Ermetic 公司發佈CNAPPgoat開源項目評估多雲端環境安全性

2024.08.15

雲端基礎設施安全公司Ermetic推出了開源專案CNAPPgoat,允許組織在易於部署和銷毀的互動沙箱環境中,安全地測試其雲端安全技能、流程、工具和狀況。

CNAPPgoat支援AWS、Azure和GCP平台,用於評估雲端原生應用程式防護平台(CNAPP)所包含的安全功能。

不同於說明可能攻擊路徑的專案,CNAPPgoat提供了一個龐大且不斷擴展的場景庫,安全團隊可以執行這些場景,以建立自訂的雲端環境來模擬未經保護和容易受攻擊的資產,並驗證其防禦能力。能夠輕鬆佈建具有廣泛風險情境的易受攻擊環境,可帶來以下好處:

Ermetic研究主任Igal Gofman表示:「與現有的開源專案不同,這些專案會建立『奪旗』情境,參與者需要遵循特定路徑,CNAPPgoat涵蓋主要雲端供應商平台和CNAPP功能,同時提供模組化和細微的方式來佈建特定類別的風險和弱點。

研究主管Noam Dahan補充說:「這種廣度和深度讓滲透測試人員和防禦人員能夠精確地隔離他們想探索的元素,用於訓練、學習新技能、預防和評估安全狀況。

CNAPPgoat使安全團隊、培訓師和滲透測試人員能夠佈建和運行以下模組中的易受攻擊情境,這些模組構成了Gartner定義的CNAPP規範:

雲端基礎設施權限管理(CIEM) – 涵蓋與身份和權限相關的風險,例如身份可能意外擁有權限提升的能力。
雲端工作負載防護平台(CWPP) – 包括工作負載暴露於弱點的情況,例如運行易受攻擊/已停止支援的軟體或作業系統版本。
雲端安全狀況管理(CSPM) – 涵蓋雲端基礎設施元件的錯誤設定,例如公開存取儲存資源。
基礎設施即代碼(IaC)掃描 – 即將推出,用於直接在代碼中尋找錯誤設定。

CNAPPgoat是一個開放社群計畫,任何人都可以用於商業、技術和教育目的。更深入的技術探討和指南將很快發布。我們鼓勵貢獻,包括新情境、情境建議、問題、建議、功能請求,或只是分享反饋意見。要了解更多資訊並存取CNAPPgoat,請訪問此連結。