90 % úspěšných útoků využívá misconfiguraci, ne zero-day exploity. Výchozí hesla, otevřené porty, verbose errors — reálné vektory útoku.
Nejčastější chyby¶
- Výchozí přihlašovací údaje (admin/admin)
- Detailní chybové zprávy v produkci
- Nezabezpečený S3 bucket
- Neaktualizovaný software
- Directory listing zapnutý
Hardening — Nginx¶
server_tokens off; add_header X-Frame-Options “SAMEORIGIN” always; add_header X-Content-Type-Options “nosniff” always; add_header Strict-Transport-Security “max-age=31536000; includeSubDomains” always; add_header Content-Security-Policy “default-src ‘self’” always; client_max_body_size 10m;
Cloud — AWS S3¶
Terraform — vynutit privátní S3¶
resource “aws_s3_bucket_public_access_block” “private” { bucket = aws_s3_bucket.main.id block_public_acls = true block_public_policy = true ignore_public_acls = true restrict_public_buckets = true }
Automatizace¶
- IaC: Terraform, Pulumi — verzovaná konfigurace
- CIS Benchmarks: automatizované audity
- CSPM: Prowler, ScoutSuite
- Ansible: automatizovaný hardening
Klíčový takeaway¶
Automatizujte konfiguraci přes IaC, skenujte pravidelně, odstraňte defaults. Misconfiguration je nejsnadnější vektor útoku — a nejsnadnější k opravě.