Het beveiligen van applicaties is voor veel organisatie erg lastig. Om de beveiliging op orde te krijgen is er specialistische kennis nodig over hoe je de applicaties kan beveiligen en hoe getest kan worden dat de applicaties ook beveiligd zijn. Beveiligingslekken komen steeds vaker voor en kunnen schade aan bedrijven tot gevolg hebben. Het gaat hier niet alleen om schade omdat de gegevens ontvreemd worden maar ook om imago en financiële schade. Met behulp van een security expert kunnen er beveiligingsproblemen worden voorkomen. Daarnaast is het raadzaam altijd een security test uit te voeren.

Waar richt security testen zich op?

Security testen richt zich op alle aspecten rond security. Hieronder een aantal voorbeelden:
Hackers kunnen door bepaalde request op de website ongeoorloofd toegang krijgen tot informatie die niet voor buitenstaanders is bedoeld. Hierdoor kunnen gegevens van klanten (NAW gegevens maar ook inloggegevens) gebruikt worden door hackers.

Hackers kunnen de website omleiden naar een “alternatieve” site. Dit lijkt de echte site te zijn maar is in werkelijkheid een kopie van de website. De klant merkt hier niets van, zelfs de URL in de adresbalk is nog correct. De klant vult hier zijn gegevens in en zou zelfs betalingen kunnen doen. Hierdoor krijgen hackers toegang tot de gegevens van de klant en ook de betaalgegevens.

Er is een top 10 samengesteld van de meest voorkomende beveiligingslekken, de OWASP top 10. Deze top 10 geeft alleen een indicatie van welke beveiligingslekken er zouden kunnen zijn. Bij het security testen is het aan te raden niet alleen blind te staren op de OWASP top 10 maar alle ‘bekende” security lekken te laten testen.

Wat is een security test?

Een security test is een test waarin de analyse en beoordeling van beveiligingsrisico’s voor uw organisatie wordt gedaan. Het resultaat is een risicoanalyse.

Er zijn binnen het security testen meerdere stappen uit te voeren.

Bepaling van de strategie

Als organisatie heeft u het beste inzicht in hoe applicaties zijn ingericht en worden gebruikt. In samenspraak met een security deskundige kan op basis van de inrichting en het gebruik een strategie worden opgesteld. In deze strategie wordt beschreven welke security aspecten getest moeten worden binnen de organisatie en applicaties.

Uitvoering

Op basis van de strategie gaat een security expert de testen voorbereiden en uitvoeren. Dit wordt vaak in vakjargon penetratietest of pentest genoemd. Er zijn diverse technieken beschikbaar om de security test uit te voeren. Dit kunnen bijvoorbeeld de volgende technieken zijn: interviews, review van specificaties, code review, configuratie reviews maar ook fysieke (technische) testen kunnen worden uitgevoerd.

Nadat de uitvoering is gedaan zal de security expert een rapport opleveren met daarin de uitgevoerde reviews en testen met daarbij de bevindingen.

Oplossen van de bevindingen

Na de uitvoering van de review en testen moeten de bevindingen opgelost worden. Van de bevindingen wordt een analyse gedaan om de impact en prioriteit te bepalen. Na de analyse worden de bevindingen opgelost.

Hertest

Na het oplossen van de bevindingen is het raadzaam een hertest uit te voeren en te bepalen of de bevindingen zijn opgelost en géén nieuwe bevindingen met de oplossing zijn gecreëerd.

Aanbeveling

Omdat er regelmatig nieuwe security lekken ontdekt worden is het verstandig om in overleg met een security expert de security test regelmatig te herhalen. Daarnaast is het verstandig bij grote wijzigingen de security test opnieuw uit te voeren.