3 tips voor applicatiebeveiliging vanaf de basis

1. Verhoog de weerbaarheid met hardening

In een applicatielandschap begint security by design met hardening, een proces waarbij engineers de standaardconfiguratie van elke schakel in de keten evalueren, van de applicaties en besturingssystemen tot de firewalls en hypervisors. “Uit gemak laten veel organisaties bijvoorbeeld bepaalde toegangspoorten alvast open staan voor eventueel toekomstig gebruik. Maar hackers en malware weten vaak precies welke poorten dit zijn en maken daar dus misbruik van”, vertelt Guardiola.

Tijdens het hardening-proces controleren engineers deze en vele andere hard- en softwarefuncties en -instellingen. Welke standaard software hoeft helemaal niet te draaien? Welke instellingen kunnen aangescherpt worden? Zijn de wachtwoorden sterk genoeg? “Engineers moeten voortdurend een bewuste afweging maken tussen functionaliteit en veiligheid.”

2. Beperk de impact met segmentatie

Security by design gebeurt aan de hand van een lange lijst designprincipes die de veiligheid van de infrastructuur verhogen. Eén zo’n principe is ‘minimize attack surface area’. Dit betekent simpelweg dat je alle software uitschakelt die je strikt gezien niet nodig hebt. Een ander belangrijk principe is ‘defense in depth’, wat draait om de vraag hoe je een systeem beveiligt in de veronderstelling dat, vroeg of laat, een indringer door de eerste verdedigingslinie heen weet te breken.

Het antwoord ligt onder andere in het segmenteren van de IT-infrastructuur. “Solvinity verdeelt elke applicatieomgeving in gecontroleerde segmenten en diverse zones”, zegt Guardiola. “De eerste zone is publiek toegankelijk. De servers in de daaropvolgende zone moeten veilig te bereiken zijn voor derde partijen, terwijl gegevens in de derde zone alleen toegankelijk zijn vanuit het interne netwerk. En dan alleen vanaf de juiste IP-adressen en enkel met daarvoor aangewezen applicaties.”

3. Houd controle met vulnerability management

Patchmanagement en het up-to-date houden van hardening-regels hoort al ruim voor software live gaat te beginnen. In een configuration management database moet nauwkeurig worden vastgelegd wat de uitzonderingen zijn, waarom daarvoor gekozen is en welke risico’s dat met zich meebrengt. Dit geheel wordt geborgd met vulnerability management , een geautomatiseerd scanproces waarin ook eventuele onjuist doorgevoerde patches of hardening-regels worden gedetecteerd. “Het proces van patching, hardening, vulnerability management, en daarbij het nauwkeurig documenteren van alle uitzonderingen, is de enige manier om het gehele beveiligingsproces waterdicht te krijgen en controle te houden over het applicatielandschap.”

Meer weten over hoe je Security by Design in kunt richten? Kijk hier.