Principes

• Door het least privilege principe toe te passen, verleen je gebruikers (en systemen) alleen de toegang die ze nodig hebben. Door niet meer rechten toe te wijzen dan strikt noodzakelijk, verklein je de impact van een gehackt account. Je staat pas extra rechten toe wanneer deze nodig zijn en neemt ze daarna weer weg.
• Met het defense in depth principe tref je meerdere lagen van maatregelen op security events: preventieve, detectieve en reactieve. Door op al deze lagen actief te zijn, verklein je de kans dat een kwade actor serieuze schade kan aanrichten.
• Door middel van het trust nothing principe configureer je effectief begrenzingen, validatie, whitelisting en ‘ontsmetting’. Dit houdt in dat het duidelijk is welke omgeving vertrouwd is, in welke er extra maatregelen moeten worden getroffen, of data veilig gebruikt kan worden en of een aanvraag beantwoord moet worden.
• Met economy of mechanism ontwerp je zo eenvoudig mogelijk (oftewel: KISS), is security een zo eenvoudig mogelijk mechanisme, zijn er makkelijke controles en bevestigingen en worden beproefde veilige oplossingen hergebruikt. Hiermee blijven kosten onder controle en wordt de kans op falen geminimaliseerd.
• Door Fail Safe-standaarden te gebruiken, moeten standaardconfiguraties veilig zijn en wordt een systeem bij een mislukte beveiligde transactie teruggebracht in een secure state. Dit houdt in dat de kans op onveilige configuraties aanzienlijk verkleind wordt en dat veilige configuraties niet terugvallen in een onveilige staat.
• Openheid van ontwerp: beveiliging mag niet afhangen van geheimhouding; vertrouw niet op security through obscurity; houd wachtwoorden en sleutels geheim versleuteld.
• Door het ontwerp van je applicaties open te maken, hangt de beveiliging niet af van geheimhouding en word je verplicht om wachtwoorden en sleutels geheim te versleutelen.

Actiepunten

We hebben nu gezien dat er heel wat gedaan kan worden om de stand van Security Configuratie te verbeteren in een organisatie. Het is misschien nog wat onduidelijk of ongrijpbaar hoe je hier nu precies mee aan de slag kunt. Daarom heb ik hier een paar technische actiepunten op een rijtje gezet, die je mee kunt geven aan engineers.

• Gebruik secure browser cookies: secure flag, httponly flag, alleen toegankelijk maken voor een minimale set hostnames en paths, expiry.
• Gebruik security HTTP headers: X-Content-Type-Options, Content-Security-Policy (CSP), Referer-Policy, Strict-Transport-Security (HSTS), Permissions-Policy, Cross-Origin-Resource Sharing Policy.
• Gebruik TLS/SSL: TLS 1.3, validatie met SSL Labs.
• Vind dependencies met vulnerabilities door middel van geautomatiseerde tools in een CI-pipeline.

• Pas overige hardening toe: voorkom webserverfingerprinting, hashing en salting, secret management, redirect http naar https, encryption-at-rest, caching uitschakelen op pagina’s met gevoelige info.

Het optimaliseren en toepassen van Security Configuratie leidt tot kostenbesparingen en een hogere graad van cyberweerbaarheid. Wanneer de aanbevelingen en aanwijzingen een te grote stap blijken om te implementeren binnen je organisatie, kun je de specialisten van SALT Cybersecurity inschakelen. Leer meer over onze diensten.