De afgelopen weken is er een levendige discussie onder informatiebeveiligers over de nieuwe OWASP top 10. Sinds 2002 bevat de OWASP top 10 de 10 belangrijkste risico’s voor (web)applicaties en IT-omgevingen. Deze risico’s betroffen altijd kwetsbaarheden die door een kwaadwillende uitgebuit kunnen worden.

Wat is er aan de hand?

In de OWASP top 10 voor 2017 is voor het eerst een item opgenomen dat niet over kwetsbaarheden gaat: ‘(A7) Insufficient Attack Protection’. Informatiebeveiligers over de hele wereld discussiëren nu met elkaar of dit item nou wel of niet op de lijst voor moet komen. Het is geen kwetsbaarheid die direct misbruikt kan worden. Het is echter wel een risico dat geadresseerd moet worden en mogelijk misbruik preventief kan voorkomen.

Bron: http://www.darkreading.com/application-security/new-owasp-top-10-reveals-critical-weakness-in-application-defenses/a/d-id/1328751

Wat is OWASP?

Het Open Web Application Security Project (OWASP) is een open source-project rond computerbeveiliging. Individuen, scholen en bedrijven delen via dit platform informatie en technieken. Mark Curphey begon op 9 september 2001 met OWASP en werd officieel op 21 april 2004. In 2014 is Michael Coates de voorzitter en heeft OWASP ongeveer 200 afdelingen in honderd landen. Bron: https://nl.wikipedia.org/wiki/OWASP

Hoewel OWASP veel meer kwetsbaarheden beschrijft en richtlijnen uitgeeft, focussen veel informatiebeveiligers zich voornamelijk op de top 10. Binnen Guardian360 vinden we dat je de volledige OWASP in acht moet nemen bij scannen, monitoren en pentesten, maar dat ter zijde.

Visie Guardian360

OWASP bevestigt de visie van Guardian360 dat je veel verder moet kijken dat kwetsbaarheden alleen. Het controleren of de ‘buitenkant’ van je (web)applicatie of IT-infrastructuur kwetsbaar is, is absoluut niet voldoende. Vulnerability scanning is voor ons basishygiëne die je op orde moet hebben. Als een kwaadwillende voldoende gemotiveerd is, dan vindt hij/zij zeker een manier om in te breken. Het gaat erom dat je deze inbreker snel detecteert en de inbraak vertraagt, waardoor de schade beperkt kan blijven. Snelle detectie doen we met de Guardian360 Canary. Met de Defense scanner controleren we of er ontbrekende defensieve maatregelen zijn om je tegen een inbraak te beschermen.

Defense scanner

De Guardian360 defense scanner zoekt in plaats van directe kwetsbaarheden naar het ontbreken van defense-in-dept maatregelen. Dit soort maatregelen dragen eraan bij (web) applicaties en netwerken preventief te beschermen tegen mogelijke toekomstige aanvallen. En bij het preventief verhelpen/voorkomen van nog onbekende kwetsbaarheden. De scanner controleert onder andere op de volgende soorten defense-in-depth maatregelen:

  • Maken webapplicaties gebruik van extra bescherming lagen zoals “headers”?
  • Zijn er geen standaard paden of instellingen actief op webapplicaties die informatie kunnen lekken aan kwaadwillenden?
  • Zijn applicaties/netwerk voldoende voorzien van configuratie hardening?
  • Hebben de gebruikte domeinen spam/phishing spoofing preventie?
  • Zijn de DNS servers van website domein(en) beschermd tegen Man-in-the-Middle aanvallen?
  • Lekt netwerkdata wat misbruikt kan worden om credentials van werknemers of andere gevoelige data te achterhalen?
  • Kan een kwaadwillende eenvoudig data exfiltreren vanuit interne netwerken en op welke manier(en)?
  • Werken aanwezige Intrusion Prevention System (IPS) maatregelen naar behoren?

Guardian360 Quickscan

De Guardian360 Quickscan scant op een aantal van de hiervoor genoemde defense-in-depth maatregelen. Zo brengt de Quickscan header informatie in kaart, testen we het SSL-certificaat en geven we aan of de content security policy voldoet. Wil je weten hoe jouw website scoort? Doe dan gratis de scan via https://quickscan.guardian360.eu/nl!