X

Actueel

Iedere beheerder heeft (als het goed is) gehoord van hardening. Door services uit te schakelen en standaardinstellingen te wijzigen kan je het aanvalsoppervlak van je systemen verkleinen. 

Voor hardening van IT infrastructuur zijn nuttige richtlijnen, zoals de hulpmiddelen van het Center for Internet Security: https://www.cisecurity.org/cis-benchmarks/.

Een trend die Vest al enige tijd waarneemt is echter dat systemen steeds meer risico's lopen op applicatieniveau. Steeds meer bedrijven zijn afhankelijk van (web)applicatiesoftware, en juist voor webapplicaties is het moeilijk om rechtlijnig te beschrijven hoe ze moeten worden geconfigureerd om zo veilig mogelijk te zijn.
Daarom hier een aantal tips die een basis kunnen vormen voor de beveiliging van webapplicaties. De meeste van deze technieken kunnen op veel webapplicaties worden toegepast op een generieke manier, zonder de werking van applicaties te verstoren en zonder een software ontwikkelaar te zijn.

Maak gebruik van een Content Security Policy. Het is een opkomende best practice, je kan nog te maken hebben met legacy browsers die CSP niet ondersteunen (zie https://caniuse.com/#search=CSP). Gebruik daarom in aanvulling daarop een X-Frame-Options header (met correcte invulling die overeenkomt met je bedoeling met de CSP header). Er is geen beste manier van het invullen van deze headers die voor alle systemen werkt. Zie voor alle overwegingen en nuances bij het kiezen van de beste configuratie: https://www.owasp.org/index.php/Clickjacking_Defense_Cheat_Sheet.

Schakel X-Content-Type-Options en X-XSS-Protection headers in, en schakel de weergave van software versies uit. Het is een kleine moeite. Dit zijn geen afdoende maatregelen voor concrete problemen, maar vanuit defence in depth gedacht raadt Vest ze altijd wel aan.
Concreet:


Gebruik HTTP Strict Transport Security. Voor HSTS is een jaar de aanbevolen periode om het policy van kracht te laten zijn. Zie de blog van Qualys: https://blog.qualys.com/securitylabs/2016/03/28/the-importance-of-a-proper-http-strict-transport-security-implementation-on-your-web-server. Denk er wel aan dat vanaf het moment dat je de keuze maakt, het niet meer in jouw handen is. Je configuratie blijft in effect binnen de webbrowsers van je bezoekers, dus maak een plan voordat je deze techniek toepast.
Concreet:

  • Stel de Strict-Transport-Security in op "max-age=31536000"

Gerelateerd

Bewust omgaan met je omgeving

Bewust omgaan met je omgeving

Weet jij wie er mee kan lezen of luisteren? Sta jij daar wel eens bij stil? Feit is dat we hier vaak...

Lees verder >
Vest - Gold Sponsor ISSA

Vest - Gold Sponsor ISSA

Onlangs heeft Vest het golden sponsorschap bij het Nederlandse chapter van ISSA.org weer verlengd. G...

Lees verder >
Letter en geest

Letter en geest

Als een rechter een beslissing maakt op basis van de bedoeling van een stuk wetgeving, in plaats van...

Lees verder >
OWASP top 10

OWASP top 10

Soms krijgen we de vraag om een OWASP top 10 test te doen. Maar die test bestaat niet...

Lees verder >
Cybersecurity onderzoek in Nederland 2018

Cybersecurity onderzoek in Nederland 2018

Ook dit jaar heeft het NCSC een onderzoek gedaan naar de belangrijkste cybersecurity risico’s voor ...

Lees verder >
IT & Information Security Congres 2019

IT & Information Security Congres 2019

Op woensdag 13 februari staat Vest weer als business partner op het IT & Information Security Congre...

Lees verder >

Op de hoogte blijven van ons laatste nieuws?

Regelmatig delen onze Business Area Managers nieuws vanuit hun domein van expertise. Wilt u op de hoogte gehouden worden van deze nieuwsitems? Schrijf u dan nu in voor onze nieuwsbrief.