Actueel

Iedere beheerder heeft (als het goed is) gehoord van hardening. Door services uit te schakelen en standaardinstellingen te wijzigen kan je het aanvalsoppervlak van je systemen verkleinen. 

Voor hardening van IT infrastructuur zijn nuttige richtlijnen, zoals de hulpmiddelen van het Center for Internet Security: https://www.cisecurity.org/cis-benchmarks/.

Een trend die Vest al enige tijd waarneemt is echter dat systemen steeds meer risico's lopen op applicatieniveau. Steeds meer bedrijven zijn afhankelijk van (web)applicatiesoftware, en juist voor webapplicaties is het moeilijk om rechtlijnig te beschrijven hoe ze moeten worden geconfigureerd om zo veilig mogelijk te zijn.
Daarom hier een aantal tips die een basis kunnen vormen voor de beveiliging van webapplicaties. De meeste van deze technieken kunnen op veel webapplicaties worden toegepast op een generieke manier, zonder de werking van applicaties te verstoren en zonder een software ontwikkelaar te zijn.

Maak gebruik van een Content Security Policy. Het is een opkomende best practice, je kan nog te maken hebben met legacy browsers die CSP niet ondersteunen (zie https://caniuse.com/#search=CSP). Gebruik daarom in aanvulling daarop een X-Frame-Options header (met correcte invulling die overeenkomt met je bedoeling met de CSP header). Er is geen beste manier van het invullen van deze headers die voor alle systemen werkt. Zie voor alle overwegingen en nuances bij het kiezen van de beste configuratie: https://www.owasp.org/index.php/Clickjacking_Defense_Cheat_Sheet.

Schakel X-Content-Type-Options en X-XSS-Protection headers in, en schakel de weergave van software versies uit. Het is een kleine moeite. Dit zijn geen afdoende maatregelen voor concrete problemen, maar vanuit defence in depth gedacht raadt Vest ze altijd wel aan.
Concreet:

•  Schakel per server softwareproduct de weergave van versiegegevens uit. (Zie de documentatie per product.)
•  Stel de X-Content-Type-Options header in op "nosniff" (Zie https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/X-Content-Type-Options)
•  Stel de X-XSS-Protection header in op "1" (Zie https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/X-XSS-Protection)

Gebruik HTTP Strict Transport Security. Voor HSTS is een jaar de aanbevolen periode om het policy van kracht te laten zijn. Zie de blog van Qualys: https://blog.qualys.com/securitylabs/2016/03/28/the-importance-of-a-proper-http-strict-transport-security-implementation-on-your-web-server. Denk er wel aan dat vanaf het moment dat je de keuze maakt, het niet meer in jouw handen is. Je configuratie blijft in effect binnen de webbrowsers van je bezoekers, dus maak een plan voordat je deze techniek toepast.
Concreet:

• Stel de Strict-Transport-Security in op "max-age=31536000"