De kwetsbaarheid van websites

Security: Meten is weten

Met als enige voorbehoud dat ik er vanuit ga dat uw website aan het Internet hangt, claim ik dat die permanent onder vuur ligt. Oktober 2011 ging de geschiedenis in als Lektober omdat hackers in staat bleken om elke dag een nieuwe hack te publiceren. Inmiddels ligt dit alweer bijna 1 jaar achter ons en de rust is weer gekeerd. Maar dat geldt alleen voor de media, want hackers rusten nooit. In economisch moeilijke tijden zorgt uw entrepreneurschap ervoor dat er nieuwe business kansen worden gecreëerd. Het Internet speelt daarbij een belangrijke rol dus de belangen worden met de dag groter. Naar aanleiding van onder andere Lektober is zelfs de overheid zich in Internet security gaan mengen door het instellen van de DigiD-beveiligingsnorm, bedoeld voor organisaties die DigiD gebruiken.

OWASP Top 10

Uw website ligt niet alleen onder aanval, ik durf zelfs te zeggen dat ik weet met welke methoden hackers hun succes beproeven en waarmee ze vaak ook slagen. Misschien nog verrassender: de meeste aanvalsmethoden die in 2012 succesvol blijken, waren dat 10 jaar geleden ook al. Hoe weten we dat? De non-profit organisatie Open Web Application Security Project (OWASP) houdt daar al jaren gegevens, zoals een top 10 van bij.

De OWASP maakt deze informatie niet beschikbaar om hackers op te leiden maar ter ondersteuning van haar doelstelling om kennis uit te wisselen over de beveiliging van websites en de ontwikkeling daarvan. Een nobele doelstelling die gezien Lektober nog onvoldoende haar vruchten heeft afgeworpen. Er zijn wel eens wat verschuivingen in de top 10 maar alle aanvallen die erin staan, zijn al jarenlang bekend. Het is frustrerend om te zien dat we met z’n allen blijkbaar niet in staat zijn om op dat gebied een grote ombuiging teweeg te brengen. Waar laten we steken vallen?

Kwaliteit van de websoftware

Programmeurs horen van nature lui te zijn, is een veel gehoord geluid. In de praktijk zien we terug dat er bij het programmeren van webtoepassingen vaak wordt gekozen voor een makkelijke oplossing. Screening van input, testen van grenswaarden en andere best practices worden regelmatig achterwege gelaten waardoor deze webtoepassing kwetsbaar wordt voor aanvallen.

Brian Chess, oprichter en chief scientist van Fortify Software en auteur van het bekende boek Secure Programming with Static Analysis, beweert dat het creëren van veilige codes meer vereist dan alleen maar goede bedoelingen. Ontwikkelaars moet zich ervan bewust zijn hoe ze hun codering veilig kunnen maken voor een praktisch eindeloze reeks nieuwe scenario’s en configuraties. De opmerkingen van Chess maken duidelijk dat het niet eenvoudig is maar ze mogen geen excuus zijn voor slordigheden die eenvoudig kunnen worden vermeden. Niet alleen gestructureerd en netjes programmeren kun je leren, veilig programmeren ook.

Zoekmachines

Zoekmachines zoals google scannen websites om informatie voor iedereen toegankelijk te maken. Ook hackers maken van die zoekmachines gebruik om te zoeken naar exploiteerbare kwetsbaarheden die met slim gekozen zoekargumenten te vinden zijn. Dit maakt een site niet meer of minder kwetsbaar maar het maakt kwetsbare websites wel een stuk makkelijker te vinden. Op de zoekgiganten hebben we niet veel invloed maar terughoudend zijn met de informatie in foutboodschappen, helpt al veel. Het is beter om de op de achtergrond informatie aan beheer toe te spelen dan om de hele wereld mee te laten genieten van foutcodes, padnamen, SQL-meldingen en meer van dat soort voor hackers handige informatie.

Overheid

Lektober trof verschillende overheidssites. Vooral de nummer 3 uit de OWASP top 10 bleek de Achilleshiel van veel sites waarbij de toegang door DigiD wordt beveiligd. Voor dit soort zaken kunnen overheidsinstanties terecht bij Govcert. Dit is het Computer Emergency Response Team van en voor de Nederlandse overheid. Zij ondersteunt overheidsorganisaties in het Voorkomen en afhandelen van ICT-gerelateerde veiligheidsincidenten, 24 uur per dag, 7 dagen per week. Advies en preventie, waarschuwing, incidentafhandeling en kennisdeling zijn hierbij sleutelwoorden. Govcert schreef ook een prima white paper Raamwerk Beveiliging Webapplicaties. Daarin staat:

Het beveiligen van webapplicaties is meer dan het versleutelen van verkeer of het gebruik van firewalls. Een webapplicatie is pas optimaal beveiligd wanneer organisaties op meerdere niveaus maatregelen treffen tegen misbruik ervan. Dit Raamwerk Beveiliging Webapplicaties, kortweg RBW, beschrijft alle lagen waaraan ontwikkelaars, beheerders en architecten bij het beveiligen van een webapplicatie aandacht moeten schenken. Deze lagen, die in deze whitepaper achtereenvolgens worden behandeld, zijn: netwerkbeveiliging, platformbeveiliging, applicatiebeveiliging, identiteit- en toegangsbeheer, vertrouwelijkheid en onweerlegbaarheid, beveiligingsintegratie en monitoring.

Dit white paper is een document van 190 heel toegankelijke pagina’s maar de omvang, de complexiteit van de problematiek en de beperkte tijd de de gemiddelde ICT-beheerder voor beveiliging beschikbaar heeft, belemmeren de weg naar verbetering. Er is meer nodig dan normen en richtlijnen.

Uit een notitie die staatssecretaris Teeven (Veiligheid en Justitie) op 30 januari 2012 schreef, blijkt dat de overheid overigens ook gebruik maakt van de informatie van de OWASP:

De Nederlandse overheid maakt gebruik van een veelheid aan kennis en informatie over informatiebeveiliging, waaronder die van OWASP. Zo is de kennis van OWASP tijdens het govcert.nl-symposium actief uitgedragen aan de aanwezige vertegenwoordigers uit de Nederlandse overheid. Daarnaast is door OWASP beschikbaar gestelde informatie, verwerkt in het Raamwerk Beveiliging Webapplicaties dat al sinds 2006 door Govcert wordt gepubliceerd en verspreid binnen de Nederlandse overheid.

Wat kunt u doen?

Wat kan een organisatie doen om deze aanvallen te pareren? Er is veel apparatuur zoals firewalls en IPS-sen verkrijgbaar waarmee aanvallen kunnen worden tegengegaan.

  1. Security awareness

    Een goede security awareness van hoog tot laag door de hele organisatie, is absoluut noodzakelijk. Het zorgt ervoor dat niet alleen de IT-afdeling of een Security Officer zich druk maken over security. Online business is mooi maar iedereen moet zich aan de spelregels willen houden. Training, herhaling, herhaling en (interne) certificering zorgt voor voldoende draagvlak over de hele linie en dat is essentieel voor het effectief uitrollen van maatregelen.
  2. Goed programmeren

    Er is een top 10 van de meest voorkomende aanvallen. De aanval op nummer 1 (SQL- en andere injecties) floreert alleen vanwege onzorgvuldig programmeerwerk. Een combinatie van goede standaarden, verantwoord design, peer reviewing en periodieke toetsing, biedt een oplossing.
  3. Een Information Security Management System (ISMS)

    Een pragmatisch opgezet ISMS is een compact, op de situatie toegesneden papier arme set aan normen, afspraken, practices en registraties. Zo’n systeem wordt in een open cultuur in een PDCA- cyclus permanent ontwikkeld en bijgesteld. Periodiek wordt het systeem door een onafhankelijke partij geauditeerd om te borgen dat procedures nog bij iedereen bekend zijn en worden nageleefd.
  4. Permanente dijkbewaking

    Hoe goed een systeem ook in elkaar zit, de tijd kan de beveiligingsmaatregelen altijd inhalen. Daarom is het belangrijk dat diensten die aan het Internet hangen, worden bewaakt. Zo kunnen trends, correlaties en afwijkingen die een indicatie kunnen zijn dat er iets fout dreigt te gaan, vroegtijdig worden herkend en. De meeste organisaties hebben niet de capaciteit om zelfstandig 7×24 uur security bewaking inrichten. De ISO27K norm stelt ondermeer eisen aan de bewaking maar ook aan de onafhankelijkheid van de partij die deze bewaking uitvoert.
  5. Security Controls zoals Firewall en IPS

    Vaak staan deze technische hulpmiddelen op de 1e plaats. Dit soort hulpmiddelen mogen nooit reden zijn om de andere maatregelen achterwege te laten. Het beheer en de bewaking moeten continue en professioneel worden uitgevoerd en functiescheiding is essentieel om in geval van belangenverstrengeling op een zakelijke manier knopen te kunnen doorhakken.

Bewust handelen, gebruik maken van goede software, procedures in een ISMS, actieve bewaking en effectieve security controls maken samen het verschil. Klinkt dit te paranoide? Henry Kissinger zei in 1973 al “Even a paranoid can have enemies.” dus “Sure you’re paranoid but are you paranoid enough?”

Waarom meten?

Het resultaat van de meting laat zien wat er als eerste beveiligd moet worden en wat meer controle vereist. Het geeft inzicht waar meer beveiliging nodig is en hoe dit geïmplementeerd dient te worden voor een optimaal effect. Het toont aan waar de dreiging van een digitale aanval wordt gereduceerd, is afgedekt en waar gebreken bestaan. Een meting van het security niveau van uw organisatie.

Structured Security Audit

De Security Audits zijn gebaseerd op de Open- Source Security Testing Methodology (OSSTM) standaard. Deze krachtige methode wordt zo toegepast omdat deze zich perfect uitleent voor zowel fysieke-, gevirtualiseerde- als cloud- omgevingen. Deze audit biedt uw organisatie de mogelijkheid security meetbaar te maken.

Wat wordt er gemeten?

Metingen worden gedaan op het het niveau van Operational Security (OpSec). OpSec is een alomvattend woord voor systemen die ervoor zorgen dat uw organisatie zijn werk kan uitvoeren op een veilige en beschermde manier. OpSec bestaat uit alle preventieve middelen die interactie tussen activa(servers) en bedreiging voorkomt. De rapportage helpt u bij het opzetten van concrete stappen tot verbetering van uw security niveau.

Bedreiging meten?

Bij onze meting van OpSec wordt er niet, zoals bij reguliere audits, gekeken naar specifieke vormen van bedreiging. In plaats hiervan worden de weerbaarheid, beheersbaarheid en reactie mogelijkheden van uw organisatie geanalyseerd. Binnen OpSec ligt de focus niet op specifieke vormen van bedreiging, maar op de weerbaarheid tegen iedere vorm van bedreiging.

Bruggen bouwen

De rapportage die u in handen krijgt bestaat uit twee onderdelen. Een technisch rapport en een eindcijfer. Het eindcijfer is de score die uit onze meting voortkomt van het totaal aan aanwezige OpSec, genaamd ‘True Security’. Het technisch rapport is de verantwoording en onderbouwing voor dit cijfer. Het is een noodzakelijk en onmisbaar handvat om aan te tonen waar u het meeste rendement uit uw security budget kunt halen. En biedt zo ook onderbouwing voor security maatregelen bij toekomstige IT-projecten.

Statistieken

Wanneer u ervoor kiest om deze Security Audit periodiek uit te laten voeren kan de voortgang van OpSec van uw organisatie voor u bijhouden. Zo kan dit bijvoorbeeld aantonen wat de
impact is geweest van een aangebrachte wijziging.

Maar kan er bijvoorbeeld ook gekeken worden of uw IT afdeling ‘True Security’ weet
te handhaven. En zo levert het een
grote bijdrage aan uw ROI berekening. Kortom, een security rapportage van meetbare waarde.