X

Actueel

01jul

Website hardening tips

Iedere beheerder heeft (als het goed is) gehoord van hardening. Door services uit te schakelen en standaardinstellingen te wijzigen kan je het aanvalsoppervlak van je systemen verkleinen. 

Voor hardening van IT infrastructuur zijn nuttige richtlijnen, zoals de hulpmiddelen van het Center for Internet Security: https://www.cisecurity.org/cis-benchmarks/.

Een trend die Vest al enige tijd waarneemt is echter dat systemen steeds meer risico's lopen op applicatieniveau. Steeds meer bedrijven zijn afhankelijk van (web)applicatiesoftware, en juist voor webapplicaties is het moeilijk om rechtlijnig te beschrijven hoe ze moeten worden geconfigureerd om zo veilig mogelijk te zijn.
Daarom hier een aantal tips die een basis kunnen vormen voor de beveiliging van webapplicaties. De meeste van deze technieken kunnen op veel webapplicaties worden toegepast op een generieke manier, zonder de werking van applicaties te verstoren en zonder een software ontwikkelaar te zijn.

Maak gebruik van een Content Security Policy. Het is een opkomende best practice, je kan nog te maken hebben met legacy browsers die CSP niet ondersteunen (zie https://caniuse.com/#search=CSP). Gebruik daarom in aanvulling daarop een X-Frame-Options header (met correcte invulling die overeenkomt met je bedoeling met de CSP header). Er is geen beste manier van het invullen van deze headers die voor alle systemen werkt. Zie voor alle overwegingen en nuances bij het kiezen van de beste configuratie: https://www.owasp.org/index.php/Clickjacking_Defense_Cheat_Sheet.

Schakel X-Content-Type-Options en X-XSS-Protection headers in, en schakel de weergave van software versies uit. Het is een kleine moeite. Dit zijn geen afdoende maatregelen voor concrete problemen, maar vanuit defence in depth gedacht raadt Vest ze altijd wel aan.
Concreet:


Gebruik HTTP Strict Transport Security. Voor HSTS is een jaar de aanbevolen periode om het policy van kracht te laten zijn. Zie de blog van Qualys: https://blog.qualys.com/securitylabs/2016/03/28/the-importance-of-a-proper-http-strict-transport-security-implementation-on-your-web-server. Denk er wel aan dat vanaf het moment dat je de keuze maakt, het niet meer in jouw handen is. Je configuratie blijft in effect binnen de webbrowsers van je bezoekers, dus maak een plan voordat je deze techniek toepast.
Concreet:

  • Stel de Strict-Transport-Security in op "max-age=31536000"

Related

Cybersecurity onderzoek in Nederland 2018

Cybersecurity onderzoek in Nederland 2018

Ook dit jaar heeft het NCSC een onderzoek gedaan naar de belangrijkste cybersecurity risico’s voor ...

Read More >
Data opslaan? Doe het safe!

Data opslaan? Doe het safe!

Consultant Marcel van der Wal zet 7 tips op een rijtje die bijdragen aan betere informatiebeveiligin...

Read More >
De CMDB voor persoonsgegevens

De CMDB voor persoonsgegevens

Eerder hebben we op onze website aandacht besteed aan het nut en de noodzaak van een CMDB. In het li...

Read More >
Mobiele applicatie security testing

Mobiele applicatie security testing

Voldoet uw mobiele app aan al de eisen? Denk hierbij aan ISO27001, GDPR, AVG, PCI en meer. Samen met...

Read More >
To footprint or not to footprint?

To footprint or not to footprint?

Het kan heel nuttig zijn om footprinting mee te nemen in een security test. Maar soms kan het ook ti...

Read More >
Handhaving AVG door Autoriteit Persoonsgegevens

Handhaving AVG door Autoriteit Persoonsgegevens

De Autoriteit Persoonsgegevens lijkt de AVG handhavingsstrategie te volgen die het had aangekondigd ...

Read More >

Op de hoogte blijven van ons laatste nieuws?

Regelmatig delen onze Business Area Managers nieuws vanuit hun domein van expertise. Wilt u op de hoogte gehouden worden van deze nieuwsitems? Schrijf u dan nu in voor onze nieuwsbrief.