LW 14 - #11.7/8/9

Question 1

waar maken applicaties en gegevensverzamelingen (database) gebruik van?

Answer 1

logische bestanden, die in hun werking afhankelijk zijn van de IT infrastructuur

Question 2

welke bedreigingen komen kijken bij logische bestanden?

Answer 2

• storingen in applicaties en gegevensverzamelingen
• onopzettelijk foutief handelen
• opzettelijk foutief handelen

Question 3

// storingen in applicaties en gegevensverzamelingen

als storingen niet veroorzaakt worden door problemen in de IT infrastructuur, dan zijn ze altijd het gevolg van fouten (bugs) in de programmatuur.

Op welke manier kan dit het beste beveiligd worden?

Answer 3

• veilige codeerstandaarden (secure coding/ secure by design), reviews, tests, formele ontwerpmethoden
• exception handlers
• patch management (reduceren van programmatuurfouten)

Question 4

exception handlers

Answer 4

modules die de programmatuur weer in het gareel kunnen brengen na het optreden van een storing

Question 5

// onopzettelijk foutief handelen

• bij het ontwikkelen, instellen en onderhouden van de bestanden (beheerders)
• bij het gebruiken van de bestanden (gebruikers)

Op welke manier kan dit het beste beveiligd worden?

Answer 5

• toegangsbeheersing + bijbehorende bewaking
• foutresistentie en controlerende algoritmen (juistheidcontroles, waarschijnlijkheidscontroles, limieten, bandbreedtes, procuratieregels) -> voor betrouwbare gegevensverwerking

Question 6

// opzettelijk foutief handelen

• bij het ontwikkelen, instellen en onderhouden van de bestanden
• bij het gebruiken van de bestanden

Op welke manier kan dit het beste beveiligd worden?

Answer 6

• toegangsbeheersing

- foutresistente en controlerende algoritmen

Question 7

een bekend handvat voor het ontwerpen van webapplicaties is de top 10 van meest gemaakte fouten in webapplicaties opgesteld door OWASP, het Open Web Application Security Project

Answer 7

injection
broken authentication
sensitive data exposure
XML external entities
broken access control
security misconfiguration
cross-site scripting (XSS)
insecure deserialization
using components with known vulnerabilities
insufficient logging and monitoring

Question 8

injection

Answer 8

injectiekwetsbaarheden zoals SQL-, oS-commando of LDAP-injectie, ontstaan wanneer niet-geverifieerde data door een hacker worden verzonden als onderdeel van een commando of query. deze data kunnen onbedoelde commando’s uitvoeren of ongeautoriseerde toegang tot gegevens verschaffen

Question 9

broken authentication

Answer 9

authenticatiecontrole- en sessiebeheermechanismen worden vaak niet correct geïmplementeerd, waardoor aanvallers de identiteit van andere gebruikers aan kunnen nemen

Question 10

sensitive data exposure

Answer 10

kwaadwillenden kunnen gevoelige informatie (persoonsgegevens, documenten, autorisatiegegevens) stelen of wijzigen voor creditcardfraude, identiteitsdiefstal of andere misdrijven -> gevoelige gegevens moeten extra worden beschermd dmv versleuteling/ andere speciale voorzorgsmaatregelen

Question 11

XML external entities

Answer 11

verouderde/ slecht geconfigureerde XML-verwerkers staan vaak het laden van externe entiteiten toe -> aanvallers kunnen dit misbruiken om toegang te krijgen tot lokale bestanden, oS-commando’s uit te voeren of DoS-situaties te creëren om het systeem onbruikbaar te maken

Question 12

broken access control

Answer 12

beperkingen voor wat een gebruiker wel of niet mag uitvoeren binnen een applicatie worden in veel gevallen niet correct afgedwongen -> aanvallers kunnen deze fouten misbruiken om toegang te krijgen tot functionaliteit en/ of informatie zonder dat ze hiertoe geautoriseerd zijn

Question 13

security misconfiguration

Answer 13

goede beveiliging vereist correcte configuratie -> beveiligingsinstellingen moeten worden definieert, geïmplementeerd en onderhouden omdat deze standaards onveilig zijn.

Question 14

cross-site scripting (XSS)

Answer 14

er wordt gesproken van een XSS injectie als een applicatie gegevens zonder filtering en/ of encodering naar een webbrowser zendt. een XSS injectie stelt aanvallers in staat om scripts uit te voeren, gebruikerssessies te kapen, websites te beschadigen of de gebruiker naar andere sites te leiden

Question 15

insecure deserialization

Answer 15

applicaties converteren objecten alvorens deze worden opgeslagen. het converteren van deze objecten gebeurt vaak onveilig en kan worden misbruikt om commando’s uit te voeren. in sommige gevallen stelt het de applicatie zelfs kwetsbaar op voor andere injectieaanvallen

Question 16

using components with known vulnerabilities

Answer 16

als een kwetsbaar onderdeel wordt geëxploiteerd kan dit tot gegevensverlies leiden of een overname van de server faciliteren

Question 17

insufficiente logging and monitoring

Answer 17

een tekort aan logging en monitoring kan aanvallers de tijd geven zich dieper in een systeem te nestelen en proberen zich permanent toegang te verschaffen
(gemiddeld wordt een lek pas na 200 dagen gedetecteerd)

Question 18

waar helpt de OWASP lijst bij?

Answer 18

bij het voorkomen van kwetsbaarheden bij het ontwikkelen van programmatuur

Question 19

11.8

waar houdt bedreigingenbeheer (threat intelligence) zich mee bezig?

Answer 19

• het identificeren van dreigingsactoren, de aanvalstechnieken die gebruikt zouden kunnen worden en het actuele dreigingsbeeld
• het identificeren van toekomstige dreigingen waar de organisatie op termijn rekening mee moet houden

Question 20

kwetsbaarheidsbeheer (vulnerability management)

Answer 20

het proces dat ervoor zorgt dat technische kwetsbaarheden in het netwerk en in hardware en software vroegtijdig worden gesignaleerd en afgehandeld

Question 21

wat zijn mogelijke oplossingen die gegeven kunnen worden bij een scan van kwetsbaarheidsbeheer?

Answer 21

het patchen van verouderde software
het upgraden naar een nieuwe versie van een besturingssysteem
het uitschakelen van verouderde protocollen

Question 22

kwetsbaarheidsbeheer heeft een sterke relatie met ..

Answer 22

patch managementproces

change managementproces

Question 23

11.9

baselinetest

Answer 23

bij een baselinetest wordt getest in hoeverre specifieke IT componenten voldoen aan de baseline(s) die voor deze componenten zijn vastgesteld

– met zo’n tool kan worden bepaald of er wordt voldaan aan algemeen geaccepteerde normen voor beveiliging, alsook eigen normen die de organisatie heeft gesteld

Question 24

kwetsbaarheidstest

Answer 24

om de effectiviteit van de getroffen maatregelen te testen

Question 25

nadeel kwetsbaarheidstest

Answer 25

• leveren vaak lange lijsten met kwetsbaarheden op, zonder dat is vastgesteld of deze kwetsbaarheden daadwerkelijk gebruikt kunnen worden om binnen te dringen in de IT omgeving van de organisatie
• wordt vaak verward met een penetratietesten waardoor de resultaten van de test soms schijnzekerheid kunnen geven

Question 26

penetratietest

Answer 26

kwetsbaarheden in een IT omgeving worden geïdentificeerd. van deze kwetsbaarheden wordt echter ook vastgesteld of ze daadwerkelijk kunnen worden gebruikt om binnen te dringen in een IT omgeving
[gebeurt adv professionele hackers]

Question 27

red/blue teaming

Answer 27

wordt vooral gebruikt om de weerbaarheid van een organisatie te testen.

doel: bekijken of het in specifieke scenario’s mogelijk is om vooraf gedefinieerde informatie aan de IT omgeving van een organisatie te onttrekken. daarbij wordt vastgesteld of een organisatie die opmerkt. ook wordt bekeken wat de reactie is van een organisatie op een dergelijke aanval.

rode team: professionele hackers
blauwe team: interne team van de organisatie die op de aanval moet reageren

[kostbaarder dan penetratietest]
[geeft meer informatie over de weerbaarheid van de organisatie tegen activiteiten van hackers]