LW 14 - #11.7/8/9 Flashcards
waar maken applicaties en gegevensverzamelingen (database) gebruik van?
logische bestanden, die in hun werking afhankelijk zijn van de IT infrastructuur
welke bedreigingen komen kijken bij logische bestanden?
- storingen in applicaties en gegevensverzamelingen
- onopzettelijk foutief handelen
- opzettelijk foutief handelen
// storingen in applicaties en gegevensverzamelingen
als storingen niet veroorzaakt worden door problemen in de IT infrastructuur, dan zijn ze altijd het gevolg van fouten (bugs) in de programmatuur.
Op welke manier kan dit het beste beveiligd worden?
- veilige codeerstandaarden (secure coding/ secure by design), reviews, tests, formele ontwerpmethoden
- exception handlers
- patch management (reduceren van programmatuurfouten)
exception handlers
modules die de programmatuur weer in het gareel kunnen brengen na het optreden van een storing
// onopzettelijk foutief handelen
- bij het ontwikkelen, instellen en onderhouden van de bestanden (beheerders)
- bij het gebruiken van de bestanden (gebruikers)
Op welke manier kan dit het beste beveiligd worden?
- toegangsbeheersing + bijbehorende bewaking
- foutresistentie en controlerende algoritmen (juistheidcontroles, waarschijnlijkheidscontroles, limieten, bandbreedtes, procuratieregels) -> voor betrouwbare gegevensverwerking
// opzettelijk foutief handelen
- bij het ontwikkelen, instellen en onderhouden van de bestanden
- bij het gebruiken van de bestanden
Op welke manier kan dit het beste beveiligd worden?
- toegangsbeheersing
- foutresistente en controlerende algoritmen
een bekend handvat voor het ontwerpen van webapplicaties is de top 10 van meest gemaakte fouten in webapplicaties opgesteld door OWASP, het Open Web Application Security Project
injection broken authentication sensitive data exposure XML external entities broken access control security misconfiguration cross-site scripting (XSS) insecure deserialization using components with known vulnerabilities insufficient logging and monitoring
injection
injectiekwetsbaarheden zoals SQL-, oS-commando of LDAP-injectie, ontstaan wanneer niet-geverifieerde data door een hacker worden verzonden als onderdeel van een commando of query. deze data kunnen onbedoelde commando’s uitvoeren of ongeautoriseerde toegang tot gegevens verschaffen
broken authentication
authenticatiecontrole- en sessiebeheermechanismen worden vaak niet correct geïmplementeerd, waardoor aanvallers de identiteit van andere gebruikers aan kunnen nemen
sensitive data exposure
kwaadwillenden kunnen gevoelige informatie (persoonsgegevens, documenten, autorisatiegegevens) stelen of wijzigen voor creditcardfraude, identiteitsdiefstal of andere misdrijven -> gevoelige gegevens moeten extra worden beschermd dmv versleuteling/ andere speciale voorzorgsmaatregelen
XML external entities
verouderde/ slecht geconfigureerde XML-verwerkers staan vaak het laden van externe entiteiten toe -> aanvallers kunnen dit misbruiken om toegang te krijgen tot lokale bestanden, oS-commando’s uit te voeren of DoS-situaties te creëren om het systeem onbruikbaar te maken
broken access control
beperkingen voor wat een gebruiker wel of niet mag uitvoeren binnen een applicatie worden in veel gevallen niet correct afgedwongen -> aanvallers kunnen deze fouten misbruiken om toegang te krijgen tot functionaliteit en/ of informatie zonder dat ze hiertoe geautoriseerd zijn
security misconfiguration
goede beveiliging vereist correcte configuratie -> beveiligingsinstellingen moeten worden definieert, geïmplementeerd en onderhouden omdat deze standaards onveilig zijn.
cross-site scripting (XSS)
er wordt gesproken van een XSS injectie als een applicatie gegevens zonder filtering en/ of encodering naar een webbrowser zendt. een XSS injectie stelt aanvallers in staat om scripts uit te voeren, gebruikerssessies te kapen, websites te beschadigen of de gebruiker naar andere sites te leiden
insecure deserialization
applicaties converteren objecten alvorens deze worden opgeslagen. het converteren van deze objecten gebeurt vaak onveilig en kan worden misbruikt om commando’s uit te voeren. in sommige gevallen stelt het de applicatie zelfs kwetsbaar op voor andere injectieaanvallen
using components with known vulnerabilities
als een kwetsbaar onderdeel wordt geëxploiteerd kan dit tot gegevensverlies leiden of een overname van de server faciliteren
insufficiente logging and monitoring
een tekort aan logging en monitoring kan aanvallers de tijd geven zich dieper in een systeem te nestelen en proberen zich permanent toegang te verschaffen
(gemiddeld wordt een lek pas na 200 dagen gedetecteerd)
waar helpt de OWASP lijst bij?
bij het voorkomen van kwetsbaarheden bij het ontwikkelen van programmatuur
11.8
waar houdt bedreigingenbeheer (threat intelligence) zich mee bezig?
- het identificeren van dreigingsactoren, de aanvalstechnieken die gebruikt zouden kunnen worden en het actuele dreigingsbeeld
- het identificeren van toekomstige dreigingen waar de organisatie op termijn rekening mee moet houden
kwetsbaarheidsbeheer (vulnerability management)
het proces dat ervoor zorgt dat technische kwetsbaarheden in het netwerk en in hardware en software vroegtijdig worden gesignaleerd en afgehandeld
wat zijn mogelijke oplossingen die gegeven kunnen worden bij een scan van kwetsbaarheidsbeheer?
het patchen van verouderde software
het upgraden naar een nieuwe versie van een besturingssysteem
het uitschakelen van verouderde protocollen
kwetsbaarheidsbeheer heeft een sterke relatie met ..
patch managementproces
change managementproces
11.9
baselinetest
bij een baselinetest wordt getest in hoeverre specifieke IT componenten voldoen aan de baseline(s) die voor deze componenten zijn vastgesteld
– met zo’n tool kan worden bepaald of er wordt voldaan aan algemeen geaccepteerde normen voor beveiliging, alsook eigen normen die de organisatie heeft gesteld
kwetsbaarheidstest
om de effectiviteit van de getroffen maatregelen te testen
nadeel kwetsbaarheidstest
- leveren vaak lange lijsten met kwetsbaarheden op, zonder dat is vastgesteld of deze kwetsbaarheden daadwerkelijk gebruikt kunnen worden om binnen te dringen in de IT omgeving van de organisatie
- wordt vaak verward met een penetratietesten waardoor de resultaten van de test soms schijnzekerheid kunnen geven
penetratietest
kwetsbaarheden in een IT omgeving worden geïdentificeerd. van deze kwetsbaarheden wordt echter ook vastgesteld of ze daadwerkelijk kunnen worden gebruikt om binnen te dringen in een IT omgeving
[gebeurt adv professionele hackers]
red/blue teaming
wordt vooral gebruikt om de weerbaarheid van een organisatie te testen.
doel: bekijken of het in specifieke scenario’s mogelijk is om vooraf gedefinieerde informatie aan de IT omgeving van een organisatie te onttrekken. daarbij wordt vastgesteld of een organisatie die opmerkt. ook wordt bekeken wat de reactie is van een organisatie op een dergelijke aanval.
rode team: professionele hackers
blauwe team: interne team van de organisatie die op de aanval moet reageren
[kostbaarder dan penetratietest]
[geeft meer informatie over de weerbaarheid van de organisatie tegen activiteiten van hackers]
