati ottengono privilegi superiori a quelli che dovrebbero avere, permettendo loro di accedere a risorse sensibili o eseguire azioni riservate. Questo può portare a gravi perdite di dati, inclusa l'esposizione di informazioni personali o dettagli finanziari.

Nel 2019, un noto incidente legato a una misconfigurazione dell'IAM ha causato la fuga di 100 milioni di dettagli di carte di credito da un'istituzione finanziaria, evidenziando l'impatto reale dei problemi IAM.

Metodi Attuali per Rilevare Problemi IAM

Per affrontare questi rischi, sono stati sviluppati diversi servizi di sicurezza per identificare le misconfigurazioni IAM. Questi servizi possono essere classificati in due categorie principali:

  1. Servizi di sicurezza nativi forniti dai cloud provider: Questi servizi offrono controlli di sicurezza di base per le configurazioni IAM.
  2. Servizi di sicurezza cloud di terze parti: Questi servizi, creati da startup e organizzazioni open-source, puntano a fornire misure di sicurezza più specializzate.

La maggior parte degli attuali strumenti di sicurezza di terze parti utilizza un metodo noto come testing di penetrazione whitebox. Questo approccio richiede l'accesso completo alle configurazioni IAM del cliente, il che può sollevare preoccupazioni sulla privacy. Spesso, i clienti sono riluttanti a condividere dettagli completi delle loro configurazioni a causa del rischio di esporre informazioni sensibili. Così, potrebbero dover anonimizzare le loro configurazioni, il che può richiedere tempo e potrebbe influenzare l'efficacia dei test di sicurezza.

Un Nuovo Approccio: Testing di Penetrazione Greybox

Per superare le limitazioni del testing whitebox, è stato proposto un nuovo tipo di test chiamato testing di penetrazione greybox. Il testing greybox consente ai servizi di sicurezza di rilevare vulnerabilità IAM richiedendo solo un accesso limitato alle configurazioni IAM.

Questo metodo prevede l'invio di query per raccogliere informazioni specifiche relative a potenziali escalation di privilegi. I clienti possono scegliere quali parti delle loro configurazioni IAM possono essere interrogate e impostare un numero massimo di query per limitare l'esposizione delle informazioni.

Componenti Chiave del Nuovo Approccio

  1. Modellazione IAM Astratta: Si crea un modello semplificato per analizzare le configurazioni IAM utilizzando solo informazioni parziali. Questo modello aiuta a identificare potenziali rischi di sicurezza senza bisogno di accesso completo.

  2. Apprendimento Rinforzato con Reti Neurali a Grafo: Questa tecnica viene utilizzata per determinare in modo efficiente quali query inviare. Imparando dalle query precedenti, il sistema migliora nella ricerca di vulnerabilità inviando meno query complessivamente.

  3. Generazione di Compiti: Viene sviluppato uno strumento per creare una varietà di scenari di escalation dei privilegi IAM per addestramento e valutazione. Questo strumento genera compiti che rappresentano diverse configurazioni IAM per garantire un processo di test robusto.

Come Funziona il Nuovo Sistema

Il sistema inizia consentendo ai clienti di definire quali parti delle loro informazioni IAM possono essere accessibili. Poi, le query vengono generate in modo intelligente basandosi sulle informazioni disponibili e sul budget di query definito.

Meccanismo di Query

L'approccio di testing di penetrazione greybox valuta continuamente quali informazioni sugli enti o sui permessi sono essenziali per rilevare vulnerabilità. Iterando attraverso le query definite, il sistema affina la sua comprensione della configurazione IAM e aggiorna i suoi modelli di conseguenza.

Rappresentazione a Grafo

Le configurazioni IAM vengono rappresentate come grafi. In questo grafo, i nodi rappresentano entità (come utenti o ruoli) e i bordi rappresentano i flussi di permessi (come i permessi sono assegnati tra le entità). Questa rappresentazione visiva aiuta il sistema a comprendere in modo più intuitivo le relazioni complesse all'interno dell'impostazione IAM.

Apprendimento e Miglioramento

Utilizzando l'apprendimento rinforzato, il sistema impara quali azioni (query) portano alla rilevazione più efficiente delle escalation di privilegi. Può adattare le sue strategie basandosi sui successi e sui fallimenti precedenti per minimizzare il numero di query necessarie, massimizzando al contempo l'accuratezza della rilevazione.

Setup Sperimentale

Per valutare quanto bene funzioni questo nuovo metodo di testing di penetrazione greybox, sono stati generati vari scenari e compiti. Questi compiti simulano diverse configurazioni IAM, consentendo al sistema di essere addestrato e testato contro una gamma di situazioni reali possibili.

Sono stati creati due set di test - uno con 500 compiti basati sul nuovo generatore di compiti e un altro con 31 compiti da un database esistente di escalation di privilegi IAM. Questo set diversificato di compiti fornisce una comprensione completa di come il sistema si comporta in diverse condizioni.

Metriche di Prestazione

Per comprendere l'efficacia del nuovo metodo, vengono utilizzate due metriche principali:

  1. Tasso di Falsi Negativi: Misura quanti problemi reali non sono stati rilevati dal sistema.
  2. Tasso Medio di Query: Misura quante query sono state necessarie per rilevare problemi.

Tassi più bassi di falsi negativi indicano un sistema di rilevazione più efficace, mentre un tasso medio di query più basso suggerisce una migliore efficienza.

Risultati e Approfondimenti

Il nuovo metodo di testing di penetrazione greybox ha mostrato risultati promettenti rispetto agli strumenti esistenti:

Falsi Negativi

  • I metodi tradizionali hanno rilevato solo una frazione dei compiti di escalation dei privilegi, spesso lasciando oltre il 90% non rilevati.
  • In contrasto, il nuovo metodo ha raggiunto tassi di falsi negativi significativamente più bassi, identificando un numero molto maggiore di attacchi.

Efficienza delle Query

  • Il nuovo sistema non solo ha identificato più minacce, ma lo ha fatto inviando anche meno query complessivamente. Questo ha migliorato l'efficienza del processo di test, rendendolo più pratico per l'uso nel mondo reale.

Applicazione nel Mondo Reale

L'efficacia di questo sistema è stata ulteriormente verificata testandolo contro un set di compiti disponibile pubblicamente. In questo caso, il metodo greybox ha rilevato tutti i potenziali compiti di escalation con un budget di due query, dimostrando le sue capacità in un ambiente ristretto.

Conclusione

Questo nuovo approccio alla rilevazione delle escalation di privilegi IAM rappresenta un significativo avanzamento nella sicurezza cloud. Consentendo ai clienti di controllare quanto delle loro informazioni IAM venga condiviso e gestendo in modo intelligente come vengono inviate le query, questo metodo affronta le principali preoccupazioni sulla privacy, pur fornendo robusti controlli di sicurezza.

Con l'evolversi del panorama del cloud, mantenere pratiche sicure di IAM rimarrà una priorità. La capacità di identificare e mitigare efficacemente le misconfigurazioni IAM potrebbe salvare le organizzazioni da potenziali devastanti violazioni di sicurezza e perdite finanziarie.

Attraverso metodi come il testing di penetrazione greybox, le aziende possono migliorare la loro sicurezza nel cloud rispettando la privacy degli utenti e minimizzando rischi non necessari. Questo doppio focus sulla sicurezza e sulla sicurezza diventerà ancora più critico man mano che la dipendenza dai servizi cloud continuerà ad espandersi.

Fonte originale

Titolo: Interactive Greybox Penetration Testing for Cloud Access Control using IAM Modeling and Deep Reinforcement Learning

Estratto: Identity and Access Management (IAM) is an access control service in cloud platforms. To securely manage cloud resources, customers need to configure IAM to specify the access control rules for their cloud organizations. However, incorrectly configured IAM can be exploited to cause a security attack such as privilege escalation (PE), leading to severe economic loss. To detect such PEs due to IAM misconfigurations, third-party cloud security services are commonly used. The state-of-the-art services apply whitebox penetration testing techniques, which require access to complete IAM configurations. However, the configurations can contain sensitive information. To prevent the disclosure of such information, customers need to manually anonymize the configuration. In this paper, we propose a precise greybox penetration testing approach called TAC for third-party services to detect IAM PEs. To mitigate the dual challenges of labor-intensive anonymization and potentially sensitive information disclosures, TAC interacts with customers by selectively querying only the essential information needed. Our key insight is that only a small fraction of information in the IAM configuration is relevant to the IAM PE detection. We first propose IAM modeling, enabling TAC to detect a broad class of IAM PEs based on the partial information collected from queries. To improve the efficiency and applicability of TAC, we aim to minimize interactions with customers by applying Reinforcement Learning (RL) with Graph Neural Networks (GNNs), allowing TAC to learn to make as few queries as possible. Experimental results on both synthetic and real-world tasks show that, compared to state-of-the-art whitebox approaches, TAC detects IAM PEs with competitively low false negative rates, employing a limited number of queries.

Autori: Yang Hu, Wenxi Wang, Sarfraz Khurshid, Mohit Tiwari

Ultimo aggiornamento: 2024-06-08 00:00:00

Lingua: English

URL di origine: https://arxiv.org/abs/2304.14540

Fonte PDF: https://arxiv.org/pdf/2304.14540

Licenza: https://creativecommons.org/licenses/by/4.0/

Modifiche: Questa sintesi è stata creata con l'assistenza di AI e potrebbe presentare delle imprecisioni. Per informazioni accurate, consultare i documenti originali collegati qui.

Si ringrazia arxiv per l'utilizzo della sua interoperabilità ad accesso aperto.

Argomenti citati

Altro dagli autori

Articoli simili