Hét informatieplatform over cloudoplossing en -bedrijven

Contact

3 tips voor applicatiebeveiliging vanaf de basis

3 tips voor applicatiebeveiliging vanaf de basis
13 February 2020 19:52 uur

De veiligheid van het applicatielandschap van grote (Nederlandse) organisaties krijgt te weinig aandacht. Dat blijkt wel uit verschillende recente cyber security incidenten. Daar moet een einde aan komen, vindt Marc Guardiola, CISO bij  IT service provider Solvinity. Beveiliging moet vanaf de basis worden aangepakt: security by design. Waar begin je?

1. Verhoog de weerbaarheid met hardening

In een applicatielandschap begint security by design met hardening, een proces waarbij engineers de standaardconfiguratie van elke schakel in de keten evalueren, van de applicaties en besturingssystemen tot de firewalls en hypervisors. “Uit gemak laten veel organisaties bijvoorbeeld bepaalde toegangspoorten alvast open staan voor eventueel toekomstig gebruik. Maar hackers en malware weten vaak precies welke poorten dit zijn en maken daar dus misbruik van”, vertelt Guardiola.

Tijdens het hardening-proces controleren engineers deze en vele andere hard- en softwareComputerprogrammatuur ge�nstalleerd op onderliggende apparatuur om automatiseringsdiensten aan gebruikers te kunnen biedenfuncties en -instellingen. Welke standaard softwareComputerprogrammatuur ge�nstalleerd op onderliggende apparatuur om automatiseringsdiensten aan gebruikers te kunnen bieden hoeft helemaal niet te draaien? Welke instellingen kunnen aangescherpt worden? Zijn de wachtwoorden sterk genoeg? “Engineers moeten voortdurend een bewuste afweging maken tussen functionaliteit en veiligheid.”

2. Beperk de impact met segmentatie

Security by design gebeurt aan de hand van een lange lijst designprincipes die de veiligheid van de infrastructuur verhogen. Eén zo’n principe is ‘minimize attack surface area’. Dit betekent simpelweg dat je alle software uitschakelt die je strikt gezien niet nodig hebt. Een ander belangrijk principe is ‘defense in depth’, wat draait om de vraag hoe je een systeem beveiligt in de veronderstelling dat, vroeg of laat, een indringer door de eerste verdedigingslinie heen weet te breken.

Het antwoord ligt onder andere in het segmenteren van de IT-infrastructuur. “Solvinity verdeelt elke applicatieomgeving in gecontroleerde segmenten en diverse zones”, zegt Guardiola. “De eerste zone is publiek toegankelijk. De servers in de daaropvolgende zone moeten veilig te bereiken zijn voor derde partijen, terwijl gegevens in de derde zone alleen toegankelijk zijn vanuit het interne netwerk. En dan alleen vanaf de juiste IPInternet Protocol. De afspraak over de wijze waarop computersystemen via het internet met elkaar communiceren. Vandaag de dag is versie 6 (IPv6) de standaard. Het Internet Protocol (IP) wordt eveneens gebruikt binnen lokale (bedrijfsmatige) netwerken.-adressen en enkel met daarvoor aangewezen applicaties.”

3. Houd controle met vulnerability management

Patchmanagement en het up-to-date houden van hardening-regels hoort al ruim voor softwareComputerprogrammatuur ge�nstalleerd op onderliggende apparatuur om automatiseringsdiensten aan gebruikers te kunnen bieden live gaat te beginnen. In een configuration management database moet nauwkeurig worden vastgelegd wat de uitzonderingen zijn, waarom daarvoor gekozen is en welke risico’s dat met zich meebrengt. Dit geheel wordt geborgd met vulnerability management , een geautomatiseerd scanproces waarin ook eventuele onjuist doorgevoerde patches of hardening-regels worden gedetecteerd. “Het proces van patching, hardening, vulnerability management, en daarbij het nauwkeurig documenteren van alle uitzonderingen, is de enige manier om het gehele beveiligingsproces waterdicht te krijgen en controle te houden over het applicatielandschap.” Bron: agconnect.nl 13-2-20

  • Nederland ICT