Security Assessment

Security Assessment

Softwareontwikkeling

Softwareontwikkeling

Hoe secure is uw bedrijf?

Applicatieontwikkeling en -beveiliging gaan hand in hand. Security zou een wezenlijk onderdeel van applicatieontwikkeling moeten zijn. Maar wat zijn de feiten?

10

De professionele services sector is de meest aangevallen en de op een na meest ingebroken sector.

0 %

van inbraken is het gevolg van System Intrusion, simpele aanvallen op webapps en Social Engineering.

0 %

van aanvallers heeft een financieel motief.

Cijfers afkomstig uit Data Breach Investigations Report 2022 van Verizon.

Softwareontwikkeling is

Softwareontwikkeling is

programmeren spyware voorkomen debuggen secure-coding compileren least-privilege DevOps dependency scanning

programmeren spyware voorkomen debuggen secure-coding compileren least-privilege DevOps dependency scanning

Bij het ontwikkelen van softwareapplicaties is de softwareontwikkelaar 1 van de zwakste schakels als het gaat om cyber security. Wanneer een ontwikkelaar geen ervaring heeft met secure coding practices zal dit terug te zien zijn in zijn code en de kwetsbaarheid daarvan. Kwetsbare code kan bijvoorbeeld lijden tot ongewenste toegang of een Denial of Service (DOS).

Doormiddel van het geven van een Secure Coding training kunnen softwareontwikkelaars worden getraind om hun code zo secure en veilig mogelijk te maken, zodat dit niet lijdt tot cyber incidenten. Kijk ook eens op onze trainingspagina voor meer informatie over de verschillende trainingen die Salt Cyber Security aanbiedt.

Het opsturen van een sleutel, wachtwoord of document over de email of andere tool zonder deze te versleutelen kan grote risico’s met zich meebrengen. Een kwaadwillende kan proberen tussen verzender en ontvanger te komen om alle data die tussen beide wordt verstuurd af te luisteren. Wanneer een wachtwoord niet versleuteld opgevangen wordt door een aanvaller, kan dit direct gebruikt worden voor een aanval waarbij data buit gemaakt wordt.

 

Wachtwoorden en gevoelige informatie dienen altijd versleuteld verstuurd te worden, zodat een ongewenst tussenpersoon deze informatie niet kan bekijken. De verstuurder en ontvanger kunnen hiervoor gebruik maken van een sleutel om informatie te versleutelen en ontsleutelen.

 

Ook het opslaan van wachtwoorden en informatie moet veilig gebeuren, zodat deze gegevens niet leesbaar zijn bij een eventueel data lek. Doormiddel van hashing en encryptie kun wachtwoorden en documenten worden beveiligd.

 

Salt heeft special een workshop ontworpen waar dieper wordt ingegaan op encryptie en het opslaan van gevoelige data.

Buiten kantoor werken kan een hoop beveiligingsrisico’s met zich meebrengen. Richtlijnen die voor kantoor gelden vervallen al snel wanneer buiten de deur gewerkt wordt. Denk hierbij aan:

 

  • Wat gebeurt er als uw ontwikkelaars werken vanaf een open wifi? Open wifi netwerken bieden geen bescherming voor de gebruikers en de gegevens die zij versturen.
  • Mag iedereen zomaar meekijken in bijvoorbeeld een publieke ruimte? “Shoulder Surfing” is het stiekem meekijken op iemand anders scherm.
 

Security policies kunnen helpen om deze problemen te verhelpen en zo een veiligere omgeving te creëren voor de softwareontwikkelaar. Denk hierbij aan het gebruik van een VPN voor een veilige verbinding met het bedrijfsnetwerk of het niet toe staan om te werken vanaf bepaalde locaties.

Bij het handmatig uitrollen van applicaties kunnen een hoop problemen ontstaan. De mens is de zwakste schakel en zo ook bij deze stap in het ontwikkelproces. Veel voorkomende problemen zijn:

 

  • Geen security testing
  • Terugkeer van oude “bugs” in de software
 

Een oplossing voor dit probleem is het gebruik maken van een CI/CD (Continuous intergration/Continuous delivery) pipeline. Die is een geautomatiseerd process wat kan worden aangeroepen wanneer er een wijziging gedaan wordt in de softwarecode. Tijdens dit proces kan code automatisch worden getest en gevalideerd voordat het naar de volgende omgeving wordt gezet. 

 

De consultants van Salt kunnen u helpen met het inrichten van een geautomatiseerd proces.

Software die niet getest wordt op beveiligingskwetsbaarheden kan een makkelijke prooi zijn voor kwaadwilligen (threat actors) die uw bedrijf financiële en/of reputatie schade willen toebrengen. Software wordt vaak getest ok functionaliteit en design, maar de belangrijkste stap wordt vaak vergeten, security.

 

Een gespecialiseerd securityteam kan doormiddel van een Pentest uw software testen op mogelijke beveiligingsproblemen. Deze tests kunnen op verschillenden manieren worden uitgevoerd, waar bij de ene test het team alle informatie heeft voordat de test begint (white box) en de andere manier is waar het team geen enkele informatie heeft over de software (black box). 

 

Zier meer op onze pagina pentesten over deze dienst.

Waarom kiezen voor SALT?

5/5

Bij het ontwikkelen van softwareapplicaties is de softwareontwikkelaar 1 van de zwakste schakels als het gaat om cyber security. Wanneer een ontwikkelaar geen ervaring heeft met secure coding practices zal dit terug te zien zijn in zijn code en de kwetsbaarheid daarvan. Kwetsbare code kan bijvoorbeeld lijden tot ongewenste toegang of een Denial of Service (DOS).

Doormiddel van het geven van een Secure Coding training kunnen softwareontwikkelaars worden getraind om hun code zo secure en veilig mogelijk te maken, zodat dit niet lijdt tot cyber incidenten. Kijk ook eens op onze trainingspagina voor meer informatie over de verschillende trainingen die Salt Cyber Security aanbiedt.

Het opsturen van een sleutel, wachtwoord of document over de email of andere tool zonder deze te versleutelen kan grote risico’s met zich meebrengen. Een kwaadwillende kan proberen tussen verzender en ontvanger te komen om alle data die tussen beide wordt verstuurd af te luisteren. Wanneer een wachtwoord niet versleuteld opgevangen wordt door een aanvaller, kan dit direct gebruikt worden voor een aanval waarbij data buit gemaakt wordt.

 

Wachtwoorden en gevoelige informatie dienen altijd versleuteld verstuurd te worden, zodat een ongewenst tussenpersoon deze informatie niet kan bekijken. De verstuurder en ontvanger kunnen hiervoor gebruik maken van een sleutel om informatie te versleutelen en ontsleutelen.

 

Ook het opslaan van wachtwoorden en informatie moet veilig gebeuren, zodat deze gegevens niet leesbaar zijn bij een eventueel data lek. Doormiddel van hashing en encryptie kun wachtwoorden en documenten worden beveiligd.

 

Salt heeft special een workshop ontworpen waar dieper wordt ingegaan op encryptie en het opslaan van gevoelige data.

Buiten kantoor werken kan een hoop beveiligingsrisico’s met zich meebrengen. Richtlijnen die voor kantoor gelden vervallen al snel wanneer buiten de deur gewerkt wordt. Denk hierbij aan:

 

  • Wat gebeurt er als uw ontwikkelaars werken vanaf een open wifi? Open wifi netwerken bieden geen bescherming voor de gebruikers en de gegevens die zij versturen.
  • Mag iedereen zomaar meekijken in bijvoorbeeld een publieke ruimte? “Shoulder Surfing” is het stiekem meekijken op iemand anders scherm.
 

Security policies kunnen helpen om deze problemen te verhelpen en zo een veiligere omgeving te creëren voor de softwareontwikkelaar. Denk hierbij aan het gebruik van een VPN voor een veilige verbinding met het bedrijfsnetwerk of het niet toe staan om te werken vanaf bepaalde locaties.

Bij het handmatig uitrollen van applicaties kunnen een hoop problemen ontstaan. De mens is de zwakste schakel en zo ook bij deze stap in het ontwikkelproces. Veel voorkomende problemen zijn:

 

  • Geen security testing
  • Terugkeer van oude “bugs” in de software
 

Een oplossing voor dit probleem is het gebruik maken van een CI/CD (Continuous intergration/Continuous delivery) pipeline. Die is een geautomatiseerd process wat kan worden aangeroepen wanneer er een wijziging gedaan wordt in de softwarecode. Tijdens dit proces kan code automatisch worden getest en gevalideerd voordat het naar de volgende omgeving wordt gezet. 

 

De consultants van Salt kunnen u helpen met het inrichten van een geautomatiseerd proces.

Software die niet getest wordt op beveiligingskwetsbaarheden kan een makkelijke prooi zijn voor kwaadwilligen (threat actors) die uw bedrijf financiële en/of reputatie schade willen toebrengen. Software wordt vaak getest ok functionaliteit en design, maar de belangrijkste stap wordt vaak vergeten, security.

 

Een gespecialiseerd securityteam kan doormiddel van een Pentest uw software testen op mogelijke beveiligingsproblemen. Deze tests kunnen op verschillenden manieren worden uitgevoerd, waar bij de ene test het team alle informatie heeft voordat de test begint (white box) en de andere manier is waar het team geen enkele informatie heeft over de software (black box). 

 

Zier meer op onze pagina pentesten over deze dienst.

Lees de whitepaper

I am text block. Click edit button to change this text. Lorem ipsum dolor sit amet, consectetur adipiscing elit. Ut elit tellus, luctus nec ullamcorper mattis, pulvinar dapibus leo.

Schakel experts in

+31 (0)20-3030580

ma – vr 8:30-17:00

Email info@salt-security.com