Niemand geeft het graag toe, maar veel organisaties maken zich zorgen over de weerbaarheid van hun IT-systemen tegen de steeds groter wordende cyberdreiging. Dat merken wij ook aan het aantal aanvragen voor het verbeteren van de informatiebeveiliging bij klanten. Genoeg reden om hier eens een blog aan te wijden.

We nemen je graag mee langs een aantal belangrijke aspecten om je webapplicaties beter bestand te maken voor aanvallen van binnen en buiten. We kijken naar concrete technische maatregelen als ook naar belangrijke procedurele maatregelen.

Dankzij het security assessment van Arpha zijn diverse zwakheden in onze IT-omgeving geïdentificeerd en weggenomen.

Strip je OS met een Benchmark

Verwijder alle programmatuur op het OS die niet noodzakelijk is voor het draaien van je applicatie. Het idee is “hoe minder software, hoe minder er fout kan gaan”. Dit vergt echter wel een goede analyse wat het minimum aan middleware en OS-configuratie is voor je applicatie om mee te kunnen draaien.

Gelukkig zijn er organisatie die je hier bij helpen. Bijvoorbeeld het Center for Internet Security (CIS), op hun website vind je talloze configuratierichtlijnen gepubliceerd voor verschillende vormen van hardening. Deze lijsten zijn opgesteld door cybersecurity experts uit de hele wereld. Kies de benchmarks voor de door jou gebruikte softwarecomponenten en ga ermee aan de slag.

De open deuren (sluiten)

  • Gebruik een Firewall en zet alle poorten dicht, behalve degene die de applicatie echt nodig heeft. Zowel voor verbindingen naar buiten als verbindingen naar het interne netwerk.
  • Dichtzetten of veilig inrichten van remote beheermogelijkheden zoals SSH
  • Voorkom draaien van applicaties als root, maak aparte users aan en geef alleen noodzakelijke rechten en zorg voor functiescheiding.
  • Gebruik sterke wachtwoorden en 2FA waar mogelijk. Of nog beter: een private key voor authenticatie.
  • Forceer het gebruik van HTTPS. Met Let’s Encrypt kun je gratis PKI-certificaten aanmaken. Test vervolgens hoe goed jouw webapplicatie is geconfigureerd met SSLLabs.
  • Zorg ervoor dat je gebruik maakt van aanbevolen sterke encryptie algortimes.
  • Maak regelmatig back-ups van belangrijke data.
  • Zorg voor voldoende logging van diverse software componenten.

Implementeer Security Headers

Laat je webserver standaard de juiste HTTP security headers meegeven, denk hierbij aan:

  • Strict-Transport-Security
  • X-Frame-Options
  • X-Content-Type-Options
  • Content-Security-Policy
  • X-Permitted-Cross-Domain-Policies
  • Referrer-Policy
  • Clear-Site-Data
  • Cross-Origin-Embedder-Policy
  • Cross-Origin-Opener-Policy
  • Cross-Origin-Resource-Policy
  • Cache-Control

Gebruik de OWASP Top 10

De OWASP top 10 is een lijst met de meest voorkomende kwetsbaarheden in webapplicaties. De lijst wordt periodiek geüpdate aan de hand van de ontwikkelingen van het afgelopen jaar. OWASP wordt wereldwijd erkend door ontwikkelaars als de eerste stap naar veiliger coderen. Doe er je voordeel mee!

Pas Defense In Depth toe

Een defense-in-depth strategie verwijst naar een cyberbeveiligingsaanpak waarbij meerdere beveiligingslagen worden gebruikt voor een holistische bescherming. De terms is afkomstig van een militaire strategie. Mocht de eerste verdedigingslinie vallen, dan zit daar direct een andere verdediging achter.

Een gelaagde verdediging helpt organisaties kwetsbaarheden te verminderen, bedreigingen in te dammen en risico’s te beperken. Je kunt hierbij denken aan de volgende maatregelen:

  • Pas meerlaagse bescherming in je netwerk toe, door gebruik te maken van een 3-Tier architectuur (access, application logic, data) en/of DMZ (Demilitarized zone)
  • Gebruik Reverse en Forward proxies om centraal binnenkomende en uitgaande verbindingen naar het internet te beheren
  • Pas een Web Application Firewall toe (WAF) om veelvoorkomende aanvallen af te slaan
  • Maak gebruik van Anti-Virus scanners, met name wanneer je vrije uploads van bestanden toe staat
  • Maak gebruik van een Intrusion Detection System (IDS)
  • Pas eventueel een Security Information and Event Management (SIEM) systeem toe
  • Maak eventueel gebruik van anti DDoS services

Mocht je ondersteuning kunnen gebruiken bij het implementeren van een van bovenstaande zaken, neem dan contact met ons op. We helpen je hier graag mee verder.

Belangrijke processen en procedures

Het veilig houden van je systemen is een continu proces en je bent er dus nooit mee klaar. Belangrijke must haves als het gaat om processen die je moet inrichten zijn:

  • Patchmanagement: zorg dat alle onderdelen van jouw systeem altijd up to date zijn.
  • Incident response: zorg voor duidelijke afspraken, procedures, rollen en verantwoordelijkheden, betrek leveranciers waar nodig om op een adequate manier te reageren wanneer er iets misgaat.
  • Security mailinglist: meld je aan voor relevante security alerts bij nieuw ontdekte kwetsbaarheden, zodat je snel kunt reageren op nieuwe dreigingen.
  • Monitoring: zorg dat u een ingericht monitoring systeem heeft welke de belangrijkste parameters van uw systeem monitort en meldingen geeft wanneer er iets niet in orde is.

Uiteraard zijn er nog veel meer processen die direct of indirect bijdragen aan de veiligheid van je systeem, denk bijvoorbeeld aan test- en releaseprocedures van nieuwe software. Het gaat voor dit artikel te ver om deze allemaal op te sommen. Waar we nog wel kort naar kijken zijn normenkaders.

Normenkaders van je sector

Diverse sectoren bieden normenkaders voor informatiebeveiliging aan. Zo kun je voor de overheid terecht bij de Baseline Informatiebeveiliging Overheid (BIO) en bijvoorbeeld voor de zorg kun je gebruik maken van NEN 7510. Ook andere sectoren kunnen hier uiteraard hun voordeel mee doen. Neem ook een kijkje bij het NCSC en hun ICT-Beveiligingsrichtlijnen voor Webapplicaties.

Laat je bijstaan door experts!

We hebben in dit artikel concrete technische verbeteringen genoemd die je kunt toepassen om de beveiliging van je webapplicaties te verbeteren. Daarnaast hebben we ook stilgestaan bij meer secundaire verdedigingslagen en procedures die belangrijk zijn om in te richten. Zoals je ziet wordt dit al snel een flinke lijst en dan zijn we nog niet eens uitputtend geweest.

Het is echter niet in elke situatie noodzakelijk om alle in dit artikel genoemde maatregelen toe te passen. Op basis van een risico analyse kunnen we bepalen wat er in jouw situatie noodzakelijk is. Dat brengt ons bij de laatste tip van dit artikel. Informatiebeveiliging is een expertise, laat je daarom bijstaan door professionals. Neem contact met ons op om te zien wat we voor je kunnen betekenen. We helpen je graag verder!