X

Actueel

01jul

Website hardening tips

Iedere beheerder heeft (als het goed is) gehoord van hardening. Door services uit te schakelen en standaardinstellingen te wijzigen kan je het aanvalsoppervlak van je systemen verkleinen. 

 

Voor hardening van IT infrastructuur zijn nuttige richtlijnen, zoals de hulpmiddelen van het Center for Internet Security: https://www.cisecurity.org/cis-benchmarks/.
 

Risico’s op applicatieniveau

Een trend die Vest al enige tijd waarneemt is echter dat systemen steeds meer risico's lopen op applicatieniveau. Steeds meer bedrijven zijn afhankelijk van (web)applicatiesoftware, en juist voor webapplicaties is het moeilijk om rechtlijnig te beschrijven hoe ze moeten worden geconfigureerd om zo veilig mogelijk te zijn.
Daarom hier een aantal tips die een basis kunnen vormen voor de beveiliging van webapplicaties. De meeste van deze technieken kunnen op veel webapplicaties worden toegepast op een generieke manier, zonder de werking van applicaties te verstoren en zonder een software ontwikkelaar te zijn.

 

  • Maak gebruik van een Content Security Policy. Het is een opkomende best practice, je kan nog te maken hebben met legacy browsers die CSP niet ondersteunen (zie https://caniuse.com/#search=CSP). Gebruik daarom in aanvulling daarop een X-Frame-Options header (met correcte invulling die overeenkomt met je bedoeling met de CSP header). Er is geen beste manier van het invullen van deze headers die voor alle systemen werkt. Zie voor alle overwegingen en nuances bij het kiezen van de beste configuratie: https://www.owasp.org/index.php/Clickjacking_Defense_Cheat_Sheet.

 

  • Schakel X-Content-Type-Options en X-XSS-Protection headers in, en schakel de weergave van software versies uit. Het is een kleine moeite. Dit zijn geen afdoende maatregelen voor concrete problemen, maar vanuit defence in depth gedacht raadt Vest ze altijd wel aan.

Concreet:

 

 

Concreet:

  • Stel de Strict-Transport-Security in op "max-age=31536000"

Related

Senior Security Consultant gezocht!

Senior Security Consultant gezocht!

Wil jij graag verschil maken en je passie voor security in je dagelijks werk uitvoeren? Wil jij same...

Read More >
Handhaving AVG door Autoriteit Persoonsgegevens

Handhaving AVG door Autoriteit Persoonsgegevens

De Autoriteit Persoonsgegevens lijkt de AVG handhavingsstrategie te volgen die het had aangekondigd ...

Read More >
De ontwikkeling van de Corona app

De ontwikkeling van de Corona app

Begin april kondigde de overheid aan dat er apps zouden worden gaan ingezet voor het verzamelen van ...

Read More >
Letter en geest

Letter en geest

Als een rechter een beslissing maakt op basis van de bedoeling van een stuk wetgeving, in plaats van...

Read More >
Vest in tv-programma RTL Z How it's Done

Vest in tv-programma RTL Z How it's Done

Op zaterdag 16 maart om 17h00 zal Vest te zien zijn in het RTL Z televisie programma How it's Do...

Read More >
Cybercriminaliteit, welke risico's loop ik als horecaondermer?

Cybercriminaliteit, welke risico's loop ik als horecaondermer?

Voor veel horecaondernemers is cybercriminaliteit een ver-van-mijn-bed-show. Toch maakt de toenemend...

Read More >

Op de hoogte blijven van ons laatste nieuws?

Regelmatig delen onze Business Area Managers nieuws vanuit hun domein van expertise. Wilt u op de hoogte gehouden worden van deze nieuwsitems? Schrijf u dan nu in voor onze nieuwsbrief.