Bij het ontwikkelen van softwareapplicaties is de softwareontwikkelaar 1 van de zwakste schakels als het gaat om cyber security. Wanneer een ontwikkelaar geen ervaring heeft met secure coding practices zal dit terug te zien zijn in zijn code en de kwetsbaarheid daarvan. Kwetsbare code kan bijvoorbeeld lijden tot ongewenste toegang of een Denial of Service (DOS).

Doormiddel van het geven van een Secure Coding training kunnen softwareontwikkelaars worden getraind om hun code zo secure en veilig mogelijk te maken, zodat dit niet lijdt tot cyber incidenten. Kijk ook eens op onze trainingspagina voor meer informatie over de verschillende trainingen die Salt Cyber Security aanbiedt.

Het opsturen van een sleutel, wachtwoord of document over de email of andere tool zonder deze te versleutelen kan grote risico’s met zich meebrengen. Een kwaadwillende kan proberen tussen verzender en ontvanger te komen om alle data die tussen beide wordt verstuurd af te luisteren. Wanneer een wachtwoord niet versleuteld opgevangen wordt door een aanvaller, kan dit direct gebruikt worden voor een aanval waarbij data buit gemaakt wordt.

Wachtwoorden en gevoelige informatie dienen altijd versleuteld verstuurd te worden, zodat een ongewenst tussenpersoon deze informatie niet kan bekijken. De verstuurder en ontvanger kunnen hiervoor gebruik maken van een sleutel om informatie te versleutelen en ontsleutelen.

Ook het opslaan van wachtwoorden en informatie moet veilig gebeuren, zodat deze gegevens niet leesbaar zijn bij een eventueel data lek. Doormiddel van hashing en encryptie kun wachtwoorden en documenten worden beveiligd.

Salt heeft special een workshop ontworpen waar dieper wordt ingegaan op encryptie en het opslaan van gevoelige data.

Buiten kantoor werken kan een hoop beveiligingsrisico’s met zich meebrengen. Richtlijnen die voor kantoor gelden vervallen al snel wanneer buiten de deur gewerkt wordt. Denk hierbij aan:

• Wat gebeurt er als uw ontwikkelaars werken vanaf een open wifi? Open wifi netwerken bieden geen bescherming voor de gebruikers en de gegevens die zij versturen.
• Mag iedereen zomaar meekijken in bijvoorbeeld een publieke ruimte? “Shoulder Surfing” is het stiekem meekijken op iemand anders scherm.

Security policies kunnen helpen om deze problemen te verhelpen en zo een veiligere omgeving te creëren voor de softwareontwikkelaar. Denk hierbij aan het gebruik van een VPN voor een veilige verbinding met het bedrijfsnetwerk of het niet toe staan om te werken vanaf bepaalde locaties.

Bij het handmatig uitrollen van applicaties kunnen een hoop problemen ontstaan. De mens is de zwakste schakel en zo ook bij deze stap in het ontwikkelproces. Veel voorkomende problemen zijn:

• Geen security testing
• Terugkeer van oude “bugs” in de software

Een oplossing voor dit probleem is het gebruik maken van een CI/CD (Continuous intergration/Continuous delivery) pipeline. Die is een geautomatiseerd process wat kan worden aangeroepen wanneer er een wijziging gedaan wordt in de softwarecode. Tijdens dit proces kan code automatisch worden getest en gevalideerd voordat het naar de volgende omgeving wordt gezet. 

De consultants van Salt kunnen u helpen met het inrichten van een geautomatiseerd proces.

Software die niet getest wordt op beveiligingskwetsbaarheden kan een makkelijke prooi zijn voor kwaadwilligen (threat actors) die uw bedrijf financiële en/of reputatie schade willen toebrengen. Software wordt vaak getest ok functionaliteit en design, maar de belangrijkste stap wordt vaak vergeten, security.

Een gespecialiseerd securityteam kan doormiddel van een Pentest uw software testen op mogelijke beveiligingsproblemen. Deze tests kunnen op verschillenden manieren worden uitgevoerd, waar bij de ene test het team alle informatie heeft voordat de test begint (white box) en de andere manier is waar het team geen enkele informatie heeft over de software (black box). 

Zier meer op onze pagina pentesten over deze dienst.