Je hebt vast wel eens gehoord van hackers, datalekken en andere bedreigingen van software. Nota bene, in 2020 ontving de Autoriteit Persoonsgegevens (AP) 23.976 meldingen van datalekken. Om dit te voorkomen is het belangrijk aandacht te besteden aan de security van je software. Ook bij beeproger vinden we de security van jouw software belangrijk. En daarom werken we voor onze all-in Service, Onderhoud & Support (SOS) overeenkomst binnenkort samen met E11EVEN. Voor dit artikel gingen we in gesprek met Kevin Morssink, ethical hacker bij E11EVEN.

Waar helpt E11EVEN ons bij?

E11EVEN biedt verschillende dienstverlening aan in het kader van software security. Zij testen onder andere websites en webapplicaties om erachter te komen of kwetsbaarheden bestaan ten aanzien van de ICT-security van betreffende websites en webapplicatie. Dit doen ze bijvoorbeeld door het uitvoeren van penetratietesten en ICT-security scans. Ook kan E11EVEN phishingtests uitvoeren om te meten hoe medewerkers omgaan met ICT-security bedreigingen van buitenaf en om medewerkers bewust te maken van de risico’s.

Een ICT-security scan of penetratietest van E11EVEN is maatwerk. Zo zal een test voor een Laravel webapplicatie er anders uitzien dan een test voor een mobiele applicatie in React Native of Flutter.

E11EVEN heeft veel ervaring met het testen van verschillende soorten software. Omdat ze met grote regelmaat (web)applicaties en websites testen, weten ze ook applicaties, die in Laravel gebouwd zijn, aan de juiste testen te onderwerpen.

Software security begint al in de code. Zo doen wij dat met Laravel:

Echter begint security van je software niet pas achteraf wanneer deze onderworpen wordt aan checks en tests door organisaties als E11EVEN. Het is van belang om al tijdens de bouw rekening te houden met de veiligheid van de app. Als je dat pas achteraf wilt oplossen, loop je de kans achter de feiten aan te lopen.

Daarom bouwen wij vrijwel al onze applicaties in Laravel. Dit heeft namelijk vele voordelen. Een van die voordelen is het feit dat Laravel een framework is. Dit dwingt de programmeur op een bepaalde manier gebruik te maken van verschillende functies. Dit reduceert het aantal fouten, wat de algehele veiligheid van de applicatie vergroot.

Daarnaast is Laravel een zogeheten open source framework. Het gebruik van open source frameworks zorgt ervoor dat de vele ontwikkelaars van Laravel gezamenlijk werken aan het voorkomen van fouten en daarmee het verbeteren van de software, ook op het gebied van software security. Fora of platforms als GitHub, helpen daarbij. Dit proces van continue aandacht voor verbetering is aldus van toepassing op Laravel, waardoor we al vanaf het begin van de ontwikkeling aandacht hebben voor de veiligheid van de software.

Software security testen

Naast het gebruik van een goed framework, is het ook belangrijk om continu te testen op de kwaliteit van de code en daarmee te testen op de software security. Bij beeproger staan we achter onze ontwikkelde digitale oplossingen. Daarom durven we met vertrouwen onze software te laten testen door een onafhankelijke partij als E11EVEN. Er zijn twee mogelijkheden voor dergelijke tests: de ICT-security scan en de penetratietest. Binnen onze all-in Service, Onderhoud & Support (SOS) overeenkomst wordt de ICT-security scan zelfs een standaard onderdeel van onze service.

Penetratie testen

Om te achterhalen welke kwetsbaarheden de software bevat, die een bedreiging kunnen vormen voor de veiligheid van de applicatie, kan je de software onderwerpen aan een penetratietest (ookwel: pentest). Bij E11EVEN hacken zij op verzoek (hackingondemand.com). Je kunt hier gebruik van maken door hen op uurbasis in te huren. De ethische hackers van E11EVEN zullen dan proberen in te breken op jouw systeem met als doel inzicht te verkrijgen in mogelijke risico’s en kwetsbaarheden.

De penetratietest van E11EVEN kent drie varianten: grey box, white box en black box penetratietesten. Bij een Black Box heeft de ethische hacker vrijwel geen informatie vooraf, wat het meest overeenkomt met een realistische situatie. Bij een White Box heeft de ethische hacker juist alle informatie voorhanden, waardoor je dit eerder kunt zien als een code review. De Grey Box zit hier als het ware tussenin; hier wordt de test uitgevoerd met beperkte informatie over de interne werking van het systeem. Hiermee kan efficiënt en gericht gekeken worden naar kwetsbaarheden. Wil je echter een nulmeting uitvoeren, dan kan je beter kiezen voor een Black Box pentest, juist vanwege de realistische situatie.

4 fases in de pentest

Een penetratietest verloopt altijd in 4 fases. De eerste fase is de verkenningsfase en focust zich op vragen als welke versies of welke systemen er worden gebruikt. Tijdens deze fase wordt er basisinformatie over het doelwit verzameld.

In de tweede fase wordt er gescand, ofwel het eerste contact gelegd met de software. Hiermee krijg je een eerste overzicht van eventuele kwetsbaarheden, echter bevatten deze scans ook veel false-positives. Dit zijn potentiële kwetsbaarheden die na meer onderzoek toch geen kwetsbaarheid blijken te zijn. Deze false positives filtert E11EVEN waardoor in het uiteindelijke rapport enkel bevindingen staan die daadwerkelijk van toepassing zijn. In tegenstelling tot veel andere software security scans waarvan rapporten vaak vol staan met kwetsbaarheden die achteraf niet van toepassing blijken.

De derde fase is de testfase. Op basis van alle uit voorgaande fase verkregen informatie wordt er getest. Zo kan in deze fase ook gebruik gemaakt worden van bijvoorbeeld vulnerability chaining: het koppelen van meerdere kwetsbaarheden die gezamenlijk een groter risico vormen dan separaat.

De laatste fase betreft de rapportage fase. Van de geconstateerde kwetsbaarheden rapporteert E11EVEN een bevinding, oorzaak, risico en aanbeveling. Zij categoriseren deze kwetsbaarheden op basis van de internationale OWASP top 10. Hierbij gebruiken zij het risico classificatiesysteem CVSS om inzicht te krijgen in een risicoscore per bevinding: critical, high, medium, low en note.

ICT-security scan

Een penetratietest is een uitgebreide evaluatie van de staat van de veiligheid binnen jouw software. Echter soms is een minder uitgebreide test gewenst die ook op kostenefficiente wijze periodiek kan worden ingezet, daarvoor is de ICT-security scan geschikt. De rapportage van de ICT-security scan is in hoofdlijnen gelijk aan de rapportage van een penetratietest, alleen zal deze test meer geautomatiseerd plaatsvinden op veelvoorkomende risico’s en kwetsbaarheden. E11EVEN zorgt ervoor dat ook de ICT-security scan rapporten geen false positives bevatten en maakt voor deze uitgebreide rapportage ook gebruik van de OWASP en CVSS normen.

De ICT-security scan biedt een goede oplossing voor het uitvoeren van periodieke checks, om te achterhalen of het aantal kwetsbaarheden af- of toeneemt. Zo krijg je zicht op de gesteldheid van de informatiebeveiliging in jouw software.

Hoe wij samenwerken met E11EVEN

Zoals gezegd, hebben wij vertrouwen in de software die wij voor onze klanten ontwikkelen. Daarom laten wij onze software graag testen door een onafhankelijke partij. Voor onze all-in Service, Onderhoud & Support (SOS) overeenkomst hebben wij bewust gekozen samen te werken met E11EVEN. Zij hebben kennis in huis deze security checks goed uit te voeren en ons en onze klanten kennis te geven van eventuele verbeterpunten.

De samenwerking is gebaseerd op een ICT-security scan bij de eerste oplevering van het product. Hiermee checken wij onze software op de laatst bekende kwetsbaarheden op het gebied van ICT-security en treffen wij de juiste maatregelen. Behalve deze eerste scan, kunnen we ook samen besluiten dat we een ICT-security scan uitvoeren op elke nieuw gepubliceerde versie. Het periodiek testen van je software zorgt er dan voor dat je regelmatig aandacht besteedt aan de security van je software en kunt aantonen dat jij iets aan de controle van de informatiebeveiliging hebt gedaan.

Wil je liever een uitgebreide penetratietest afnemen voor de release van je nieuwe software? Ook dat kunnen wij voor je regelen. Echter is dit op basis van maatwerk; samen zullen we dan kijken welke pentest het beste aansluit bij jouw wensen.

Als je meer wilt weten over de service die wij bieden betreft onze all-in Service, Onderhoud & Support (SOS) overeenkomst, kijk dan eens op deze pagina.

Tot slot: veilige software is key

Tot slot vatten we nog kort samen waar je allemaal rekening mee moet houden als het gaat om software security. Ten eerste is het belangrijk al tijdens de bouw van de software aandacht te besteden aan security. Het gaat hier dan om het neerzetten van goede en veilige code. Een framework als Laravel kan hierbij helpen. Daarnaast werken er bij beeproger alleen professionele, Laravel gecertificeerde developers. En zij besteden altijd aandacht aan goede en veilige code.

Daarnaast is het belangrijk de software regelmatig te laten onderwerpen aan security checks door een onafhankelijke partij; twee paar ogen zien meer dan één. Daarom werken wij samen met E11EVEN en verwijzen wij onze klanten graag door naar deze onafhankelijke organisatie.

Doordat beeproger al tijdens de bouw en ontwikkeling voldoende aandacht besteedt aan het voorkomen van kwetsbaarheden hebben wij de sleutel in handen om voor jou veilige software te ontwikkelen.

Besteed jij al voldoende aandacht aan software security? Neem dan contact met ons of E11EVEN op. We kijken graag samen met jou hoe we jouw software opnieuw kunnen bouwen, kunnen verbeteren en kunnen beveiligen.