Online security is een onderwerp dat steeds meer aandacht krijgt. Er blijkt in de praktijk toch nog te weinig over nagedacht te worden. Uit het True webinar ‘Online security; een absolute topprioriteit’ van donderdag 6 oktober bleek dat een groot deel van de deelnemers niet wist hoe veilig hun eigen webapplicatie is. Patrick, security engineer bij True en spreker tijdens het webinar, geeft aan: “Dat klopt, in de praktijk blijken veel websites niet veilig te zijn. Het verbaast me dan ook niet enorm dat ruim 33% van de deelnemers niet wist hoe sterk hun online beveiliging is.” Naast dit resultaat werden ook een reeks vragen gesteld, die onze security engineers hebben toegelicht.
Q: Hoe zou je er achter kunnen komen dat er een datalek heeft plaatsgevonden in je applicatie?
A: Het achterhalen van een datalek is niet zo eenvoudig. Wat je als organisatie als eerste zou moeten doen is op zoek gaan naar malafide bestanden op de server en deze analyseren. Wanneer je dat doet kun je achterhalen of er sprake is van een backdoor die hackers zouden kunnen gebruiken om je database leeg te halen. Dit is precies de reden dat het rechtenbeheer gedeelte van jouw webapplicatie zo belangrijk is. Wanneer de rechten goed staan voorkom je in veel situaties dat kwaadwillenden data kunnen ontvreemden, simpelweg vanwege het feit dat ze er niet bij kunnen.
Q: Wat kun je tegen ransomware doen? Kun je weer toegang krijgen tot bestanden die door ransomware op slot zijn gezet, zonder te betalen?
A: Niet zo heel veel eigenlijk. Tenzij een onderzoeker natuurlijk de ransomware weet te kraken en de master-key prijsgeeft. Mocht je niet willen betalen (begrijpelijk, want je weet natuurlijk ook niet zeker of je de bestanden ook daadwerkelijk terug krijgt), dan kan het verstandig zijn om een kopie van de harde schijf te maken en te hopen dat in de toekomst een master-key vrij komt, die de harde schijf kan ontsleutelen.
Wat je WEL kunt doen is ransomware zoveel mogelijk proactief voorkomen. Dit doet je door bijvoorbeeld je computers up-to-date te houden met de laatste beveiligingsupdates en anti-virus software. Verouderde versies van Java of Flash zijn vaak de reden dat computers geïnfecteerd worden. Wanneer je met een verouderde versie op een malafide website komt, kun je eenvoudig worden geïnfecteerd met malware/ransomware. Kwaadwillende advertenties (ja, die bestaan echt) kunnen ook een probleem vormen. Een goede ad-blocker is dan ook aan te raden. Daarnaast is het aan te raden om geen gekraakte applicaties van onbetrouwbare bronnen te installeren (bijvoorbeeld van Torrents of usenet).
Organisaties zouden tevens nog een intrusion detection system (IDS) op kunnen zetten. Deze houdt de versleutel-pogingen van ransomware in de gaten, waarna er actie kan worden ondernomen en daarmee de machine tijdig uitgezet kan worden, zodat mogelijk nog niet alles versleuteld is.
Q: In het geval van ransomware, is de meldplicht datalek dan ook van kracht?
A: In de praktijk blijkt dat ransomware primair gebruikt wordt om bestanden te versleutelen. Hierbij worden geen bestanden naar kwaadwillenden gestuurd. Daarentegen weet je natuurlijk niet hoe dit zich in de toekomst kan ontwikkelen.
Q: Wat zij naast de google authenticor nog andere, gangbare manieren van two-factor authentication?
A: Google authenticator is de meest gebruikte en gangbare methode voor two-factor authentication. Daarnaast is het ook nog eens gratis. Ben je op zoek naar een andere authenticator? Dan kun je een RSA token (SecurID) gebruiken. Dit is een fysiek apparaat die je bijvoorbeeld aan je sleutelbos kunt hangen, waarmee je jezelf kunt authentiseren. Je kunt ook kiezen voor een app die op je smartphone wordt geinstalleerd.
Q: Wat is een voorbeeld van een goede en betrouwbare wachtwoordmanager?
A: 1password.com blijkt in de praktijk behoorlijk betrouwbaar te zijn. Daarnaast biedt het de mogelijkheid om wachtwoorden in een container op te slaan, die vervolgens gedeeld kan worden met collega’s en medewerkers. Waar je bij elke passwordmanager rekening mee moet houden is dat het belangrijk is hoe men ermee omgaat. Het advies is om een passwordmanager lokaal op te slaan en niet in de cloud. Je kunt namelijk niet alleen op de beveiliging van een passwordmanager alleen vertrouwen.
Q: Wat kun je doen om de meeste risks op te vangen op de simpelste manier?
A: Als je het hebt over een standaard CMS dan is het updaten van de webapplicatie en plug-ins het eenvoudigste om de meeste risico’s af te vangen. Daarnaast zijn er veel risico’s af te vangen met .htaccess zoals bijvoorbeeld admin mappen af te schermen en voorkomen dat .php bestanden worden uitgevoerd in uploadmappen. Daarnaast is het belangrijk dat de web-applicatie over de juiste rechten beschikt, zoals bijvoorbeeld een aparte gebruiker instellen voor de upload mappen. Mochten kwaadwillende toch een bestand kunnen uploaden dan is het alsnog niet mogelijk om andere bestanden van de website gebruiker te raadplegen.
Q: Stel dat er malware gedetecteerd wordt op een site van jullie. Kunnen jullie daarin helpen? Welke stappen dienen dan gezet te worden?
A: In veel gevallen krijgen wij bij True een spammelding die aangeeft dat een website gehacked is. Indien het een SLA klant betreft, dan helpen wij bij het verwijderen van spam e-mails en onderzoeken we waar deze web-applicaties staan en maken we deze onbereikbaar. Daarentegen is de klant wel zelf verantwoordelijk voor zijn eigen webapplicatie. Het beveiligingsprobleem dient door de klant te worden opgelost (denk aan het updaten van applicaties). Uiteraard proberen we de klant hierbij zo goed mogelijk te ondersteunen.
De recording van het webinar kun je hier vinden. Nieuwsgierig naar wat True voor jouw organisatie kan betekenen als het gaat om online security? Download dan hier de security factsheet of neem direct contact met ons op.
E-book: Security & compliance voor digitale organisaties
Wereldwijd nemen digitale aanvallen in rap tempo toe en de nieuwe privacywet staat voor de deur. In dit e-book lees en leer je:
- praktische tips voor betere websecurity;
- wat de privacywet betekent voor webbouwers;
- wat je van een hostingprovider mag verwachten.
