Hoe verbeter je de online security van je website?

Verbeter je online security webinar
Verbeter je online security webinar
Home / Blog & Nieuws / Security / Hoe verbeter je de online security van je website?

Een recap van ons webinar over online security.

Vorige week organiseerde True het webinar ‘Verbeter je online security’. In dit webinar sprak ik met Eddie Bijnen (Sr. Security Engineer bij True) over actuele online gevaren waar websites, webshops en webapplicaties mee te maken kunnen krijgen. In deze blogpost lees je globaal waar het webinar over ging.

Bekijk onze dienst voor website security

 

DDoS-tiener

“We zien alsmaar meer redenen voor kwaadwillenden om aanvallen te plegen. Ons leven is steeds meer verbonden met het internet. We zijn altijd online met onze telefoons. Dat heeft veel voordelen. Maar dit biedt ook kansen voor verstoring”, vertelt Eddie.

Digitale aanvallen vinden aan de lopende band plaats. Als voorbeeld bespraken we een DDoS-tiener die even geen zin had in een schoolpdracht. Eddie: “Dat vind ik een mooi voorbeeld. Vroeger kwam je niet opdagen als je geen zin had om een toets te doen, maar dan werd je opgeschreven als afwezig. Tegenwoordig kun je voor een paar euro een botnet inzetten om een schoolsysteem plat te leggen.”

Volgens Eddie heeft de DDoS-tiener wat weg van een kwajongensstreek, maar wanneer het gaat om een bedrijf die hierdoor financieel verlies dan is het minder fijn. “Gelukkig zien we dat nog niet heel veel in Nederland, maar in China is het bijvoorbeeld veel gebruikelijker om je concurrent aan te vallen voor commercieel gewin”, aldus Eddie. Veel van dit soort aanvallen gebeuren bovendien geautomatiseerd, waardoor iedereen in feite slachtoffer kan worden.

Krantenkoppen van een actuele digitale aanvallen

 

Honeypots

Om inzicht en intelligentie in te winnen in het type aanvallen wordt er soms een honeypot ingezet, een soort lokmiddel voor hackers. Eddie: “Een computer doet zich voor als iemand die heel kwetsbaar is. Het is alsof hij al z’n deuren en ramen open heeft staan. Kwaadwillenden vinden dat interessant”. Zij willen naar binnen om te kijken of er iets interessants te vinden is.

De honeypot verzamelt vervolgens heel veel inzichten. Bijvoorbeeld in het aantal aanvallen, waar ze vandaan komen en wat hackers proberen te pakken. “Met een honeypot kun je zien welke scripts er worden geüpload, welke technieken er worden gebruikt, welke wachtwoorden men probeert. Met een honeypot kom je erachter wat hip is onder de hackers.”

Een van de dingen die Eddie nu veel ziet zijn is het misbruik maken van Internet of Things apparaten waar standaard wachtwoorden voor worden gebruikt. “Een maker van een met internet verbonden babycamera stelt bijvoorbeeld een standaard wachtwoord in en als dit bekend wordt zie je dat in één keer heel veel mensen het internet afscannen met dat wachtwoord.”

Deze personen verwachten dat er miljoenen van dat soort apparaten verkocht worden en dat er een aantal van die camera’s verbonden zijn met het internet. Genoeg in ieder geval om een groot botnet te creëren en daarmee gericht DDoS-aanvallen uit te voeren.

 

Video: Honeypot in actie

Hieronder zie je een voorbeeld van de honeypot die True inzet. Door zich voor te doen als kwetsbare server wordt deze regelmatig aangevallen. Mede op basis van de aanvallen en de inzichten die hieruit komen worden de securitydiensten van True verbeterd.

 

Advanced Security Platform

Vervolgens spraken we over het door True in-house ontwikkelde Advanced Security Platform. Dit platform was initieel een anti-DDoS platform. In de loop der jaren is het uitgebreid met extra beveiligingslagen.

Grofweg bestaat het Advanced Security Platform uit drie componenten: DDoS-mitigatie, een Web Application Firewall en Intrusion Detection.

Het Advanced Security Platform van True

DDoS-mitigatie

Eddie: “Elk type aanval vraagt om een specifieke aanpak. Het liefst wil je een DDoS-aanval zo vroeg mogelijk afvangen. Maar hoe vroeger je het opvangt hoe minder informatie je hebt om op te filteren. Je wilt je normale gebruikers niet in de weg zitten. Daarom moet je grenzen trekken wat normaal is voor je website en je gebruikers.”

True maakt voor klanten eerst een benchmark: wat is normaal qua bezoekersverkeer voor deze website en wat is abnormaal? Eddie: “Daarna kunnen we maatregelen nemen om een DDoS-aanval te mitigeren. Denk aan CAPTCHAS die ervoor zorgen dat een normale bezoeker wel toegang krijgt”

Web Application Firewall

De Web Application Firewall houdt vervolgens veelvoorkomende hackaanvallen tegen zoals SQL-injecties en cross-site scripting (XSS). Dit zijn aanvallen waarbij de aanvaller malafide scripts upload op een website, bijvoorbeeld via een formulier. “Bij cross-site scripting voegt een aanvaller bijvoorbeeld Javascript toe met als doel het verkrijgen van rechten van een admin.”

Een ander onderdeel waar het Advanced Security Platform tegen beschermt is path traversal. Je kunt dit zien als de mapjes op je computer. Die heb je ook op een server. Door steeds een mapje terug te gaan kun je uiteindelijk bij een map komen waar gegevens in staan die voor de hacker interessant zijn. “Een hacker kan bijvoorbeeld in de directory komen waar alle websites te zien zijn die op een server staan, maar ook waar rechten te kapen zijn van een belangrijke gebruiker”, aldus Eddie. Het Advanced Security Platform detecteert zowel SQL-injecties, cross-site scripting als path traversal aanvallen.

Intrusion Detection

Het laatste component binnen het Advanced Security Platform is het Intrusion Detection System. Dit een soort laatste check. Met deze module haalt het platform de meest actuele informatie uit open-source bronnen op. Eddie: “Is er bijvoorbeeld een lek in een nieuwe WordPress-versie? Dan kan de Intrusion Detection System dit zien.”

Eddie benadrukt dat Intrusion Detection een soort final check is binnen het Advanced Security Platform. “Eerst vangen we DDoS-aanval af, dan vangen we de injecties af en Intrusion Detection komt als laatst. Het verkeer wat nu naar de webservers gaat, laten we dan nog een keer bekijken. Is dat schoon? Is dat goed?”. Vanuit de logfiles wordt gekeken welke aanvallen veel voorkomen of vanuit welke IP-adressen de aanvallen komen. Die intelligentie wordt vervolgens gebruikt om het Advanced Security Platform verder te ontwikkelen.

 

Demonstratie van het platform

Na de uitleg van het Advanced Security demonstreerde Eddie hoe het platform in de praktijk werkt. We zagen een website waar een Javascript-code inclusief een afbeelding in een websiteformulier werd geplaatst. De code zorgde ervoor dat de sessiecookies van de persoon die op dat moment surfde overgenomen konden worden. Dus ook de code van iemand met een admin-functie. Met zo’n rol kan een hacker kwaadwillende dingen doen.

Dan een voorbeeld van dezelfde website, maar dan met het Advanced Security Platform erop geïnstalleerd. Na een poging om de SQL-injectie in te voeren kreeg de aanvaller een 403 error code te zien. Hiermee werd de aanval direct geweerd.

Video: Advanced Security Platform

Security Audits

Dus als je Advanced Security Platform afneemt ben je klaar? Eddie: “Nou nee. Het systeem kan niet interpreteren. Je hebt nog steeds mensen nodig die de flow van een website begrijpen.” Een hacker kan zich namelijk voordoen als een gebruiker. Het systeem merkt dan niets, want de actie is valide. Maar de schade die de hacker aan kan brengen kan enorm zijn. Menselijke interpretatie haalt dit soort risico’s er wel uit.

“We hebben jongens in dienst die kunnen denken als een kwaadwillende hacker. In opdracht (en met goedkeuring van de klant) voeren zij aanvallen uit op websites van klanten, ook wel een security audit genoemd. Aan het einde schrijven zij een rapport waarin staat welke dingen ze hebben gevonden en hoe je dit als ontwikkelaar kunt aanpakken”, aldus Eddie.

In zo’n security audit is ook een risico-indicatie te vinden waarin de kwetsbaarheid van het lek aan wordt getoond. Een lek dat grote schade aan kan brengen of gegevens van webbezoekers kan lekken heeft bijvoorbeeld een hoge prioriteit. Om er zeker van te zijn dat het lek echt gedicht is, wordt er na een aantal maanden nog een keer een audit uitgevoerd. Hierin wordt gecheckt of er nog steeds security-issues zijn.

Lees ook: WebAuthn: nooit meer inloggen met een wachtwoord

Kortom: het verbeteren van de online security van je website gaat over meer dan alleen technologie. Menselijke interpretatie is van minstens net zo’n groot belang en een goede aanvulling op je securitystrategie.

In deze blogpost las je een aantal onderwerpen die we tijdens het webinar ‘Verbeter je online security’ hebben besproken. Ben je benieuwd naar het 49 minuten durende webinar? Bekijk het webinar dan terug in onze Content Hub. Bezoek voor meer informatie de pagina’s Website Security en Security Audit. Dank aan onze vrienden van ICTRecht voor het mede mogelijk maken van het webinar.

True Ligan
Managed hosting sinds 2000