Sebyde Web Applicatie Security Scan 7 Januari 2014
Even voorstellen Sebyde BV is Certified IBM Business Partner voor security systems, gespecialiseerd in applicatie security en security awareness. We leveren diensten en producten om webapplicaties / websites veilig te maken en het bewustzijn op het gebied van IT security te verhogen. We helpen bedrijven bij het verlagen van de risico’s en het beschermen van hun bedrijfsgegevens en reputatie. We leveren hiervoor de volgende diensten:
1. Web Applicatie Security Scan 2. IBM Authorised reseller 3. Security Awareness training + specialistische Security Certificeringen 4. Security Assessments
Ad 1. We controleren websites en andere web applicaties op de zwakke punten in de beveiliging. De scan van de websites wordt uitgevoerd met behulp van IBM Security Appscan®, het beste product wat hiervoor ingezet kan worden. In een gedetailleerd rapport kan de klant vervolgens lezen waar de zwakke punten in de beveiliging van de website zitten. We geven advies over hoe die kwetsbaarheden verholpen kunnen worden door middel van aanpassingen in de programmacode van de website. Ad 2. Bedrijven die het security-testen van hun web applicaties in eigen beheer willen houden kunnen bij Sebyde BV terecht voor een advies over de aan te schaffen eigen versie van de IBM Security AppScan® scanning tool, de implementatie en de training. Sebyde BV is een Certified IBM Reseller. Ad 3. Security Awareness training geeft de deelnemers een goed overzicht over de verschillende aspecten van IT-Security. Tijdens 2-3 halve-dag-sessies maken we de deelnemers bewust van de risico’s van het werken met informatiesystemen en vertrouwelijke (bedrijfs)informatie. Na deze training begrijpen de deelnemers de security aspecten en zullen die meenemen tijdens hun dagelijkse activiteiten. Naast de Security Awareness training bieden wij ook zeer specialistische trainingen aan op het gebied van security. Deze trainingen worden verzorgd door een van ’s werelds grootste onafhankelijke aanbieders van IT trainingen en leiden u op voor de officiële EC-Council certificeringen. Ad 4. Sebyde Security Assessments zijn verschillende vormen van (security) assessments die wij kunnen uitvoeren. Hierbij denken we bijvoorbeeld aan de volgende mogelijkheden:
Sebyde Security Quick Assessment Netwerk Penetratie test Systeem test Sebyde Privacy onderzoek
2
Sebyde Web Applicatie Security Scan (WASS) Door de groeiende populariteit van het gebruik van het Internet zijn er de afgelopen jaren steeds meer software applicaties in gebruik genomen die vanaf het Internet eenvoudig toegankelijk zijn (Webapplicaties). Hierbij kunt u bijvoorbeeld denken aan applicaties die binnen een organisatie gebruikt worden om “op afstand” te kunnen werken. Ook oudere, bestaande softwareapplicaties werden vaak toegankelijk gemaakt vanaf het Internet door ze een “web-interface” te geven. Een ander goed voorbeeld van een populaire webapplicatie is een website. Vroeger was een website niet meer dan een “digitale folder” over een bedrijf of organisatie. Tegenwoordig zijn websites volwaardige interactieve applicaties die de bezoekers toegang geven tot informatie over een bedrijf, producten of personen. Deze gegevens zijn als database aan de website gekoppeld en kunnen geraadpleegd worden door de bezoekers van de website nadat ze zijn ingelogd met bijvoorbeeld een username/password combinatie. Deze ontwikkeling heeft echter ook een keerzijde. Het maken van websites werd populair en er verschenen allerlei eenvoudige hulpmiddelen om fraaie websites te maken die er op het eerste gezicht wel heel mooi uitzien, maar in feite een groot security-risico opleveren. Doordat bij het bouwen van die websites niet of nauwelijks rekening is gehouden met de security is het vaak erg eenvoudig om in zo’n website in te breken en ongeautoriseerd toegang te krijgen tot achterliggende systemen en (vertrouwelijke) bedrijfsgegevens. Onderzoek wijst uit dat 80% van de webapplicaties minimaal één kwetsbaarheid heeft. Hackers weten dit uiteraard ook en hebben in de afgelopen jaren daarom hun aandacht gericht op het hacken van webapplicaties in plaats van het hacken van infrastructuur en netwerken. Dit verklaart dat momenteel 75% van alle hacks worden uitgevoerd via de websites van bedrijven en organisaties. De kranten staan vol met voorbeelden. Er bestaan momenteel duizenden hack-methodieken die worden gebruikt om in te breken. Sommige zijn zeer populair, zoals bijvoorbeeld “SQL-Injection” en “Cross Site Scripting”. Alleen deze twee methodieken zijn al goed voor 60% van alle hacks. Een webapplicatie / Website kan door middel van geavanceerde scan-software gecontroleerd worden op kwetsbaarheden. Het is uiteraard belangrijk dat die scan uitgevoerd wordt met behulp van een kwalitatief goede scan-tool die geen kwetsbaarheden “over het hoofd” ziet. IBM Security AppScan is de meest geavanceerde tool die voor het uitvoeren van een Security Scan beschikbaar is. Het Gartner rapport van Juli 2013 geeft dit wederom aan. Zie: (http://www.gartner.com/technology/reprints.do?id=1-1GT3BKQ&ct=130702&st=sb
3
Onze aanpak: Sebyde Security Cycle Zoals hierboven beschreven speelt de interne beveiliging van web applicaties een belangrijke rol tegen ongewenste aanvallen van buitenaf en de bescherming van bedrijfsgegevens. Om uw bedrijfsgegevens goed te beschermen dienen uw web applicaties daarom van binnen uit, in de broncode, beschermd te zijn tegen inbraakpogingen. Via een Scan kunt u een web applicatie laten scannen of er voldoende bescherming tegen bedreigingen van buitenaf wordt geboden. Sebyde BV levert een Web Applicatie Security Scan waarbij met behulp van IBM Security AppScan een Webapplicatie / Website gescand wordt op kwetsbaarheden in de beveiliging. Na de scan ontvangt de klant een rapport met gedetailleerde informatie over de gevonden kwetsbaarheden en een advies hoe die kwetsbaarheden door middel van veranderingen in de sourcecode van de applicatie gerepareerd kunnen worden.
Sebyde Security Cycle
4
1. Controleren; het scannen van de web applicatie. ® Met behulp van IBM Security AppScan wordt uw software getest op kwetsbaarheden tijdens een serieuze simulatie van een externe aanval. Deze gecontroleerde “aanval” gebeurt na overleg met de klant op een vooraf overeengekomen tijd. Tijdens deze scan wordt de webapplicatie onderworpen aan een groot aantal hack technieken. Kwetsbaarheden in de webapplicatie komen in deze fase onmiddellijk boven water. Het uitvoeren van een scan met behulp van IBM Security ® Appscan bestaat uit de volgende fases: ®
Explore fase : In deze fase onderzoekt Appscan de applicatie en inventariseert welke pagina’s er zijn, hoeveel elementen er onderzocht moeten worden en wat de ® onderliggende technologieën zijn . Vervolgens zal IBM Security Appscan aan de hand van de gevonden artifacten bepalen welke testen uitgevoerd moeten worden. Test fase : Dit is de daadwerkelijke test van alle elementen aan de hand van de eerder gedane explore 2. Evalueren van de uitkomsten van de scan. Na de scan wordt er een rapport geproduceerd waarin de kwetsbaarheden van uw webapplicatie duidelijk worden uitgelegd. Naast een “executive summary” bevat dit rapport ook gedetailleerde informatie over de gevonden kwetsbaarheden en hoe ze worden veroorzaakt. U weet dan dus precies hoe er in uw webapplicatie ingebroken kan worden. 3. Analyseren hoe de gevonden lekken moeten worden gedicht. In deze fase bespreken we met de klant welke maatregelen er genomen moeten worden om de kwetsbaarheden op te lossen en wat de prioriteiten zijn. Zijn er wellicht andere factoren die een positieve rol kunnen spelen bij de veiligheid van uw applicaties en gegevens? 4. Realiseren; aanpassen van de programmatuur. Om de kwetsbaarheden te laten verdwijnen zijn er aanpassingen nodig in de broncode zodat uw web applicaties van binnenuit beveiligd zijn tegen inbraken van buitenaf. In de praktijk zal dit werk gedaan worden door de partij die de webapplicatie heeft gebouwd. Sebyde adviseert hierbij. Indien noodzakelijk kan er via Sebyde BV ook een externe programmeur ingeschakeld worden om de gevonden kwetsbaarheden op te lossen.
5
Sebyde Web Applicatie Security Scan De Sebyde Web Applicatie Security Scan bestaat uit de stappen 1-2-3 van bovengenoemde cycle. De gegevens van de scan worden geëvalueerd, geanalyseerd en met u besproken. U ontvangt een rapport met gedetailleerde gegevens over de kwetsbaarheden van uw web applicatie, op welke manieren die kwetsbaarheden misbruikt kunnen worden om in te breken en een advies over de te nemen maatregelen in de sourcecode om de gevonden kwetsbaarheden te repareren.
Hoe gaan we te werk? De klant tekent een vrijwaringsverklaring om Sebyde BV toestemming te geven de scan uit te voeren. De klant zal vervolgens ter voorbereiding een intake formulier invullen. Dit intake formulier bevat een aantal vragen over de applicatie die gescand moet worden. Dit zijn vragen over de voorzorgsmaatregelen (Backups gemaakt? Helpdesk ingelicht? Monitoring-systemen uitgeschakeld?) en de scan-procedures. Sebyde neemt contact op met de web-bouwer en (indien van toepassing) met de hosting partij om ze in te lichten over het feit dat de scan gaat plaatsvinden. Webbouwers worden betrokken bij de scan omdat de informatie die de scan oplevert van grote waarde is voor het bouwen van toekomstige applicaties. Dag 1: Voorafgaand aan de scan organiseren we een voorbespreking waarin het Intake formulier wordt doorgesproken. Hierbij worden eventuele onduidelijkheden verklaard. Na deze voorbespreking wordt de actuele scan uitgevoerd. De scan wordt uitgevoerd met IBM Security AppScan. Dag 2: De tweede dag worden de scangegevens geëvalueerd en het rapport geproduceerd. Dag 3: Tijdens een afrondingsgesprek bespreken we het rapport (Executive Summary en Remediation tasks) en geven advies over de te nemen stappen. Samenvattend zijn dit de taken uit te voeren door Sebyde BV: Het organiseren van een kick-off meeting over de scan procedures en nadere toelichting van de intake vragen (dag 1). Scannen van de web applicatie met behulp van IBM Security AppScan (dag 1). Maken van een gedetailleerd rapport over de gevonden kwetsbaarheden en hoe deze op te lossen (dag 2). Organiseren van een overleg om de resultaten van de scan te bespreken (dag 3).
6
Sebyde Keurmerk Na het uitvoeren van een Webapplicatie security scan rapporteren we in detail over de kwetsbaarheden en geven aanbevelingen hoe die gevonden kwetsbaarheden gerepareerd kunnen worden. De klant kan deze aanbevelingen opvolgen en daarna een controlescan door ons laten uitvoeren tegen een sterk gereduceerd tarief. Indien na deze tweede (controle)scan blijkt dat de applicatie geen High en/of Medium severity kwetsbaarheden meer bevat dan krijgt de applicatie een certificaat en een keurmerk. Dit keurmerk wordt bij ons geregistreerd.
Het keurmerk is een jaar geldig. De klant mag dit keurmerk op de website zetten om aan hun relaties te laten zien dat hun website gecontroleerd is en veilig bevonden.
Eenmalige scan - Abonnement - Knipkaart? Omdat hack-methodieken veranderen en omdat bedrijven hun website regelmatig voorzien van nieuwe pagina’s, etc. hebben we ook abonnementsvormen waarbij de Security scan op periodieke basis (2 x per jaar, 4 x per jaar, 12 x per jaar) wordt uitgevoerd. Hiervoor gelden uiteraard zeer aantrekkelijke kortingen. Tevens beschikken we over een knipkaart waarbij een aantal scans (2-3-5) tegen aantrekkelijke kortingen aangekocht kunnen worden en op afroep uitgevoerd zullen worden. Hierbij kunt u bijvoorbeeld denken aan het laten scannen van een applicatie in verband met het uitkomen van een nieuwe release. Voordelen van de Sebyde Web applicatie Security Scan: Snel in te regelen / uit te voeren Goedkoper dan manueel testen Weinig kennis nodig van de te scannen applicatie Herhaalbaar.
7
Contact gegevens Sebyde Sebyde BV Legerland 56 1541 NG Koog aan de Zaan Telefoon: 06-53233269 Email:
[email protected] www.sebyde.nl LinkedIn: Twitter: Facebook:
www.linkedin.com/company/sebyde-bv www.twitter.com/SebydeBV www.facebook.com/sebydeBV
8
