АНАЛІЗ ІНСТРУМЕНТУ ДЛЯ ВИЯВЛЕННЯ ВРАЗЛИВОСТЕЙ У ХМАРНИХ ТЕХНОЛОГІЯХ

Анастасія Журавчак; Андріян Піскозуб; Роман Банах; Даниїл Журавчак; Павло Глущенко

doi:10.28925/2663-4023.2025.28.793

Автор(и)

Анастасія Журавчак Національний Університет «Львівська Політехніка» https://orcid.org/0000-0002-8196-7963
Андріян Піскозуб Національний Університет «Львівська Політехніка» https://orcid.org/0000-0002-3582-2835
Роман Банах Національний Університет «Львівська Політехніка» https://orcid.org/0000-0001-6897-8206
Даниїл Журавчак Національний Університет «Львівська Політехніка» https://orcid.org/0000-0003-4989-0203
Павло Глущенко Національний Університет «Львівська Політехніка» https://orcid.org/0000-0002-1262-5484

DOI:

https://doi.org/10.28925/2663-4023.2025.28.793

Ключові слова:

вразливість; атака; баг-баунті; етичний хакінг; пентестинг; винагорода; Common Vulnerability Scoring System; CVSS

Анотація

У статті проведено огляд можливостей та архітектури інструменту Scout Suite, який є одним із провідних рішень з відкритим кодом для аудиту безпеки хмарної інфраструктури. Scout Suite розроблений для автоматизованого аналізу конфігурацій хмарних облікових записів з метою виявлення потенційних вразливостей, неправильних налаштувань доступу, відсутності шифрування, слабких політик IAM тощо. Основною перевагою інструменту є мультихмарна підтримка, зокрема для Amazon Web Services (AWS), Microsoft Azure, Google Cloud Platform (GCP), а також в альфа-версіях — Alibaba Cloud та Oracle Cloud Infrastructure. У роботі розглянуто архітектуру інструменту, яка побудована за модульним принципом і складається з основного ядра (Core), модулів для обробки CLI-запитів, інтерфейсів виводу (Output) та окремих компонентів для кожного хмарного провайдера. Завдяки використанню фасадного патерну, Scout Suite дозволяє гнучко розширювати підтримку нових сервісів, при цьому зберігаючи єдину логіку доступу до ресурсів. Інструмент забезпечує збереження результатів у форматі інтерактивних HTML-звітів, які зручно переглядати офлайн, а також підтримує кастомізацію правил та інтеграцію з CI/CD пайплайнами, наприклад, через Jenkins. Особлива увага приділена використанню інструменту в контексті забезпечення безпеки процесів DevSecOps та дотримання стандартів відповідності. Scout Suite дозволяє швидко отримати повний огляд безпеки хмарної інфраструктури, автоматизувати виявлення критичних помилок та скоротити час на ручну перевірку. У статті також окреслено перспективи подальших досліджень, серед яких інтеграція з SIEM-системами, застосування методів машинного навчання для автоматизації аналізу результатів аудиту, розширення підтримки нових хмарних платформ, а також створення специфічних профілів перевірки для стандартів безпеки. Scout Suite розглядається як важливий інструмент у сучасному арсеналі кібербезпеки для організацій, що активно використовують хмарні сервіси.

Завантаження

Дані завантаження ще не доступні.

Посилання

Piskozub, A., Zhuravchak, D., & Tolkachova, A. (2023). Research on Vulnerabilities in Chatbots Using Large Language Models Ukrainian Scientific Journal of Information Security, 29(3), 111–117. https://doi.org/10.18372/2225-5036.29.18069

Borra, P. (2024). An overview of cloud computing and leading cloud service providers. SSRN Electronic Journal. https://doi.org/10.2139/ssrn.4914169

Singh, B. (2014). Identifying cloud computing vulnerabilities. International Journal of Scientific Research in Science, Engineering and Technology, 198–202. https://doi.org/10.32628/ijsrset207250

GitHub - nccgroup/ScoutSuite: Multi-Cloud Security Auditing Tool. (n. d.). GitHub. https://github.com/nccgroup/ScoutSuite

P, A., Sharma, T., Jatain, A., & Bajaj, S. B. (2024). Examining cybersecurity tools for a complete security assessment. SSRN Electronic Journal. https://doi.org/10.2139/ssrn.4850417

Jeya Suriya, B., Amarnath, B. K., Raghuraman, A. R., & Arumugam, C. (2024). Cloud security: Upgradation in CSPM configuration setting. In 2024 4th international conference on data engineering and communication systems (ICDECS). IEEE. https://doi.org/10.1109/icdecs59733.2023.10503211

Jackson, L. (2020). The CI/CD pipeline. In The complete ASP.NET core 3 API tutorial, 305–347. Apress. https://doi.org/10.1007/978-1-4842-6255-9_12

Setup. (n. d.). GitHub. https://github.com/nccgroup/ScoutSuite/wiki/Setup

Penetration testing. (n. d.). Microsoft Learn: Build skills that open doors in your career. https://docs.microsoft.com/en-us/azure/security/azure-security-pen-testing

van Merode, H. (2023). CI/CD concepts. In Continuous integration (CI) and continuous delivery (CD), 11–27. Apress. https://doi.org/10.1007/978-1-4842-9228-0_2

Architecture overview. (n. d.). GitHub. https://github.com/nccgroup/ScoutSuite/wiki/Architecture-overview