security by design & security by default

IT-beveiliging centraal stellen in het ontwerp en de ontwikkeling van applicaties

Wat maakt security by design & security by default ook voor jou van cruciaal belang?
Security is vandaag de dag voor ieder bedrijf onmisbaar. Het is dan ook opvallend dat bij de ontwikkeling van veel applicaties security slechts een relatief beperkte rol speelt. De aandacht voor security groeit gelukkig, onder meer door de grote hoeveelheid datalekken en security-incidenten waarmee bedrijven worden geconfronteerd.

‘Security by design’ en ‘security by default’ zijn begrippen die je steeds vaker voorbij ziet komen. Wat betekenen deze begrippen precies, hoe kun je ze toepassen en welke winst leveren zij op?

Security by design en security by default

Traditioneel speelde security bij softwareontwikkeling een relatief kleine rol. Ontwikkelaars stemden een applicatie vooral af op de wensen en behoeften van bijvoorbeeld de business. Het beveiligen van de applicatie kreeg uiteraard aandacht, maar was geen hoofdfocus. Door de jaren heen is de hoeveelheid security-incidenten echter snel gegroeid. Zo blijkt uit cijfers van het Openbaar Ministerie dat het aantal zaken waarbij cybercriminaliteit een rol speelt in 2020 met 127% is gestegen ten opzichte van een jaar eerder. Security speelt vandaag de dag dan ook een veel grotere rol bij softwareontwikkelaars. Steeds vaker worden applicaties vanaf de basis ontwikkeld met security in het achterhoofd. Dit wordt ook wel security by design genoemd.

Lees ook: "Security trends van dit moment"

Security by default is een begrip dat gelieerd is aan security by design. Deze term omschrijft een werkwijze waarbij de standaardconfiguratie van software de meest veilige instellingen omvat. Dit betekent in de praktijk dat gebruikers die niet omkijken naar de configuratie van een applicatie, desondanks kunnen vertrouwen op de veiligheid hiervan. Een belangrijke bijdrage aan de concepten security by default en security by design is geleverd door de top 10 meest voorkomende beveiligingsproblemen van het Open Web Application Security Project (OWASP).

Wat is OWASP?

Bij veel cyberaanvallen maken aanvallers misbruik van veelvoorkomende problemen in software. Het gaat hierbij om kleine fouten in de broncode waaruit een applicatie is opgebouwd. Deze fouten geven aanvallers onbedoeld ruimte voor het opzetten van aanvallen op onder meer webapplicaties, webservers en websites. Het tegengaan van de meest veelvoorkomende problemen in softwarecode kan dan ook veel security-incidenten voorkomen.

Het OWASP helpt ontwikkelaars hierbij. Het project stelt onder meer een top 10 met de meest voorkomende beveiligingsproblemen beschikbaar. Ontwikkelaars kunnen met behulp van deze top 10 het beveiligingsniveau van hun applicaties naar een hoger niveau tillen.

Drie ontwerpprincipes

Bij het ontwerpen van een veilige applicatie op basis van security by design & security by default adviseert OWASP het hanteren van een drietal ontwerpprincipes: vertrouwelijkheid, integriteit en beschikbaarheid.

Vertrouwelijkheid

Vertrouwelijkheid betekent hierbij dat gegevens uitsluitend toegankelijk zijn voor gebruikers die hiervoor expliciet toestemming hebben. Alle andere gebruikers kunnen niet bij de data. Onder meer role-based access control draagt hieraan bij, dat de toegang tot informatiesystemen afschermt op basis van functie. Zo weet je zeker dat gebruikers alleen bij gegevens kunnen die zij daadwerkelijk nodig hebben. Andere data blijven afgeschermd.

Integriteit

Integriteit heeft betrekking op de integriteit van data. Zo is van het cruciaal belang dat gegevens niet kunnen worden gemanipuleerd of gewijzigd door ongeautoriseerde partijen. Alleen dan kan de business daadwerkelijk op data vertrouwen. Denk hierbij aan autorisatie, zodat alleen geauthentiseerde gebruikers toegang krijgen tot gegevens. Denk echter ook aan twee-factor authenticatie, wat misbruik van gestolen of uitgelekte inloggegevens voorkomt en manipulatie van gegevens door kwaadwillende voorkomt.

Beschikbaarheid

Gebruikers zijn vandaag de dag voor veel werkzaamheden in belangrijke mate afhankelijk van de beschikbaarheid van gegevens. Stel daarom zeker dat data, de systemen waarin deze zijn opgeslagen en oplossingen waarmee gegevens worden verwerkt altijd beschikbaar zijn voor geautoriseerde gebruikers die hieraan behoefte hebben. Onder meer het automatisch schalen van de infrastructuur waarop data en oplossingen zijn gehost speelt hierbij een rol. Zo kunnen prestatieproblemen van systemen en tools de toegang tot gegevens beperken en daarmee de productiviteit aantasten.

Integreer security in het ontwerp

Security speelt idealiter in het ontwerp en tijdens de ontwikkeling van een applicatie al een centrale rol. Dit zorgt dat security geïntegreerd is in de applicatie, beveiligingsmaatregelen optimaal aansluiten bij de toepassing en tijdens het ontwerp van de applicaties voldoende aandacht is voor securityafwegingen.

Het kan natuurlijk goed zijn dat jouw organisatie gebruik maakt van applicaties waarbij security tijdens de ontwikkeling minder centraal stond. Breng in zo’n geval het veiligheidsniveau van een applicatie in kaart en identificeer zwakke plekken. Bijvoorbeeld met behulp van de security audit dienst van True. Zo kan je gericht te werk gaan bij het verbeteren van de beveiliging.

Benieuwd naar de mogelijkheden of wilt u meer informatie over dit onderwerp? Onze experts denken graag met je mee. Neem contact met ons op!

 

 

security by design & security by default
Axel Schutte
Online Marketing Manager
Categorie: Security

schrijf je in voor de nieuwsbrief

Ontvang de nieuwste blogs van True elke twee weken in je mail

Inhoud van dit artikel

Security - 12.08.2021

Microsoft praat op zijn jaarlijkse Inspire-event partners bij over de laatste ontwikkelingen. Hoewel het event gericht is op partners, omvat het event ook allerlei nieuws praktijkvoorbeelden die voor jouw organisatie relevant zijn. Onder meer op het gebied van managed detection & response. Een drietal partners – BT, IBM Security en Mandiant – zetten uiteen hoe […]

Security - 06.08.2020

Van wasmachines tot kleren: voor de meeste shoppers is internet het primaire kanaal geworden voor het aanschaffen van nieuwe producten en diensten. De populariteit van de e-commercesector heeft echter ook een keerzijde. Doordat er veel geld en waardevolle informatie in omgaat is de e-commercesector ook zeer geliefd onder cybercriminelen. In dit artikel zoomen we in […]

Security - 03.06.2020

Onlangs werd Sr. Security Engineer Eddie Bijnen van True geïnterviewd door Information Security Magazine over het Advanced Security Platform van True. Hieronder kun je het volledige artikel lezen. Bekijk ook onze dienst voor website security. Veel bedrijven vertrouwen voor hun dagelijkse bedrijfsvoering op websites, webapplicaties en databases. Een cyberaanval kan de beschikbaarheid echter in gevaar […]

Blijf op de hoogte en schrijf u in voor onze nieuwsbrief
Schrijf u in voor de nieuwsbrief