Applicatiebeveiliging: Hoe bescherm ik mijn applicaties?

Geplaatst op: 24 maart, 2022 - 10:28

Applicaties zijn niet meer weg te denken uit ons leven - dit geldt niet alleen in de privésfeer, maar ook op zakelijk gebied. Het hoeft geen verbazing te wekken dat we inmiddels op enkele honderden applicaties per organisatie zitten, met pieken richting een veelvoud daarvan. Het is ook duidelijk dat dit aantal in de toekomst zal toenemen. De druk om te innoveren in combinatie met de snelheid van applicatieontwikkeling als gevolg van DevOps en andere ‘agile’ benaderingen zijn een sterke drijfveer achter deze trend.

man achter laptop met scripting

Naast het vooruitzicht van meer zakelijk succes, moeten applicaties ook vanuit het oogpunt van IT-beveiliging worden bekeken en geëvalueerd. Zij zijn immers een geliefd en veelvuldig doelwit van hackeraanvallen. Volgens het Global Threat Intelligence Report 2021 waren applicaties het doelwit van bijna 67% van alle aanvallen. Dit cijfer illustreert de relevantie en urgentie van applicatiebeveiliging, en dat is precies waar deze blog over gaat. We hebben overigens niet de pretentie om volledig te zijn. In plaats daarvan zullen we verschillende benaderingen belichten en stof tot nadenken bieden over hoe applicatiebeveiliging in bedrijven kan worden geïmplementeerd en vergroot.

Patching

Patching is van essentieel belang en moet onmiddellijk worden uitgevoerd voor alle applicaties en altijd worden bijgewerkt. Dit is geen geheim, maar de realiteit is vaak anders. Uit een studie van ServiceNow bleek dat 60% van de hackeraanvallen betrekking heeft op kwetsbaarheden waarvoor een patch beschikbaar was, maar niet was toegepast. De redenen hiervoor zijn velerlei: naast het feit dat patchen tijdrovend is, zegt 76% van de respondenten dat er geen gedeeld en op elkaar afgestemd beeld is van de status van applicaties in de organisatie, aldus ServiceNow. 72% van de respondenten zegt ook moeite te hebben met het prioriteren van uitstaande patches. Geautomatiseerde tools en beheerde diensten die je ondersteunen bij patch- en kwetsbaarheidsbeheer kunnen hierin helpen.

Security Testing

Wil je de huidige beveiligingsstatus van jouw applicaties bepalen, dan moet je ze regelmatig testen of, beter nog, laten testen. Handmatige pentesten door ervaren deskundigen bieden een goed inzicht om te bepalen of applicaties gevoelig zijn voor aanvallen van hackers. In een gecontroleerde en beveiligde omgeving proberen getrainde pentesters jouw applicaties aan te vallen volgens de methoden van criminele hackers. Het resultaat is een gedetailleerd verslag over de gevonden kwetsbaarheden en een beoordeling van de mate waarin deze door criminele hackers zouden kunnen worden uitgebuit. Bovendien worden de kwetsbaarheden beoordeeld op het risico voor de onderneming en de inspanningen die nodig zijn om ze te verhelpen. Met deze informatie kunnen IT-teams van organisaties prioriteiten stellen en de juiste maatregelen nemen.

Een pentest is echter slechts een momentopname van de beveiligingsstatus, die bovendien enorm snel kan veranderen in tijden van DevOps en snelle ontwikkelingscycli. Vooral voor applicaties met een groot aantal wijzigingen en updates wordt een meer flexibele testaanpak aanbevolen om kwetsbaarheden in de beveiliging snel en in een vroeg stadium op te sporen. Continuous Security Testing begint precies daar. Door geautomatiseerde en continue beveiligingsscans te combineren met handmatige pentesten. Het 24x7 testen van jouw applicaties heeft het voordeel dat kwetsbaarheden zeer snel kunnen worden opgespoord en verholpen én de beveiliging in lijn te brengen met snelle DevOps-methodes.

Bescherming van webgebaseerde applicaties

Webapplicaties hebben de eigenschap dat zij gewoonlijk 24x7 toegankelijk zijn. Enerzijds is dit een voordeel, aangezien jouw klanten en partners ook buiten de traditionele kantooruren van jouw diensten gebruik kunnen maken en, in het beste geval, aan de omzetgroei kunnen bijdragen. Aan de andere kant is het echter ook een risico, aangezien het evenzeer geldt voor hackers met kwade bedoelingen die jouw organisatie schade willen berokkenen. Dit wordt onderstreept door cijfers uit het Verizon Data Breach Investigations Report van 2021. 54% van alle inbreuken op gegevens in Europa als gevolg van een hackeraanval zijn het gevolg van aanvallen waarbij webapplicaties betrokken zijn.

Een Web Application Firewall (WAF) biedt bescherming tegen aanvallen op applicatieniveau (laag 7) door al het verkeer te inspecteren dat van en naar een webapplicatie gaat. Kwaadaardige verzoeken, zoals SQL-injectieaanvallen of aanvallen via cross-site scripting, worden gefilterd of geblokkeerd. Wat het beschermingsniveau van een WAF betreft, zijn er verschillen die je moet overwegen en vergelijken met jouw vereisten. Basisbescherming wordt geboden door bescherming tegen de OWASP Top 10 (OWASP is een non-profitorganisatie die regelmatig de 10 meest voorkomende beveiligingsrisico's voor webapplicaties op een rij zet en publiceert). Voor een uitgebreidere bescherming zijn WAF-oplossingen met extra regelsets en extra beveiligingsfuncties zoals geoblocking, bot mitigation of DDoS-bescherming een goed idee.

Naast de functies van een WAF, moet je ook nadenken over het beheer van jouw oplossing. Voor een efficiënte bescherming moeten de regels individueel voor de applicaties worden aangepast en regelmatig worden bijgewerkt. Wijzigingen en updates van applicaties brengen ook aanpassingen in jouw WAF-configuratie met zich mee. Ook de aanpak van vals-positieven en de monitoring en het incidentenbeheer zijn tijdrovend en vereisen een zekere deskundigheid. Als je dit niet met jouw IT-teams kunt of wilt implementeren, zijn er hiervoor beheerde oplossingen op de markt. Hier nemen cyberbeveiligingsspecialisten het ontwerp en beheer van de WAF op zich. En zorgt een Security Operations Centre (SOC) voor monitoring en incidentbeheer.

DevSecOps

Terwijl de hierboven beschreven benaderingen vooral betrekking hebben op bestaande toepassingen, begint DevSecOps bij het allereerste begin van de ontwikkeling van een applicatie. Beveiliging moet immers een integraal deel uitmaken van de hele levenscyclus van jouw applicaties en niet een add-on zijn.

DevSecOps is een verdere ontwikkeling van de DevOps-aanpak die het thema beveiliging vanaf het begin integreert als hoeksteen in de ontwikkelingsstrategie van de applicaties en het tot het belangrijk onderdeel maakt voor alle teams die bij het ontwikkelingsproces betrokken zijn. Dit klinkt op het eerste gezicht goed, maar in de praktijk is het vaak niet zo eenvoudig uit te voeren. Naast automatiseringstools, die essentieel zijn voor een efficiënte DevSecOps-implementatie, moet het basisidee vooral verankerd zijn in de bedrijfscultuur en bestaande teams. Een manier om dit te doen is door middel van workshops waarin experts jouw team trainen op een DevSecOps mindset, maar ook tools en praktische methoden zoals Continuous Integration, Continuous Delivery, Continuous Monitoring of Infrastructure as Code integreren in de processen.

Onze conclusie

Applicatiebeveiliging is een enorm belangrijk en centraal thema. Dienovereenkomstig moet je het met hoge prioriteit behandelen in jouw organisatie. Het is belangrijk om individuele maatregelen altijd te plaatsen in de context van een holistische beveiligingsstrategie die specifiek op jouw organisatie en vereisten is toegesneden. Denk ook na over hoe en in welke mate beveiligingsstrategieën en -maatregelen in de organisatie zelf kunnen worden ontwikkeld en uitgevoerd. Zou het zinvol kunnen zijn te vertrouwen op samenwerking met ervaren cyberbeveiligingsspecialisten? Dit kan middelen besparen die kunnen worden besteed aan de eigenlijke kernactiviteiten en aan de verdere ontwikkeling van jouw organisatie.

Lees onze andere blogs over Continuous Security Testing (CST)

Wat zijn pentesten

Blog 1

Kunnen pentesten geautomatiseerd worden?

Lees verder

Wat zijn pentesten

Blog 2

Wat zijn pentesten?

Lees verder

Drie goede redenen waarom je security testen moet automatiseren

Blog 3

Drie goede redenen waarom je security testen moet automatiseren

Lees verder

Kan je de kosten van pentesten terugbrengen tot het beschikbare budget?

Blog 4

Kan je de kosten van pentesten terugbrengen tot het beschikbare budget?

Lees verder