Drie tips waar je meteen mee aan de slag kan als securityprofessional na het lezen van dit artikel.
Onlangs las ik in een artikel van Test Aankoop dat ze een selectie van 100 webshops hadden gescand en bij 55 ervan veiligheidslekken hadden ontdekt. Bij 23 webwinkels ging het zelfs om zeer ernstige tekortkomingen die hackers de kans geven om gevoelige gegevens te stelen of phishing-aanvallen te lanceren via hun website.
Iedereen heeft ermee te maken
In theorie bestaan er geen webapplicaties zonder kwetsbaarheden. Soms is er een probleem in de code van je website of gebruikt je niet de laatste versie van een externe bibliotheek, er is altijd wel iets dat beter kan. Als je je webapplicatie goed onderhoudt, kan je de kwetsbaarheden in de beveiliging beperken maar het is onmogelijk om ze helemaal te vermijden.
Het voorbeeld geven
Onlangs evalueerde mijn collega Maxime de webapplicaties van TCM. Ze zijn duidelijk bekommerd om de veiligheid van hun gegevens en vroegen EASI ervoor te zorgen dat de informatie van hun klanten goed wordt beschermd. We hebben gelukkig geen ernstige lekken gevonden, maar we konden op basis van de resultaten wel samen aan de slag om de beveiliging van hun webomgeving te verbeteren.
Webapplicaties veilig houden
Beveiliging is belangrijk in alle lagen van uw applicatie, zoals de database, API's, de front-end, het netwerk en vooral het menselijk aspect. Er is heel wat om rekening mee te houden maar enkele algemene aanwijzingen kunnen nuttig zijn. Wat kan jij doen? Hier heb ik alvast vier tips voor jou.
Allereerst zou ik aanraden om in zee te gaan met goede ontwikkelaars die zich bewust zijn van het beveiligingsaspect door ze ook te screenen op hun kennis van beveiliging. Als ze bijvoorbeeld vinden dat het OK is om een wachtwoord in platte tekst op te slaan in een cookie of gevoelige informatie in de browserconsole te printen omdat ze denken dat zij alleen ze daar zullen gaan zoeken, dan hebben de andere beveiligingsmaatregelen weinig nut. Beveiliging moet centraal staan in de applicatieontwikkeling en mag niet beperkt blijven tot een controle achteraf.
Ten tweede, installeer een Web Application Firewall (WAF) voor uw webservers. Een WAF scant de aanvragen aan je website en zal de verbinding blokkeren als iemand tracht iets te versturen dat als abnormaal verkeer voor jouw site wordt beschouwd. De WAF bevat ook een database met kwetsbaarheden die veel sneller wordt bijgewerkt dan jij jouw website kunt updaten. De WAF zal dus veel pogingen om van kwetsbaarheden op jouw server te profiteren blokkeren. Beschouw de WAF echter niet als je eerste en enige beveiliging; kwetsbaarheden moeten nog steeds op de webserver zelf worden beperkt!
Ten derde is regelmatig updaten belangrijk. Zorg ervoor dat u de nieuwste versies van externe codebibliotheken gebruikt en scan de beveiliging regelmatig om er zeker van te zijn dat er geen nieuwe problemen zijn ontstaan in jouw systemen, zoals bij het updaten van code of het toevoegen van nieuwe functies, of gewoon door nieuwe soorten aanvallen die de hackers hebben ontwikkeld.
En last but not least, werk samen met een professionele beveiligingspartner die samen met jou alle lagen van je website overloopt om de best mogelijke beveiligingsconfiguratie voor jouw omgeving te implementeren en te onderhouden. Bij dat alles en nog veel meer kan EASI u helpen!
