Afgelopen week werd maar weer eens duidelijk dat Nederlanders nog veel te leren hebben wat betreft online security, toen er bekend werd dat AVROTROS samen met een team van ethische hackers illegale hack-technieken wil gaan gebruiken in een televisieprogramma. Terwijl de programmamakers zeggen geen kwade bedoelingen te hebben en slechts willen laten zien hoe gemakkelijk persoonlijke gegevens op straat kunnen komen te liggen, zijn securityexperts het er over eens dat de technieken die ze gebruiken niet door de beugel kunnen.

Hoewel de meeste hackers zullen kijken naar de gegevens die mensen via sociale media online gooien, is het voor websitebeheerders van bestaande websites geen overbodige luxe ook eens kritisch te kijken naar hun eigen security. Met de tips in dit artikel til je de beveiliging van je website naar een hoger niveau. Mocht je er aan denken een nieuwe website te starten? Dan zijn de volgende tips een goed startpunt om gelijk goed beveiligd van start te gaan.

1. SSL/TLS
Aan de basis van een veilige website staat natuurlijk het SSL certificaat. Het belang van een goed SSL certificaat is niet te onderschatten. De meeste webshopeigenaren en websitebeheerders zullen inmiddels wel in de gaten hebben dat het niet alleen verkeer van en naar hun websites versleutelt, en daarmee de gegevens die klanten bij ze achterlaten beschermt. Het biedt ook het vertrouwen van een herkenbaar veilige omgeving. Een EV certificaat wordt duidelijk getoond in de adresbalk van de browser.

Maar een SSL certificaat is pas het begin. In onze blogserie SSL en Verder hebben we al tips en trucs gedeeld om het SSL certificaat zelf te upgraden door configuraties aan te passen op uw server en in uw DNS of uw headers. Wat kunt u nog meer doen om uw website te beveiligen?

2. Scan uzelf
Door regelmatig uw websites en online omgevingen te controleren op eventuele achterhaalde configuraties of veiligheidslekken, kunt u al een hoop problemen voorkomen. U kunt er voor kiezen om zelf eens in de zoveel tijd handmatig wat scans uit te voeren. In onze blogserie Scan je Wijs bespreken we enkele scans die in te zetten zijn om uw beveiliging te controleren op zwakke plekken. Om u werk uit handen te nemen, kunt u ook kiezen voor een scan- of monitoring pakket dat periodiek voor u scant op de laatste beveiligingslekken en configuraties, en u op de hoogte stelt van achterhaalde instellingen of beveiligingsproblemen. Deze tools worden zeer regelmatig bijgewerkt met nieuwe checks, scans en monitoring opties, zodat u zeker bent dat uw beveiliging up to date blijft.

3. Laat u hacken
Een kwaadaardige hacker kan in uw systeem inbreken en ondenkbare schade aanrichten. Maar een goedaardige hacker kan op dezelfde manier inbreken en u op de hoogte stellen van zijn bevindingen, zodat u een echte hacker een stapje voor kunt zijn. U kunt zo’n ethische hacker inhuren om uw beveiliging te laten controleren op punten waar een systeembeheerder misschien niet aan zal denken. Het is wel aan te raden dit pas te laten doen als u denkt uw beveiliging al redelijk op orde te hebben. Mocht uw systeem gatenkaas blijken te zijn kan het rapporteren en oplossen van de lekken flink in de papieren lopen.

4. Laat bezoekers fouten melden
Steeds meer bedrijven maken tegenwoordig gebruik van het Responsible Disclosures principe op hun websites. Hiervoor voegen ze een melding toe op hun website waarin aangegeven wordt dat het bedrijf open staat voor meldingen van kwetsbaarheden of beveiligingsproblemen binnen hun systeem. Daarbij vragen ze vaak dat de vinder van het probleem geen misbruik maakt van het lek of het doorspeelt aan anderen, maar het bedrijf de tijd geeft om het probleem op te lossen. Sommige bedrijven verbinden beloningen aan het melden van een nieuw beveiligingslek. Het plaatsen van een Responsible Disclosure melding betekent wel dat u in staat moet zijn om aan uw beloften te voldoen, en dat u het melden van beveiligingslekken niet te ingewikkeld maakt. Stel bijvoorbeeld een apart e-mailadres in, of zet een ticketsysteem op waar mensen hun bevindingen kunnen achterlaten.

5. Go big or go home
Er is ook nog de mogelijkheid om alle bovenstaande tips te binden in een contract met een partij die scans en ethisch hacken combineert om zo alle kwetsbaarheden naar boven te halen. Bedrijven als Zerocopter zetten op elk project een beperkt aantal researchers in, die vervolgens worden losgelaten op een website of systeem, of een onderdeel daarvan. Deze projectteams worden vaak samengesteld uit mensen met verschillende expertises, zodat er op allerlei lagen op veiligheid kan worden gecontroleerd. De researchers worden voor elke nieuwe bevinding beloond, waarbij van te voren wordt bepaald hoeveel de beloning per bevinding is. Uiteraard is dit niet goedkoop: het inzetten van een dergelijk team zou echt als laatste stap moeten worden gezien.

Een website beveiligen gaat tegenwoordig dus verder dan SSL certificaten. Maak dus slim gebruik van deze producten, maar ook van de sociale oplossingen zoals responsible disclosure agreements en het inhuren van ethische hackers om uw website veiliger dan ooit te maken.

Lees relevante artikelen

Categorie  SSL & Security | Tags  scans Security ssl