Top 9 gevaren van de cloud
De cloud is volgens critici gebakken lucht, terwijl voorstanders het de toekomst voor bedrijven en thuisgebruikers noemen, toch hangen verschillende donkere wolken boven ons. Security.nl sprak met Righard Zwienenberg van Norman en Eddy Willems van Kaspersky Lab. Zij werkten samen aan een Top 9 van cloud problemen die op dit moment bestaan. Niet om hun eigen producten te promoten, maar om gebruikers en bedrijven te waarschuwen voor dreigingen die nu al, of in de toekomst grote gevolgen kunnen hebben. Een recent voorbeeld waarbij de cloud zeer negatief in het nieuws kwam was Twitter-gate. Een aanvaller wist het wachtwoord van een werknemer van de micro-bloggingdienst te achterhalen, en zo toegang tot allerlei vertrouwelijke bedrijfsgegevens te krijgen die in Google Apps waren opgeslagen.
De eerste vraag is volgens Zwienenberg de definitie van "de cloud". "Wij gebruiken de cloud al zo'n tien jaar." Hij wijst daarbij op de update service die Norman gebruikt, wat via Akamai loopt. "Akamai heeft servers over de hele planeet, je weet nooit waar je je update vandaan krijgt. Het is eigenlijk al een in de cloud oplossing, alleen heette dat toen niet zo. Het is niks nieuws." Volgens Willems realiseren veel mensen zich niet dat veel van de zaken die ze dagelijks gebruiken zich al in de cloud afspelen. De onderstaande negen punten gelden niet alleen voor anti-virusbedrijven, maar voor cloud computing het algemeen.
9. Identity management: Je weet nooit wie wie is. Aanvallers kunnen je identiteit gebruiken. "De cloud weet niet wie ik ben", merkt Zwienenberg op. Zo is het mogelijk voor een aanvaller die toegang tot de bedrijfsomgeving heeft, om daar vandaan met de cloud te communiceren. Die denkt dat er nog steeds met het bedrijf wordt gecommuniceerd. Willems waarschuwt dat niet alle besproken problemen een directe dreiging vormen of heel praktisch zijn. Cloud oplossingen van anti-virusbedrijven zijn bijvoorbeeld volgens Zwienenberg nog niet aangevallen, wat het deels ook een theoretisch verhaal maakt. "De aanvallen die het lastigst zijn uit te voeren, zijn mogelijk wel het meest effectief", aldus Zwienenberg. Een ander probleem met identity management is een man-in-the middel aanval, waarbij de aanvaller tussen de cloud en het slachtoffer zit.
8. Misbruik van diensten: Het opzettelijk sturen van verkeerde informatie naar de Cloud om deze te vergiftigen. Denk bijvoorbeeld aan Trust Based Computing. Bij een In The Cloud (ITC) Trust-based solution waarbij het aantal keer dat een specifiek programma is opgestart, kan dit aantal kunstmatig geboost worden, zelfs als de applicatie waarom het gaat kwaadaardig is. Als de 'threshold' die een gebruiker heeft gesteld om een applicatie op te starten is overschreden (dus aantal gebruikers > threshold) dan wordt de applicatie toegelaten op basis van 'abused' trust.
7. Het kapen van accounts en diensten. Twittergate is in dit geval een duidelijk voorbeeld, wat voor zowel de gebruiker als het bedrijf in kwestie vervelende gevolgen heeft. Degene van wie het account is, krijgt uiteindelijk altijd de schuld, ook al is die niet verantwoordelijk.
6. Financiële Distributed Denial of Service: Aanvallers zouden het bedrijf of de cloud dienst die het gebruikt kunnen platleggen, waardoor de bedrijfsvoering in principe stopt. Een doemscenario wat zich ook kan voordoen als de internetverbinding uitvalt. Een concreet voorbeeld zijn luchtvaartmaatschappijen die clouddiensten afnemen. Een aanvaller zou de betalingen kunnen blokkeren of platleggen. "Je verkoopt dan een hoop tickets, maar je krijgt geen geld."
5. Het lekken en verliezen van gegevens. Daarbij noemt Zwienenberg "ant-virus in de cloud" als voorbeeld. Een Word document met een Trojan of macro-virus wordt bijvoorbeeld voor controle naar de cloud gestuurd, omdat het niet gewhitelist is. "Oei, daar gaat opeens een vertrouwelijk document de lucht in." Maar wie zit er achter de cloud?, merkt Zwienenberg op. "Wat binnen je bedrijf naar buiten gaat kun je nog zien, maar weet je wat er mee gebeurt als het in de cloud gescand wordt?" Een false positive in de cloud met een document kan er voor zorgen dat het document in quarantaine blijft staan.
4. Onbekend risico profiel. "Weet je wel alle risico's van het gebruik van de cloud?" Veel bedrijven willen een risico profiel hebben, "maar hoe maak je risico profiel van een clouddienst?" Volgens Zwienenberg is het voor bedrijven bijna onmogelijk om te zien wat er in de cloud allemaal gebeurt en hoe bijvoorbeeld gegevens worden verwerkt. "In het geval van een virusscanner kun je die debuggen en reverse engineeren, maar wat wil je debuggen in de cloud?" gaat Zwienenberg verder.
3. Verborgen logs / pogingen tot inbraak. Een gerichte aanval op een bedrijf valt op, maar dat is niet het geval als die in aanval in de cloud plaatsvindt. Een aanvaller zou alle berichten voor een bedrijf ook naar zichzelf kunnen laten doorsturen. "Je beheert de cloud niet", waarschuwt Zwienenberg.
2. Misbruik door insiders. Als de weg naar de Cloud wordt onderschept, en het resultaat (vals) in een aangepast (malformed 0-day attack) pakket wordt gezet, kan dit worden gebruikt om controle over een systeem te krijgen. Dit zal niet opvallen in de LogFile aangezien het de client zelf is die in eerste instantie de Cloud aanroept. Daarnaast kunnen werknemers van de partij die de clouddienst aanbiedt, met gegevens rommelen.
1. Gecentraliseerde misbruik van en vertrouwen in Authenticatie, Autorisatie en Accounting (AAA). Als de AAA niet gegarandeerd kan worden, dan is het resultaat nul komma nul waard. Tevens, als de AAA niet gegarandeerd kan worden, doordat bijvoorbeeld een account is gekaapt, dan komt dit wel voor rekening van de houder, en alle 'trust' op zijn naam.
"Toen Eddy en ik hierover gingen zitten nadenken hadden we zoiets van de cloud is leuk, maar het heeft zoveel gaten", zegt Zwienenberg. Door alle aandacht willen veel mensen en bedrijven "iets" met de cloud doen, zonder bij de risico's en problemen stil te staan. "Mensen denken dat ze naar de cloud moeten omdat de journalist erover schrijft. Het is goed dat erover geschreven wordt. Maar iedereen ziet het opeens als de ultieme oplossing, maar dat is het niet."
Read more: http://www.computable.nl/artikel/ict_topics/security/3191773/1276896/cloud-computing-is-er-zon-achter-de-wolken.html?utm_campaign=rss&utm_source=rss&utm_medium=rss#ixzz0Zf4gr6PP
Als vergelijking zou deze dienst tegen de interne automatisering kant gehouden moeten worden.
Een hoop punten die aangehaald worden zijn niet alleen een probleem voor cloud computing, maar ook interne diensten.
Enkele voorbeelden:
Misbruik van binnen uit.
Externe toegang,
Security intern laat vaak te wensen over.
Beheer en monitoring is vaak intern niet ingeregeld.
Dan laten we het stukje outsourcing nog maar even achterwege.
Dit om slechts enkele punten te noemen.
Cloud is als de gehele IT, we horen iets het is nieuw en we moeten het ook.
Of het een verkoop praatje is, of gebaseerd op feiten zien we daarna wel.
Maar het blijft altijd leuk om een open deur open te trappen.
sorry , kon het niet laten !!
je hebt gelijk. Maar ik denk dat je wel een verschil moet maken tussen slecht beheer (dat verbeterd kan worden, dat heb je in eigen handen!) en iets dat je helemaal niet kan beheren (niet in eigen handen).
Daar zit het grote verschil wel.
- dark
Waar istie cloud, wie heeft toegang tot de cloud. Wat doet je provider met je cloud. hoe controleer je je cloud?
Het is wel lekker goedkoop maar zelfs dat is relatief. Dus u huurt uw serverruimte en tijd, dus u heeft uw data in een cloud staan?
Wat nu als de zon gaat schijnen ;-)
Deze posting is gelocked. Reageren is niet meer mogelijk.
IT Security Officer
Utrecht heeft jou nodig! Als Information Security Officer vertaal je beleid naar technische uitvoering. Dit is cruciaal voor het waarborgen van de informatiebeveiliging van onze inwoners. Je krijgt de kans om betrokken te zijn bij complexe projecten met de nieuwste technologieën en kunt jouw stempel drukken op innovatie. Solliciteer nu!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.