Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie
Advertorial

Door Tweakers Events

Security by design is een continue strijd tussen functionaliteit en veiligheid

01-11-2019 • 14:40

3 Linkedin

Organisaties hebben vaak te maken met harde deadlines voor het live gaan van hun applicatie. Maar daar mag de beveiliging niet onder lijden, vindt Marc Guardiola, chief information security officer (ciso) bij secure managed it services provider Solvinity. Zijn advies luidt om de beveiliging van het applicatielandschap vanaf de basis goed aan te pakken met een security by design-benadering.

Digitalisering opent voor organisaties de deuren naar talloze mogelijkheden, maar zet deze deuren tegelijkertijd open voor indringers. Volgens Guardiola moet databeveiliging dan ook al beginnen tijdens de ontwerpfase van de it-infrastructuur. Dit kan met een security by design-aanpak en een cybersecuritystrategie die hardening, segmentatie en een continu controleproces combineert.

Hardening van it-oplossingen
Security by design is dé manier om een applicatielandschap vanaf de ontwerpfase veilig op te zetten. Deze aanpak begint met hardening. Dit is een proces waarbij engineers de standaard, maar vaak niet veiligste configuratie van elke schakel in de keten – de applicatie, besturingssystemen, firewalls en hypervisors – doorlopen en evalueren. "Uit gemak laten veel organisaties bijvoorbeeld bepaalde toegangspoorten open voor eventueel toekomstig gebruik. Helaas weten hackers en malware vaak precies welke poorten dit zijn en kunnen zij hier misbruik van maken", vertelt Guardiola.

Tijdens het hardeningproces controleren engineers op deze manier nog veel meer hardware- en softwarefuncties en -instellingen. Welke standaardsoftware hoeft helemaal niet te draaien? Welke instellingen kunnen aangescherpt worden? Zijn de wachtwoorden bijvoorbeeld wel sterk genoeg? En hoe beïnvloeden de onvermijdelijke kwetsbaarheden die na het hardenen overblijven, de veiligheid? "Als hardeningregels de functionaliteit van de software in de weg staan, moeten er soms uitzonderingen worden gemaakt. De engineer maakt zo voortdurend een afweging tussen veiligheid en functionaliteit."

Segmenteren van de infrastructuur
Security by design gebeurt aan de hand van een volledige reeks designprincipes die de veiligheid van de infrastructuur verhogen, zoals het principe ‘minimize attack surface area’, wat simpelweg betekent: je kunt niet aangevallen worden op software die niet draait. Een ander belangrijk principe is ‘defense in depth’, dat draait om de vraag: hoe beveilig je het systeem als een indringer door de eerste verdedigingslinie is gebroken?

Het antwoord ligt onder andere in het segmenteren van de it-infrastructuur, waarbij elk segment getermineerd wordt op een firewall en de communicatie tussen segmenten tot het strikt noodzakelijke wordt beperkt. Guardiola: "Solvinity zet elke applicatieomgeving neer in verschillende zones. De eerste zone is publiek toegankelijk; hierin staan bijvoorbeeld webservers. De servers in de daaropvolgende zone moeten veilig te bereiken zijn voor derde partijen, terwijl gegevens in de derde zone alleen toegankelijk zijn vanuit het interne netwerk, oftewel de eerste en tweede zone. En die toegang geldt dan alleen vanaf de juiste ip-adressen en toegangspoorten, en enkel met de applicatie die daarvoor is aangewezen, zoals MySQL, MS-SQL of Oracle." De afzonderlijke levels en de vele segmenten waaruit deze zijn opgebouwd, vormen zo een extra laag beveiliging.

Continu controleproces
Al voor het live gaan begint het beheerproces waarbij patchmanagement en het up-to-date houden van hardeningregels een centrale rol spelen. Met vulnerabilitymanagement, wat onder andere bestaat uit een geautomatiseerd scanproces, is het vervolgens mogelijk om eventueel onjuist doorgevoerde patches of hardeningregels te detecteren. Het is belangrijk om gedurende de hele ontwerpfase, maar zeker ook na de livegang, nauwkeurig vast te leggen welke uitzonderingen zijn uitgevoerd, waarom deze zijn uitgevoerd en welke risico’s ze met zich meebrengen. Dit kan in de configuration management database. Met vulnerability management, een geautomatiseerd scanproces, wordt dit geborgd en worden eventuele niet juist doorgevoerde patches of hardeningrules gedetecteerd. "Het proces van patching, hardening, vulnerabilitymanagement en het nauwkeurig documenteren van alle uitzonderingen is de enige manier om het hele proces waterdicht te krijgen en de controle over het applicatielandschap te behouden."

Aanstaande zaterdag 2 november is het zover en vindt de Meet-up XL Privacy & Security plaats in het Gooiland theater in Hilversum. Wil je dit niet missen? Bestel dan nu één van de allerlaatste kaarten voor de Meetup XL en kom naar de Meet-up XL Privacy & Security!

Koop je ticket

meer-informatie-transparant

Reacties (3)

Wijzig sortering
Hoeveel van de hoeveel kaarten zijn nog beschikbaar?
Eerlijk gezegd weet ik even niet of ik het helemaal juist zeg, maar volgens ons Eventbrite systeem nog 9 op dit moment. Het event is dan volledig uitverkocht! Mocht je gaan, heel veel plezier morgen.
Zijn de keynotes achteraf eventueel tegen betaling online te vinden? Lijkt mij wel interessant, maar het is volledig uitverkocht.

Op dit item kan niet meer gereageerd worden.


Apple iPhone 11 Microsoft Xbox Series X LG OLED C9 Google Pixel 4 CES 2020 Samsung Galaxy S20 4G Sony PlayStation 5 Nintendo Switch Lite

'14 '15 '16 '17 2018

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2020 Hosting door True