De website is het digitale visitekaartje van uw bedrijf. Via websites worden tegenwoordig tal van diensten aangeboden. Internet criminelen weten dit ook en proberen iedere seconde met automatische hackmachines in te breken op online diensten. Websites worden voorzien van schadelijke malware, bezoekers worden getrakteerd op een virus of uw website wordt digitaal gegijzeld.
Om downtime van diensten en reputatieschade te voorkomen is het zaak om te zorgen dat uw bedrijfswebsite veilig is en blijft. Een goede website beveiliging begint bij de ontwikkeling.
Goede website beveiliging
Bescherming van uw website begint bij correcte implementatie van basis regels en een basis structuur. De ontwikkelaar van de website speelt hierin een hele belangrijke rol. Vergewis u ervan dat tijdens de ontwikkeling van uw website wordt gezorgd dat grondbeginselen van een veilige website goed worden nageleefd.
Daarna is het zaak om de website te laten controleren door een security expert. Een security expert (ethical hacker) kijkt op een andere manier naar it omgevingen dan ontwikkelaars. In deze fase kan de website ontwikkelaar op aanwijzen van de security expert nog aanpassingen doen om de website helemaal veilig op te leveren.
Daarna is het verstandig de website geregeld te onderwerpen aan een externe security audit. Online systemen zijn zeer dynamisch en criminele hackers zijn zeer creatief. Ze zoeken continu naar nieuwe zwakke plekken en verbeteren hun aanvalsmethodieken dagelijks.
Website security audits zijn er in vele soorten en maten.
Geautomatiseerde website security audit
Veel geautomatiseerde security testen zijn gratis af te nemen. Er kleeft een risico aan deze geautomatiseerde security testen. De kans is aanwezig dat er een grote lijst van false positives wordt waargenomen, of dat er belangrijke kwetsbaarheden worden gemist. Het is verstandig om een security audit altijd te laten controleren door een onafhankelijke expert, zodat de resultaten kunnen worden geverifieerd.
Bij een basis security audit worden vooral bekende kwetsbaarheden zoals die uit de OWASP TOP10 meegenomen. Geavanceerdere aanvalsmethodieken worden niet gebruikt, zodat eventueel aanwezige kwetsbaarheden in programmeringen of verbindingen niet altijd kunnen worden opgemerkt.
Afhankelijk van het risico dat uw organisatie loopt met de website en/of online portals is het verstandig om de resultaten van een website beveiligingsonderzoek te laten controleren door een ethical hacker / security specialist. De gevonden kwetsbaarheden kunnen direct worden gevalideerd en u krijgt hands-on advies hoe u deze kwetsbaarheden kunt voorkomen en snel kunt oplossen.
Snelle doorlooptijd
Wanneer de website geen onderdeel uitmaakt van uw primaire business is het raadzaam te starten met een basis website security scan. Veel gemaakte beveiligingsfouten worden direct ontdekt en verwerkt in een overzichtelijke rapportage. Door de snelle doorlooptijd kunnen direct mitigerende maatregelen worden genomen en is uw website niet meer interessant voor de gelegenheidscrimineel.
Uitgebreide website security scan (pentest)
Wanneer de continuïteit van de website / online dienst zeer belangrijk is of een reputatieschade grote gevolgen kan hebben adviseren we u een grondige security test te laten uitvoeren. Dit noemen we een penetratietest. Ook hier wordt gebruik gemaakt van automatische tools, maar wordt door ons team van ethische hackers verder gekeken naar diepere programmeerfouten of onveilige verbindingen.
Zo wordt de kans op een geslaagde hackaanval nog kleiner doordat alles uit de kast wordt getrokken om kwetsbaarheden te vinden.
Soorten technische testen op de website / online applicatie
We testen onder andere maar niet uitsluitend op:
- De OWASP top10
- Remote Code Injection
- SQL injection
- Path Traversals
- XSS (Cross Site Scripting attacks)
- Session Hijacking attacks
- Cookie Hijacking attacks
- Gebruikte versleuteling (SSL / TLS check)
- Vulnerability disclosure policy