Cloud pentesting

Een cloud penetratietest (of pentest) beoordeelt de sterke en zwakke punten in cloud gebaseerde systemen om het algehele beveiligingsniveau van de cloud te verbeteren. Kwetsbaarheden, risico's en mogelijke lacunes tussen het werkelijke niveau van digitale beveiliging en het veronderstelde, gewenste of vereiste niveau worden blootgelegd.

Crystal-Box Cloud (CBC) Assessment voor Cloud Service Customers (CSC's)

In onze security assessments voor Cloud Service Customers (CSC) richten we ons op wat binnen de beheersingsfeer van de CSC ligt. Vergelijkbaar met een Crystal-box (of white-box) applicatie security assessment, wordt de Crystal-box Cloud Assessment CBC) uitgevoerd met zoveel mogelijk informatie die beschikbaar is voor de testers. Dit maakt het mogelijk om de meest diepgaande testen uit te voeren en geeft inzicht in gedetailleerde configuratie-instellingen en autorisaties. Bij een puur applicatiegerichte assessment betekent dit meestal dat de broncode beschikbaar is voor de testers, zodat complexe en moeilijk te vinden kwetsbaarheden kunnen worden geïdentificeerd. In de cloud kan Secura, naast de broncode van een applicatie, kwetsbaarheden identificeren door de eigenlijke cloudconfiguratie-instellingen te onderzoeken.

CCM Compliance Audits voor Cloud Service Providers (CSP's)

Terwijl Secura's CBC-assessments zich richten op het direct helpen van klanten van cloud-dienstverleners, helpt Secura ook Cloud Service Providers (CSP's) met het bieden van zekerheid en begeleiding aan hun klanten. Terwijl grotere leveranciers al het vertrouwen van de industrieën en markten hebben gewonnen, worden kleinere leveranciers of CSP's die cloud-gebaseerde SaaS- en PaaS-diensten aanbieden vaak gevraagd om zekerheid te bieden over hun controle over de beveiliging van gegevens voor hun klanten.

Een ISO27001-certificering is natuurlijk een goed uitgangspunt, maar bevat geen cloudspecifieke controles en compliance-aspecten. Daarom bestaat er een uitbreiding op de ISO27002 standaard, specifiek voor cloud providers (ISO27017), en ook een uitbreiding voor persoonlijk identificeerbare informatie (PII) in de cloud (ISO27018).

Verder heeft de Cloud Security Alliance (CSA) specifiek het Cloud Controls Matrix (CCM) raamwerk ontwikkeld als een stand-alone raamwerk dat zich richt op een volledig scala aan controles met betrekking tot de beveiliging van de cloud.

Hoewel de CCM-standaard is gepositioneerd voor gebruik door cloudconsumenten, blijkt uit de standaard dat een aanzienlijk aantal controles niet direct door een CSP kan worden gecontroleerd. In plaats daarvan is het nodig dat een accountant de CSP aan dit raamwerk toetst, bijvoorbeeld aan de hand van de internationale standaard voor controleopdrachten 3000 (ISAE 3000) assurance-standaard. Dit stelt de CSP in staat om aan de (potentiële) klant te bewijzen dat een onafhankelijke auditor de naleving van het CCM heeft geverifieerd.

Secura verzorgt dergelijke ISAE3000 assurance audits voor CSP's en hun klanten. Onze gecertificeerde en geregistreerde IT-Auditors (Register EDP-auditor, oftewel RE in het Nederlands) zijn gekwalificeerd en Secura's auditproces is efficiënt en modern, ondersteund door diverse tools en volledig in overeenstemming met moderne auditstandaarden. Bovendien kunnen zij voortbouwen op de kennis en ervaring van onze technische experts die cloud security assessments uitvoeren voor onze klanten.