Pilon voor Cloud Computing

www.Jambo-Consultancy.nl

juli 13;Risicomanagement

De pilon is een onderdeel van Het Menselijk Schild dat samen met de Zwarte Zwaan een risico Raamwerk voor Cloud Computing biedt en een antwoord is op Cloud Computing risicovraagstukken.

metaforen en stripfiguren als archetypes van actoren in de Cloud Community en het Cloud Ecosysteem.

Het heeft als doel een pragmatisch en eenvoudig weerwoord te bieden op wat door velen wordt ervaren als ongrijpbare materie van gevaren in het algemeen en de risicos van Cloud Computing in het bijzonder.

De Zwarte Zwaan als metafoor helpt bij het omgaan met op de loer liggende gevaren van Cloud Computing en de impact van het hoogst onwaarschijnlijke (de onbekende onbekenden) en dient als repliek op de klassieke risico benadering waarin verliezen altijd achteraf voorspelbaar en gerationaliseerd worden.

De

Menselijk Schild (http://www.flipsnack.com/Jambo/ftm21ees)zijn een onderdeel van de Jambo Methode ( http://www.flipsnack.com/Jambo/f7uf43l3 ). De Jambo Methode maakt gebruik van verandermanagement met behulp van
Pagina |2

pilon

en

Het

Naast de Governance tools en de Mens & Dynamiek methode van Jambo helpt de pilon bij het stimuleren van de verandering van een reactieve naar een proactieve risicomanagement houding.

www.Jambo-Consultancy.nl

juli 13;Risicomanagement

Deze Pilon is het resultaat van de gemeenschappelijke inzet van informatieveiligheid en complience professionals en leidt gebruikers en werknemers effectief langs de gevaren van Cloud Computing. Het geeft een actueel overzicht van de meest gevaarlijke webtoepassing, gebaseerd op OWASP (Open Web Application Security Project). De introductie van deze Pilon in organisaties draagt daarnaast ook bij aan het besef dat ICT professionals en werknemers in organisaties vaak maar het topje van de ijsberg aan kwetsbaarheden, bedreigingen en aanvallen zien; het promoot veiligheid in de Cloud. De Pilon kan een onderdeel zijn van het BYOD beleid

Niet gecontroleerde toegang 2. Afgebroken toegangscontrole 3. Slechte identificatie en sessiebeheer 4. Gebreken in Cross Site Scripting (XSS) 5. Slechte input validatie (de opslagbuffer loopt over) 6. Corrupte injecties 7. Onjuiste foutafhandeling 8. Onveilige opslag 9. Denial of Service (DOS) 10.Onveilig (server)configuratie management
1.

Pagina |3

www.Jambo-Consultancy.nl

juli 13;Risicomanagement

1. Niet gecontroleerde toegang

Ingevoerde informatie van een webaanvraag wordt niet gevalideerd voor het gebruikt wordt door een webapplicatie. Aanvallers kunnen dit gebruiken om Back-End componenten aan te vallen via de webapplicatie.
Pagina |4

www.Jambo-Consultancy.nl

juli 13;Risicomanagement

2.Afgebroken toegangscontrole

Opgelegde beperkingen van geverifieerde gebruikers worden niet goed gehandhaafd Aanvallers kunnen deze gebreken misbruiken om accounts van andere gebruikers en gevoelige bestanden te openen of gebruik te maken van ongeoorloofde functies

Pagina |5

www.Jambo-Consultancy.nl

juli 13;Risicomanagement

3.Slechte identificatie en sessiebeheer

Authenticiteitsprocessen en sessiebeheer zijn niet voldoende beschermd Aanvallers die beschikken over wachtwoorden, sleutels, cookies of andere kentekens kunnen de authenticiteitsbeperkingen omzeilen om zo de identiteiten van andere gebruikers aan te nemen.

Identificatie of authenticiteit is het proces van het bepalen of iemand of iets in werkelijkheid ook is wie of wat hij verklaard te zijn. Sessiebeheer is de verplichte stap die de gebruiker moet doorlopen

Pagina |6

www.Jambo-Consultancy.nl

juli 13;Risicomanagement

4.Gebreken in Cross Site Scripting (XSS)

Fout in de beveiliging van website naar website transacties

De webapplicatie kan gebruikt worden als een mechanisme om een aanval uit te voeren naar de browser van de eindgebruiker. Een succesvolle aanval legt de eindgebruiker sessie kenmerken open om zo de lokale server/computer aan te vallen of de gebruiker met foute informatie te misleiden.

Pagina |7

www.Jambo-Consultancy.nl

juli 13;Risicomanagement

5.Slechte input validatie (de opslagbuffer loopt over).

Onderdelen die kunnen overlopen zijn CGIs, bibliotheken, drivers en webapplicatie server componenten. Webapplicatieonderdelen in extra talen die input niet goed valideren kunnen crashen en zo gebruikt worden om de controle van een proces over te nemen.

Pagina |8

www.Jambo-Consultancy.nl

juli 13;Risicomanagement

6.Corrupte injecties

Webapplicaties passeren een aantal parameters als zij toegang willen verkrijgen tot externe systemen of het lokale besturingssysteem. Aanvallers kunnen in deze parameters kwaadaardige commandos insluiten Een extern systeem kan opdrachten laten uitvoeren voor rekening van de webapplicatie

Pagina |9

www.Jambo-Consultancy.nl

juli 13;Risicomanagement

7.Onjuiste foutafhandeling

Geen of slechte foutafhandeling Een aanvaller kan zelf een aantal errors genereren en zo gedetailleerde informatie over het systeem te verkrijgen bijv. om beveiligingsmechanismen uit te schakelen en servers te laten crashen

P a g i n a | 10

www.Jambo-Consultancy.nl

juli 13;Risicomanagement

8.Onveilige opslag

Webapplicaties gebruiken vaak cryptografische functies om informatie en referenties af te schermen. Deze code goed integreren is moeizaam en resulteert vaak in een zwakke bescherming

P a g i n a | 11

www.Jambo-Consultancy.nl

juli 13;Risicomanagement

9.Denial of Service (DOS)

Aanvallers kunnen internetmiddelen gebruiken op die manier dat andere, legitieme gebruikers, niet langer toegang krijgen tot een webapp. Vergrendelen of uitsluiten van gebruikers of zelfs de hele applicatie corrumperen.

P a g i n a | 12

www.Jambo-Consultancy.nl

juli 13;Risicomanagement

10.Onveilig (server)configuratie management

Het hebben van een hoge serverconfiguratie standaard is cruciaal voor veilige webapplicaties Servers kennen veel configuratie-opties die de veiligheid benvloeden enzijn niet plug and play.

P a g i n a | 13