Die absichtlich unsicheren Umgebungen - diejenigen Anwendungen, die Hacking- und Penetrationstests lehren - sind seit Jahren ein wertvolles Werkzeug zum Lernen, Demos und Testen von Sicherheitskontrollen. Projekte, die als OWASP In den Warenkorb, DVWA, BWAPP oder kommerzielle Laborumgebungen bieten Szenarien, in denen Fehler und schlechte Praktiken ohne Risiko untersucht werden können... solange sie beschränkt bleiben.
Das Problem entsteht, wenn diese Labors nicht mehr beschränkt sind. Neue Forschungen Pentera Labs Er identifizierte ein besorgniserregendes Muster: Instanzen, die für Schulungen oder Demonstrationen geschaffen wurden, die dem Internet ausgesetzt sind, in aktiven Cloud-Konten laufen und, ernster, mit Identitäten und Rollen mit übermäßigen Berechtigungen verbunden sind. Diese Kombination macht das, was ein Bildungsumfeld sein sollte, zu einem echten Tor zur produktiven Umgebung.
Die Ergebnisse sind stark: Pentera identifizierte fast zweitausend öffentliche Instanzen von Trainingsanwendungen und fand heraus, dass ein wesentlicher Teil davon auf Infrastruktur lief, die von den Kunden selbst in den großen Cloud-Lieferanten - AWS, Azure und Google Cloud verwaltet. Darüber hinaus fanden die Teams in einem erheblichen Teil der Fälle Beweise für frühere schädliche Aktivitäten, vom Kryptomoneda-Mining bis zu Webshells und Persistenzmechanismen.
Die Logik des Angriffs braucht keine extreme Raffinesse. Bei Standard-Anmeldeinformationen, offenen Einstellungen oder bekannten Sicherheitslücken kann ein Angreifer die Steuerung der Trainingsanwendung übernehmen und, wenn diese Anwendung mit Rollen oder Identitäten mit Privilegien verknüpft ist, verschwenken und auf andere Ressourcen im selben Cloud-Konto zugreifen. Das verwandelt eine Sandbox in einen Schritt hin zu weitreichenden Verpflichtungen.
Dieses Problem ist nicht anekdotal oder auf kleine Organisationen beschränkt. Pentera beobachtete das Muster in Umgebungen, die mit großen Unternehmen und Sicherheitsanbietern verbunden sind, was zeigt, dass das Risiko sowohl reife Organisationen als auch diejenigen im Prozess der Verbesserung betrifft. Die Kennzeichnung einer Ressource als "Praxis" oder "Zeitalter" macht sie nicht für Angreifer unsichtbar oder befreit sie von operationellen Risiken, wenn sie ausgesetzt sind.
Warum? In vielen IT- und Sicherheitsteams werden Bildungsumgebungen von geringem Wert betrachtet und sind außerhalb regelmäßiger Überprüfungen, Erfinder und Überwachungssysteme. Sie werden schnell für einen Kurs oder Demo erstellt, verwendet, und bleiben manchmal aktiv für Monate ohne jede Frage ihrer Konfiguration, zugehörigen Anmeldeinformationen oder der Umfang ihres Zugriffs. Im Laufe der Zeit kann Vergessenheit zur Ausbeutung werden.
Diese Art von Risiko abzumildern erfordert einfache, aber feste Maßnahmen. Erstens, halten Sie diese Umgebungen isoliert: private Netzwerke, separate VPCs oder unabhängige Sandbox Konten / Projekte. Zweitens gilt das Prinzip der weniger privilegierten Identitäten und Rollen im Zusammenhang mit Laboren und Demos. Drittens automatisieren Sie die Inventarisierung und Überwachung, um öffentlich zugängliche Ressourcen oder Bilder mit Standardeinstellungen zu erkennen. Und viertens, nehmen Sie "Lebenszyklus"-Praktiken an: halten automatische Kreation und Zerstörung Routinen, so dass Umgebungen nur für die benötigte Zeit existieren.
Die großen Wolken bieten Anleitungen und Werkzeuge für diese Praktiken: Amazon veröffentlicht Architektur- und Sicherheitsempfehlungen für Cloud-Umgebungen im Zentrum der guten Praktiken ( AWS Sicherheit), Microsoft hält umfangreiche Sicherheitsdokumentation in Azure ( Sicherheit für Azure) und Google Cloud veröffentlicht ihre Kontrollen und Empfehlungen ( Google Cloud Sicherheit) Es ist auch nützlich, sich auf gemeinschaftliche Standards und Ressourcen wie OWASP Top Ten häufige Angriffsvektoren in Webanwendungen zu verstehen.
Zusätzlich zu den Konfigurationen und Berechtigungen sollte der öffentliche Bereich mit Werkzeugen und Dienstleistungen zur Erfassung von exponierten Vermögenswerten überwacht werden. Suchplattformen für vernetzte Geräte und Dienste, wie Shodan, und native Cloud-Inventardienste helfen schnell, offene Instanzen zu identifizieren, die geschlossen bleiben sollten. Telemetrie, zentralisierte Schleifen und Alarme sind wichtig, um verdächtige Aktivität zu erkennen, von indikativen Kryptomoneda-Mining-Muster bis zu ungewöhnlichen Verbindungen zu Cloud-Metadaten.
Für Schulungsgeräte gibt es sichere Alternativen: Mit temporären Umgebungen, die automatisch arrangiert und zerstört werden, verwalteten Laborplattformen, die Standard-Netzwerkisolation oder Bereitstellung von Übungen und Szenarien in voll segregierten Konten ohne gemeinsame Anmeldeinformationen mit produktiven Umgebungen bieten. Die Implementierung einer starken Authentifizierung und die Nicht-Wiederverwendung bekannter Anmeldeinformationen ist eine Grundpraxis, die viele Vorfälle vermeidet.
Die Lektion ist klar: Das "Training"-Label reduziert das technische Risiko nicht. Wenn eine verletzliche Anwendung aus dem Internet zugänglich ist und mit Identitäten verbunden ist, die die Möglichkeit haben, mit der restlichen Infrastruktur zu interagieren, wird sie Teil des exponierten Umfanges der Organisation. Der Schutz dieses Umfangs erfordert die Integration von Laborumgebungen in die gleichen Richtlinien und Kontrollen wie andere Vermögenswerte.
Wenn Sie die Methodik und konkrete Ergebnisse vertiefen möchten, ist die komplette Forschung von Pentera auf Ihrem Blog verfügbar und bietet auch ein Web-Seminar, das den Prozess der Entdeckung und der beobachteten Beweise erklärt: Bericht von Pentera Labs und Webinar. Für diejenigen, die Wolken verwalten, konsultieren Sie die offiziellen Führer der Lieferanten und richten Sie sich an anerkannte Sicherheitspraktiken ist ein guter Ausgangspunkt für ein Labor, um ein Lernwerkzeug zu bleiben, anstatt einen Angriffsweg.
18-jährige ukrainische Jugend führt ein Netzwerk von Infostealern, die 28,000 Konten verletzt und $250.000 Verluste hinterlassen
Die ukrainischen Behörden, in Abstimmung mit US-Agenten. Sie haben sich auf eine Operation konzentriert Infostealer die laut der ukrainischen Cyber Police von Odessa angeblich v...
Die digitale Signatur ist im Check: Microsoft befehligt einen Dienst, der Malware in scheinbar legitime Software verwandelt
Microsoft kündigte die Desartikulation einer "Malware-signing-as-a-Service" Operation, die sein Gerät Signatur-System ausgenutzt, um schädlichen Code in scheinbar legitime binär...
Ein einziger GitHub-Workflow-Token öffnete die Tür zur Software-Lieferkette
Ein einziger GitHub-Workflow-Token scheiterte in der Rotation und öffnete die Tür. Dies ist die zentrale Schlussfolgerung des Vorfalls in Grafana Labs nach der jüngsten Welle vo...
WebWorm 2025: die Malware, die in Discord und Microsoft Graphh versteckt ist, um die Erkennung zu umgehen
Die neuesten Beobachtungen von Cyber-Sicherheitsforschern weisen auf eine Veränderung der besorgniserregenden Taktik eines Schauspielers hin, der mit China verbunden ist. WebWor...
Identität ist nicht mehr genug: kontinuierliche Überprüfung des Gerätes für Echtzeitsicherheit
Identität bleibt das Rückgrat vieler Sicherheitsarchitekturen, aber heute knackt diese Spalte unter neuen Drücken: fortgeschrittene Phishing, Echtzeit-Proxy-Authentifizierungski...
Die dunkle Identitätsfrage verändert die Regeln der Unternehmenssicherheit
Der Identity Gap: Snapshot 2026 Bericht veröffentlicht von Orchid Security legt Zahlen auf einen gefährlichen Trend: die "dunkle Materie" der Identität - Konten und Anmeldeinfor...
PinTheft die öffentliche Explosion, die Ihnen Wurzel auf Arch Linux geben könnte
Eine neue öffentliche Explosion hat die Fragilität des Linux-Privileg-Modells wieder auf die Oberfläche gebracht: Das V12-Sicherheitsteam nannte den Ausfall als PinTheater und v...