miércoles, 12 de junio de 2024

Prowler: Auditoría para tu entorno Cloud. Analizamos un entorno Azure !!!

 Estimados amigos de Inseguros !!!

El propósito de este post es doble, triple, nose, tiene muchos matices. Voy a ir por partes que me lío.

El primero es hablaros de Prowler. Ahora seguiremos con lo técnico. Prowler es una empresa de España, de Granada, que regenta Toni de la Fuente, vamos, que la ha montado él. 

Es una de esas empresas que hacen patria, que hacen que nos sintamos orgullosos en España del talento que hay. Porque están HASTA EN LA SOPA. Son número uno en lo que hacen, auditoría contínua de entornos cloud. Amazón los recomienda directamente en cientos de guías.



Pero es que yo que suelo leer muchos libros, en papel si puedo, me he visto el nombre de la empresa en por lo menos 4 o 5 publicaciones. Aluciné tanto que tuve que felicitar a Toni, que no lo conocía, por el inmenso trabajo que estaban haciendo. 

Otro escenario, clientes míos, a los que hago un pentesting Aws o Azure, y les recomiendo usar la herramienta y me dicen: la conocíamos... la tenemos en el radar... o ya somos clientes. En serio, quizás yo haya descubierto "America" algo más tarde xD

Pero bueno, esto son "cosas de kino". Ahora vamos al kit de la cuestión. La herrramienta tiene una vertiente comercial, más orientada a la auditoría contínua, a la detección de cambios, y luego tiene otra parte de lo que yo llamo One Shot, poder lanzar unos análisis y conocer el estado de cientos de indicadores.

Aparte, como casi siempre en Inseguros, os ofrecemos soluciones económicas. Pues eso, tienen una parte de servicio de pago, y otra parte de comunidad. Recuerda que he empezado diciendo que es una de esas empresas de las que estoy orgulloso sin llevarme un euro xD xD xD ( guiño guiño). 

Vamos con ella.

El proceso de instalación es complejo, pero en su proyecto comunidad lo explican muy bien:

pip install prowler

Tienes más opciones, ya sabes mis bromas.

Pero si, es muy sencillo. Yo en mi caso voy a autenticar mi shell en linux con Device auth code. Ya sabes, lanzas Az Login en linux ( tienes que tener azure client) te muestra un browser con un código y recibes tu token de sesión. La aplicación usa ese token para autenticarse y nos hace un escaneo.



Ya está... alucina. Ahora cargo el dashboard. Por defecto escucha en localhost, pero si quieres acceder desde otra ubicación, busco en la doc. y me dicen que : HOST:laip prowler dashboard y con esto tengo acceso al portal.


Cómo nos gustan estos cuadros de mando !!! Cómo ves, puedes unificar tu visión si le proporcionas credenciales válidas para estos 4 entornos. 

Si te apetece llevarte este informe a un json, html o similar, la herramienta te lo deja en una ruta indicada en la ejecución y así podemos trabajarlo un poco más.

Una de las cosas que me parecen súper interesantes y es que podemos elegir tanto en ejecución como en reporte, el compliance de referencia que queremos usar para tomar la referencia. Es decir, por qué algo está en "rojo" ? porque lo dice el CIS, el NIST, el baseline de AWS, el de GCP? la PCI... BRUTAL.

En mi caso, tengo muchos clientes a los que mi usuario accede a sus suscripciones, y me ha tomado la primera, pero fácilmente podemos indicarle el ID de subscripción apara aquellos como yo que sufrís de clientes xDDD

Os pongo alguno de los "findings" para que entendáis como estos compliances, y la herrmienta Prowler, nos pueden ayudar a mejorar nuestra postura de ciberseguridad Cloud.




Os paso un video de apoyo para instalarlo todo en Windows, pero lo que quería transmitir es que hay información por todos lados de como hacer casi de todo.

Yo uso esta herramienta como parte de mi arsenal de pentesting Azure. Claro , muchos de estos hallazgos hay que saber cómo corregirlos, el impacto que tendría el cambio, por qué están, cómo deberían estar. Es decir, estas herramientas nos ayudan mucho en el día a día, pero requiere de conocimiento humano para explotarlas al 100%. 

Un post que me ha gustado mucho por el cariño que le tengo a la tool, y por lo fácil que me hace el día a día.

Espero que la uses, espero que cuentes conmigo para auditar tu entorno Microsoft AD o Azure, y nos vemos en la próxima !!!

Gracias por leerme !!!