Pilon voor Cloud Computing
www.Jambo-Consultancy.nl
De pilon is een onderdeel van Het Menselijk Schild dat samen met de Zwarte Zwaan een risico Raamwerk voor Cloud Computing biedt en een antwoord is op Cloud Computing risicovraagstukken.
Het heeft als doel een pragmatisch en eenvoudig weerwoord te bieden op wat door velen wordt ervaren als ongrijpbare materie van gevaren in het algemeen en de risico’s van Cloud Computing in het bijzonder.
De
pilon
Menselijk Schild© (http://www.flipsnack.com/Jambo/ftm21ees)zijn een onderdeel van de Jambo Methode© ( http://www.flipsnack.com/Jambo/f7uf43l3 ). De Jambo Methode maakt gebruik van verandermanagement met behulp van Pagina |2
en
juli ’13;Risicomanagement
metaforen en stripfiguren als archetypes van actoren in de Cloud Community en het Cloud Ecosysteem.
De Zwarte Zwaan als metafoor helpt bij het omgaan met op de loer liggende gevaren van Cloud Computing en de impact van het hoogst onwaarschijnlijke (de onbekende onbekenden) en dient als repliek op de klassieke risico benadering waarin verliezen altijd achteraf voorspelbaar en gerationaliseerd worden.
Het
Naast de Governance tools en de Mens & Dynamiek methode van Jambo helpt de pilon bij het stimuleren van de verandering van een reactieve naar een proactieve risicomanagement houding.
www.Jambo-Consultancy.nl
Deze Pilon is het resultaat van de gemeenschappelijke inzet van informatieveiligheid en complience professionals en leidt gebruikers en werknemers effectief langs de gevaren van Cloud Computing. Het geeft een actueel overzicht van de meest gevaarlijke webtoepassing, gebaseerd op OWASP (Open Web Application Security Project). De introductie van deze Pilon in organisaties draagt daarnaast ook bij aan het besef dat ICT professionals en werknemers in organisaties vaak maar het topje van de ijsberg aan kwetsbaarheden, bedreigingen en aanvallen zien; het promoot veiligheid in de Cloud. De Pilon kan een onderdeel zijn van het BYOD beleid
Pagina |3
juli ’13;Risicomanagement
Niet gecontroleerde toegang 2. Afgebroken toegangscontrole 3. Slechte identificatie¹ en sessiebeheer² 4. Gebreken in Cross Site Scripting (XSS)³ 5. Slechte input validatie (de opslagbuffer loopt over) 6. Corrupte injecties 7. Onjuiste foutafhandeling 8. Onveilige opslag 9. Denial of Service (DOS) 10.Onveilig (server)configuratie management 1.
www.Jambo-Consultancy.nl
juli ’13;Risicomanagement
1. Niet gecontroleerde toegang
Ingevoerde informatie van een webaanvraag wordt niet gevalideerd voor het gebruikt wordt door een webapplicatie. Aanvallers kunnen dit gebruiken om Back-End componenten aan te vallen via de webapplicatie. Pagina |4
www.Jambo-Consultancy.nl
juli ’13;Risicomanagement
2.Afgebroken toegangscontrole
Opgelegde beperkingen van geverifieerde gebruikers worden niet goed gehandhaafd Aanvallers kunnen deze gebreken misbruiken om accounts van andere gebruikers en gevoelige bestanden te openen of gebruik te maken van ongeoorloofde functies
Pagina |5
www.Jambo-Consultancy.nl
juli ’13;Risicomanagement
3.Slechte identificatie¹ en sessiebeheer² Authenticiteitsprocessen en sessiebeheer zijn niet voldoende beschermd Aanvallers die beschikken over wachtwoorden, sleutels, cookies of andere kentekens kunnen de authenticiteitsbeperkingen omzeilen om zo de identiteiten van andere gebruikers aan te nemen.
¹Identificatie of authenticiteit is het proces van het bepalen of iemand of iets in werkelijkheid ook is wie of wat hij verklaard te zijn. ²Sessiebeheer is de verplichte stap die de gebruiker moet doorlopen
Pagina |6
www.Jambo-Consultancy.nl
juli ’13;Risicomanagement
4.Gebreken in Cross Site Scripting (XSS)³
³ Fout in de beveiliging van website naar website transacties
De webapplicatie kan gebruikt worden als een mechanisme om een aanval uit te voeren naar de browser van de eindgebruiker. Een succesvolle aanval legt de eindgebruiker sessie kenmerken open om zo de lokale server/computer aan te vallen of de gebruiker met foute informatie te misleiden.
Pagina |7
www.Jambo-Consultancy.nl
juli ’13;Risicomanagement
5.Slechte input validatie (de opslagbuffer loopt over).
Onderdelen die kunnen overlopen zijn CGI’s, bibliotheken, drivers en webapplicatie server componenten. Webapplicatieonderdelen in extra talen die input niet goed valideren kunnen crashen en zo gebruikt worden om de controle van een proces over te nemen.
Pagina |8
www.Jambo-Consultancy.nl
juli ’13;Risicomanagement
6.Corrupte injecties
Webapplicaties passeren een aantal parameters als zij toegang willen verkrijgen tot externe systemen of het lokale besturingssysteem. Aanvallers kunnen in deze parameters kwaadaardige commando’s insluiten Een extern systeem kan opdrachten laten uitvoeren voor rekening van de webapplicatie
Pagina |9
www.Jambo-Consultancy.nl
juli ’13;Risicomanagement
7.Onjuiste foutafhandeling
Geen of slechte foutafhandeling Een aanvaller kan zelf een aantal errors genereren en zo gedetailleerde informatie over het systeem te verkrijgen bijv. om beveiligingsmechanismen uit te schakelen en servers te laten crashen
P a g i n a | 10
www.Jambo-Consultancy.nl
juli ’13;Risicomanagement
8.Onveilige opslag
Webapplicaties gebruiken vaak cryptografische functies om informatie en referenties af te schermen. Deze code goed integreren is moeizaam en resulteert vaak in een zwakke bescherming
P a g i n a | 11
www.Jambo-Consultancy.nl
juli ’13;Risicomanagement
9.Denial of Service (DOS)
Aanvallers kunnen internetmiddelen gebruiken op die manier dat andere, legitieme gebruikers, niet langer toegang krijgen tot een webapp. Vergrendelen of uitsluiten van gebruikers of zelfs de hele applicatie corrumperen.
P a g i n a | 12
www.Jambo-Consultancy.nl
juli ’13;Risicomanagement
10.Onveilig (server)configuratie management
Het hebben van een hoge serverconfiguratie standaard is cruciaal voor veilige webapplicaties Servers kennen veel configuratie-opties die de veiligheid beĂŻnvloeden enzijn niet plug and play.
P a g i n a | 13