viii Chapter 11 Encryption and Cryptography . . . . . . . . . . . . . .350 Encryption Overview . . . . . . . . . . 352 History of Encryption . . . . . . . . . . . . . . . . . . . . . . 353 Cryptology Basics . . . . . . . . . . . . . . . . . . . . . . . . . . 356 Threats Against Encryption Systems. . . . . . . . . . 361 Validating and Securing Network Transmission. . . . . . . . .364 Hashing . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 365 Public Key Infrastructure . . . . . . . . . . . . . . . . . . . 366 Other Uses of Computer Encryption . . . . . . . . . 375 File and Folder Encryption . . . . . . . . . . . . . . . . . . 376 E-mail Encryption. . . . . . . . . . . . . . . . . . . . . . . . . . 377 Password Encryption . . . . . . . . . . . . . . . . . . . . . . . 378 Chapter 12 Threats to Data . . . . . . . . . . . . .386 Threats to Software. . . . . . . . . . . .388 Software Programming . . . . . . . . . . . . . . . . . . . . . 388 Software Design . . . . . . . . . . . . . . . . . . . . . . . . . . . 390 Security Threats to Software. . . . . . . . . . . . . . . . . 392 Threats to Web Applications . . . . . 395 Web-Server Protection . . . . . . . . . . . . . . . . . . . . . . 396 Web-Application Protection . . . . . . . . . . . . . . . . . 397 Source-Code Protection . . . . . . . . . . . . . . . . . . . . . 402 Threats to Databases . . . . . . . . . .405 Overview of Databases . . . . . . . . . . . . . . . . . . . . . 405 Threats to Databases. . . . . . . . . . . . . . . . . . . . . . . . 410 Chapter 13 Penetration Testing . . . . . . . . . .416 Overview of Penetration Testing . . . 418 Penetration Testing Basics . . . . . . . . . . . . . . . . . . . 419 Standard Test Procedures . . . . . . . . . . . . . . . . . . . 420 Legal Considerations . . . . . . . . . . . . . . . . . . . . . . . 434 Certifi cations for Penetration Testing . . . . . . . . . . .437 Certifi ed Ethical Hacker. . . . . . . . . . . . . . . . . . . . . 438 Cybersecurity Analyst . . . . . . . . . . . . . . . . . . . . . . 439 Penetration Tester . . . . . . . . . . . . . . . . . . . . . . . . . . 441 Certifi ed Hacking Forensics Investigator . . . . . . 441 Certifi ed Security Analyst. . . . . . . . . . . . . . . . . . . 441 Licensed Penetration Tester. . . . . . . . . . . . . . . . . . 442 GIAC Penetration Tester. . . . . . . . . . . . . . . . . . . . . 443 Chapter 14 Cloud Computing . . . . . . . . . . .450 Cloud Basics . . . . . . . . . . . . . . . .452 Introduction to Cloud Computing . . . . . . . . . . . . 452 Cloud Types . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 454 Cloud Storage. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 455 Cloud Services. . . . . . . . . . . . . . .459 Software as a Service . . . . . . . . . . . . . . . . . . . . . . . 459 Platform as a Service . . . . . . . . . . . . . . . . . . . . . . . 461 Infrastructure as a Service. . . . . . . . . . . . . . . . . . . 462 Security as a Service . . . . . . . . . . . . . . . . . . . . . . . . 464 Other Cloud Considerations . . . . .467 Grid Computing . . . . . . . . . . . . . . . . . . . . . . . . . . . 467 Other Considerations for Cloud Computing . . . 469 Cloud Access Security Broker. . . . . . . . . . . . . . . . 472 Cloud Computing Certifi cations. . . . . . . . . . . . . . 473 Chapter 15 Risk Management . . . . . . . . . . .480 Overview of Risk . . . . . . . . . . . . .482 Risk . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 483 IT Assets. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 483 Causes and Likelihood of Risk . . . . . . . . . . . . . . . 485 Risk Management . . . . . . . . . . . . . . . . . . . . . . . . . . 486 Risk Assessment . . . . . . . . . . . . . . . . . . . . . . . . . . . 487 Handling Risk . . . . . . . . . . . . . . .490 Risk-Response Methods. . . . . . . . . . . . . . . . . . . . . 491 Reducing Risk . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 493 Best Practices in Risk Management . . . . . . . . . . . 496