إيرادات خدمات السحابة من Microsoft نمت 46 ٪ في الربع الأول من عام 2022 ، وحصتها في السوق السحابية زاد بنسبة 9٪ تقريبًا منذ عام 2017. مع Azure أخيرًا يتم استخدامه بشكل جدي من قبل التيار الرئيسي ، والآن هو الوقت المثالي للمشاركة في أبحاث إساءة استخدام Azure. هناك العديد من بدائل إساءة الاستخدام غير المكتشفة ، وتراكم الكثير من الديون الخاطئة ، وبدأ عدد متزايد من الخصوم في استهداف Azure بشكل أكثر جدية.
لماذا نقضي الوقت في البحث عن بدائل إساءة الاستخدام بدلاً من الأخطاء أو البرامج المستغلة؟ تتمتع الإساءات بعمر افتراضي أطول بكثير من البق وأيام الصفر ، وهي أرخص في الحفاظ عليها. والأهم من ذلك بالنسبة للمهاجمين ، أنها موجودة في جميع تطبيقات البرامج المعنية تقريبًا ويصعب على المدافعين اكتشافها وحظرها. لهذا السبب من الضروري للباحثين الكشف عن خيارات إساءة استخدام جديدة حتى يمكن إصلاحها أو التخفيف من حدتها.
إليك عمليتي المكونة من خمس خطوات للبحث عن نظام معين داخل Azure ومحاولة العثور على أساسيات هجوم جديدة. سيساعدك اتباع هذا النهج على توفير الوقت والبقاء على المسار الصحيح وتحقيق نتائج أفضل.
الخطوة الأولى: ابدأ بالنهاية
أولاً ، ستحتاج إلى فهم كيفية عمل النظام الذي تختاره ، وكيف يتفاعل مع الأنظمة الأخرى في Azure ، وكيف يمكن إساءة استخدامه. أبعد من ذلك ، فكر في ما سيكون منتجك النهائي - منشور مدونة؟ جلسة مؤتمر؟ إرشادات علاجية دفاعية أو تحديثات لأداة مفتوحة المصدر؟ حدد ما هو مطلوب لإنشاء هذه الأصول. ضع في اعتبارك إنتاج رمز تدقيق أيضًا ، بحيث يمكن للمدافعين التحقق من هذه التكوينات الخطيرة ، وإساءة استخدام الشفرة أيضًا ، حتى يتمكن الآخرون من التحقق بسهولة من كيفية إساءة استخدام هذه التكوينات. هذه هي "معايير النجاح" لبحثك والتي ستساعدك في الحفاظ على التركيز وتجنب ثقوب الأرانب غير الضرورية وضمان نتيجة نهائية قيّمة.
الخطوة الثانية: دراسة النية وتصميم النظام
بمجرد أن تعرف بالضبط ما تحتاج إلى اكتشافه ، ابدأ البحث تمامًا مثل أي شخص آخر - إجراء عمليات البحث على Google وقراءة الوثائق الرسمية. ابحث عن أي شيء يبدو أنه مسيء (مثل القدرة على إعادة تعيين كلمات المرور والأذونات المطلوبة) ، وتعمق في ذلك ، وتدوين الملاحظات أثناء التنقل.
استخدم LinkedIn لتحديد أي مهندس معماري للمنتج أو موظفي Microsoft الآخرين المشاركين في إنشاء موضوع دراستك. قم بمراجعة خلاصات LinkedIn و Twitter الخاصة بهم وابحث عن الموارد التي قاموا بتأليفها أو إعادة نشرها (منشورات المدونة وعروض المؤتمرات وما إلى ذلك). انغمس في موارد المجتمع مثل المنتديات أو مستودعات GitHub المرتبطة بهذه الخدمة ، حيث إن مجموعات المستخدمين هذه تكون عمومًا أكثر انفتاحًا في خطابهم حول المشكلات ونقاط الضعف مقارنة بأفراد Microsoft. استمر في تدوين الملاحظات على النظام. بمجرد أن تتحدث بذكاء عن بنية النظام والغرض منه وكتابة موجز غير تقني عالي الدقة عنه ، فأنت جاهز للمضي قدمًا.
الخطوة الثالثة: استكشف النظام
يمكن أن تأخذك الوثائق فقط حتى الآن - فهي لا تواكب التغييرات في Azure وهناك دائمًا اتصالات مخفية لا تكون موثقة. من المغري القفز مباشرة إلى هذه الخطوة ، ولكن بدون سياق النظام الذي بنيته من خلال البحث ، فمن المحتمل أنك ستضيع الكثير من الوقت.
ابدأ في استكشاف النظام باستخدام أسهل واجهة - غالبًا ما تكون هذه هي واجهة المستخدم الرسومية لبوابة Azure. إذا قمت بإحضار أدوات المطور في متصفح Chrome ، فيمكنك رؤية جميع طلبات واجهة برمجة التطبيقات التي يقدمها المتصفح. انسخها إلى PowerShell وستحصل على بداية جيدة لبناء عميلك الخاص. استخدم أدوات CLI الرسمية في Azure (ثنائي az ، وحدة Az PowerShell ، ووحدة Azure AD PowerShell).
عندما تستكشف ما يكفي لتتمكن من بناء عميل أساسي خاص بك للتفاعل مع النظام ، فقد حان الوقت للمضي قدمًا. يوفر هذا أساسًا لعميل أكثر نضجًا ، ولأتمتة عملية اختبار قدرات إساءة الاستخدام.
الخطوة الرابعة: إمكانيات إساءة استخدام الكتالوج
يمكنك الآن استخدام عميلك لتعداد جميع الأذونات التي يمكن لهذا النظام تعيينها ، واختبار أساسيات إساءة الاستخدام التي تعرفها بالفعل مقابل كل من هذه الأذونات (على سبيل المثال ، هل يمكنك ترقية نفسك إلى مسؤول عالمي أو تغيير كلمة مرور مسؤول عام؟). راقب بدائل إساءة الاستخدام الأخرى التي قد تظهر أثناء بحثك - واختبرها أيضًا للكشف عن أي تناقضات بين ما تقوله الوثائق الرسمية وكيف تعمل الأشياء في الواقع.
من الناحية الواقعية ، ستحتاج إلى أتمتة هذه العملية. عندما قمت باستعراض منهجية البحث هذه لفحص Azure Graph API ، كان لدي قائمة تضم حوالي 175 إذنًا وعشرات من العبارات الأولية لإساءة الاستخدام لاختبار كل منها ... أنت تقوم بالحسابات.
الخطوة الخامسة: مشاركة النتائج
الخطوة الأخيرة هي مساعدة الآخرين على التعلم من عملك. اكتب منشور مدونة ، تحدث و / أو شارك الكود الخاص بك. الهدف هو مساعدة الآخرين على توفير الوقت والتوسع أو الإضافة إلى عملك. فكر في الأمر على أنه كتابة منشور المدونة الذي تحتاجه في بداية بحثك.
لمعرفة المزيد ، شاهد حديث ألقيته حول هذا الموضوع (و الوصول إلى السطح المصاحب). هل أنت ملهم لبدء البحث عن انتهاكات Azure؟ فيما يلي بعض مواقع الويب المفيدة للعثور على محتوى تقني حول أمان Azure: المسؤول الكسول, حل جيد!, AZAdvertizer, توماس فان لايرو بوابات مايكروسوفت.
