Sebyde Web Applicatie Security Scan. 7 Januari 2014



Vergelijkbare documenten
Sebyde AppScan Reseller. 7 Januari 2014

Sebyde Security in een organisatie A3 Management Workshop. 7 Januari 2014

Sebyde Diensten overzicht

Sebyde Prijslijst

Sebyde diensten overzicht. 6 December 2013

Het Sebyde aanbod. Secure By Design. AUG 2012 Sebyde BV

Sebyde Privacy Onderzoek. 6 december 2013

Het Sebyde aanbod. Secure By Design

Security Assessment. Laat uw bedrijfsbeveiliging grondig testen

We maken inzichtelijk op welke punten u de beveiliging van uw applicaties en infrastructuur kunt verbeteren.

Factsheet SECURITY SCANNING Managed Services

Factsheet SECURITY SCANNING Managed Services

Zest Application Professionals Training &Workshops

Factsheet Penetratietest Informatievoorziening

Security Testing. Omdat elk systeem anderis

Behoud de controle over uw eigen data

Beknopte dienstbeschrijving beveiligen van Webapplicaties m.b.v. digitale certificaten en PKI

Trainingsoverzicht. 2 Januari 2014

ISSX, Experts in IT Security. Wat is een penetratietest?

Factsheet Penetratietest Webapplicaties

Nieuwe Privacywetgeving per Wat betekent dit voor u?

SCAN UW NETWERK SECURITY. Krijg een helder beeld van de kwetsbaarheden en voorkom schade

Welkom bij parallellijn 1 On the Move uur

Productopbouw. BrainCap levert cybersecurityoplossingen in 3 stappen.

Sebyde Training overzicht

Uw bedrijf beschermd tegen cybercriminaliteit

5W Security Improvement

HET CENTRALE SECURITY PLATFORM

Meldplicht Datalekken Boetebevoegdheid toezichthouder Sebyde Privacy Impact Programma

Factsheet Penetratietest Infrastructuur

Security Starts With Awareness

INFORMATIEBEVEILIGING VOOR WEBWINKELS

Databeveiliging en Hosting Asperion

Handleiding voor snelle installatie

1. EXECUTIVE SUMMARY 1.1 SCOPE EN WERKWIJZE

Secure Software Alliance

Informatiebrochure. SiteSafe Keurmerk. Beveiligingskeurmerk voor websites en webshops

Seminar Trends in Business & IT bij woningcorporaties. Informatiebeveiliging

Security Testing. Mark Bergman & Jeroen van Beek Platform voor Informatie Beveiliging 17 december 2009

Releasen met een druk op de knop: Met behulp van Continuous Delivery sneller uw doel bereiken

WHITEPAPER. Security Assessment. Neem uw security serieus en breng het tot een hoger niveau. networking4all.com / whitepaper / security assessments

Gratis bescherming tegen zero-days exploits

Sr. Security Specialist bij SecureLabs

Resultaten van de scan. Open poorten. High vulnerabilities. Medium vulnerabilites. Low vulnerabilities

Beveiliging en bescherming privacy

VERSIE 1.0 WOLFMEISTER VOF SERVICE LEVEL AGREEMENT UITGEREIKT DOOR: WOLFMEISTER IT. Graafseweg AL - s-hertogenbosch KVK

Meldplicht Datalekken Boetebevoegdheid toezichthouder Sebyde Privacy Impact Programma

Voorstel # ECC1501. Voorstel: #ECC info@socialelephant.nl Telefoon: +31(0) Auteur: Nico van der Zaan

BEKENDE AFZENDER (AIR FREIGHT SECURITY)

Ik neem u graag mee in een zoektocht naar de bron van datalekken, aan de hand van voorbeelden uit de praktijk. Ik werk namelijk bij SIG en daar

Aanbevelingen en criteria penetratietest

Voordat sprake kan zijn van een TPM, moet aan een aantal voorwaarden worden voldaan:

Meldplicht Datalekken Boetebevoegdheid toezichthouder Sebyde Privacy Impact Programma

de hackende rekenkamer De impact van een onderzoek naar Informatiebeveiliging

Aanbeveling analysemethode voor het Informatiebeveiligingsbeleid van de HVA. Arjan Dekker

HET LICHT OP WEBHOSTING EN WEBSITE- SUPPORT

Automate Security. Get proactive.

IBM Gebruiksvoorwaarden SaaS Specifieke Voorwaarden voor Aanbieding. IBM Cloud Adoption and Deployment Services

IT Security in de industrie

Jacques Herman 21 februari 2013

Inhoud Aanmelden Aanmelden Abonnement opzeggen Inloggen... 3

Factsheet Outsourcing

DIGID-AUDIT BIJ ZORGPORTAAL RIJNMOND

Dainamics Webdesign - Contract Onderhoudsabonnement

m.b.v. digitale certificaten en PKI Versie: mei 2002 Beknopte Dienstbeschrijving beveiligen van VPN s

Informatiebeveiliging voor gemeenten: een helder stappenplan

Asset 1 van 4. Data Recovery as a Service. Gepubliceerd op 9 november 2015

Beveilig klanten, transformeer jezelf

Dicht het security gat - Microsoft SharePoint, OCS, en Exchange met Secure File Sharing Heeft uw organisatie ook een Dropbox probleem?

Training en workshops

Toelatingsassessment. Portfolio. Assessment t.b.v. toelating tot de deeltijdopleiding HBO-ICT. Naam Adres Telefoon Datum

Rekenkamer Arnhem. Zaaknr: Betreft: Rekenkamerbrief vervolgonderzoek informatieveiligheid en privacy. 16 mei Geachte raadsleden,

Project Fasering Documentatie Applicatie Ontwikkelaar

IBM Gebruiksvoorwaarden SaaS Specifieke Voorwaarden voor Aanbieding. IBM Application Security on Cloud

Privacy Bijsluiter Digitale Leermiddelen Basisonderwijs (Dr. Digi), Noordhoff Uitgevers

Informatiebeveiliging in de 21 e eeuw

IBM; dataopslag; storage; infrastructuur; analytics; architectuur; big data

Veiligheidsscan Gebruikershandleiding

Voor onder meer volgende preventieve diensten hebben wij sterke partners : Doopput Kontich

DigiNotar certificaten

Beveiligingsmaatregelen voor een doeltreffende Cyber verdediging

TuinHulp.com, Nieuwe Webservice voor Hoveniersbedrijven 2014

Service Level Agreement

H t ICT -Beveili iligings- assessment DigiD & Informatiebeveiliging

Doeltreffende CRM

WEBAPPLICATIE-SCAN. Kiezen op Afstand

De wetgeving vraag afstemming over de onderwerpen:

Uw tandartspraktijk. Een goudmijn voor internetcriminelen

Worry Free Business Security 7

HP ITSM Assessment Services HP Services

MEER AMBACHT DAN FABRIEK Data-Analyse en Process Mining Support

Omschrijving # Prijs Totaal Setup objecten en URL s Setup Probe / vprobe Setup Canary / vcanary

Informatiebeveiligingsbeleid. Stichting Pensioenfonds Chemours

Mensink ICT Advocatuur Nieuwsbrief Oktober 2013

Webdesign voor ondernemers

Hoe bouw je een goede website/webshop?

DATA DISCOVERY MET EXACT INSIGHTS. Astrid van den Oever & Erik de Meijer

Samenwerken met MKBackup

Transcriptie:

Sebyde Web Applicatie Security Scan 7 Januari 2014

Even voorstellen Sebyde BV is Certified IBM Business Partner voor security systems, gespecialiseerd in applicatie security en security awareness. We leveren diensten en producten om webapplicaties / websites veilig te maken en het bewustzijn op het gebied van IT security te verhogen. We helpen bedrijven bij het verlagen van de risico s en het beschermen van hun bedrijfsgegevens en reputatie. We leveren hiervoor de volgende diensten: 1. Web Applicatie Security Scan 2. IBM Authorised reseller 3. Security Awareness training + specialistische Security Certificeringen 4. Security Assessments Ad 1. We controleren websites en andere web applicaties op de zwakke punten in de beveiliging. De scan van de websites wordt uitgevoerd met behulp van IBM Security Appscan, het beste product wat hiervoor ingezet kan worden. In een gedetailleerd rapport kan de klant vervolgens lezen waar de zwakke punten in de beveiliging van de website zitten. We geven advies over hoe die kwetsbaarheden verholpen kunnen worden door middel van aanpassingen in de programmacode van de website. Ad 2. Bedrijven die het security-testen van hun web applicaties in eigen beheer willen houden kunnen bij Sebyde BV terecht voor een advies over de aan te schaffen eigen versie van de IBM Security AppScan scanning tool, de implementatie en de training. Sebyde BV is een Certified IBM Reseller. Ad 3. Security Awareness training geeft de deelnemers een goed overzicht over de verschillende aspecten van IT-Security. Tijdens 2-3 halve-dag-sessies maken we de deelnemers bewust van de risico s van het werken met informatiesystemen en vertrouwelijke (bedrijfs)informatie. Na deze training begrijpen de deelnemers de security aspecten en zullen die meenemen tijdens hun dagelijkse activiteiten. Naast de Security Awareness training bieden wij ook zeer specialistische trainingen aan op het gebied van security. Deze trainingen worden verzorgd door een van s werelds grootste onafhankelijke aanbieders van IT trainingen en leiden u op voor de officiële EC-Council certificeringen. Ad 4. Sebyde Security Assessments zijn verschillende vormen van (security) assessments die wij kunnen uitvoeren. Hierbij denken we bijvoorbeeld aan de volgende mogelijkheden: Sebyde Security Quick Assessment Netwerk Penetratie test Systeem test Sebyde Privacy onderzoek 2

Sebyde Web Applicatie Security Scan (WASS) Door de groeiende populariteit van het gebruik van het Internet zijn er de afgelopen jaren steeds meer software applicaties in gebruik genomen die vanaf het Internet eenvoudig toegankelijk zijn (Webapplicaties). Hierbij kunt u bijvoorbeeld denken aan applicaties die binnen een organisatie gebruikt worden om op afstand te kunnen werken. Ook oudere, bestaande softwareapplicaties werden vaak toegankelijk gemaakt vanaf het Internet door ze een web-interface te geven. Een ander goed voorbeeld van een populaire webapplicatie is een website. Vroeger was een website niet meer dan een digitale folder over een bedrijf of organisatie. Tegenwoordig zijn websites volwaardige interactieve applicaties die de bezoekers toegang geven tot informatie over een bedrijf, producten of personen. Deze gegevens zijn als database aan de website gekoppeld en kunnen geraadpleegd worden door de bezoekers van de website nadat ze zijn ingelogd met bijvoorbeeld een username/password combinatie. Deze ontwikkeling heeft echter ook een keerzijde. Het maken van websites werd populair en er verschenen allerlei eenvoudige hulpmiddelen om fraaie websites te maken die er op het eerste gezicht wel heel mooi uitzien, maar in feite een groot security-risico opleveren. Doordat bij het bouwen van die websites niet of nauwelijks rekening is gehouden met de security is het vaak erg eenvoudig om in zo n website in te breken en ongeautoriseerd toegang te krijgen tot achterliggende systemen en (vertrouwelijke) bedrijfsgegevens. Onderzoek wijst uit dat 80% van de webapplicaties minimaal één kwetsbaarheid heeft. Hackers weten dit uiteraard ook en hebben in de afgelopen jaren daarom hun aandacht gericht op het hacken van webapplicaties in plaats van het hacken van infrastructuur en netwerken. Dit verklaart dat momenteel 75% van alle hacks worden uitgevoerd via de websites van bedrijven en organisaties. De kranten staan vol met voorbeelden. Er bestaan momenteel duizenden hack-methodieken die worden gebruikt om in te breken. Sommige zijn zeer populair, zoals bijvoorbeeld SQL-Injection en Cross Site Scripting. Alleen deze twee methodieken zijn al goed voor 60% van alle hacks. Een webapplicatie / Website kan door middel van geavanceerde scan-software gecontroleerd worden op kwetsbaarheden. Het is uiteraard belangrijk dat die scan uitgevoerd wordt met behulp van een kwalitatief goede scan-tool die geen kwetsbaarheden over het hoofd ziet. IBM Security AppScan is de meest geavanceerde tool die voor het uitvoeren van een Security Scan beschikbaar is. Het Gartner rapport van Juli 2013 geeft dit wederom aan. Zie: (http://www.gartner.com/technology/reprints.do?id=1-1gt3bkq&ct=130702&st=sb 3

Onze aanpak: Sebyde Security Cycle Zoals hierboven beschreven speelt de interne beveiliging van web applicaties een belangrijke rol tegen ongewenste aanvallen van buitenaf en de bescherming van bedrijfsgegevens. Om uw bedrijfsgegevens goed te beschermen dienen uw web applicaties daarom van binnen uit, in de broncode, beschermd te zijn tegen inbraakpogingen. Via een Scan kunt u een web applicatie laten scannen of er voldoende bescherming tegen bedreigingen van buitenaf wordt geboden. Sebyde BV levert een Web Applicatie Security Scan waarbij met behulp van IBM Security AppScan een Webapplicatie / Website gescand wordt op kwetsbaarheden in de beveiliging. Na de scan ontvangt de klant een rapport met gedetailleerde informatie over de gevonden kwetsbaarheden en een advies hoe die kwetsbaarheden door middel van veranderingen in de sourcecode van de applicatie gerepareerd kunnen worden. Sebyde Security Cycle 4

1. Controleren; het scannen van de web applicatie. Met behulp van IBM Security AppScan wordt uw software getest op kwetsbaarheden tijdens een serieuze simulatie van een externe aanval. Deze gecontroleerde aanval gebeurt na overleg met de klant op een vooraf overeengekomen tijd. Tijdens deze scan wordt de webapplicatie onderworpen aan een groot aantal hack technieken. Kwetsbaarheden in de webapplicatie komen in deze fase onmiddellijk boven water. Het uitvoeren van een scan met behulp van IBM Security Appscan bestaat uit de volgende fases: Explore fase : In deze fase onderzoekt Appscan de applicatie en inventariseert welke pagina s er zijn, hoeveel elementen er onderzocht moeten worden en wat de onderliggende technologieën zijn. Vervolgens zal IBM Security Appscan aan de hand van de gevonden artifacten bepalen welke testen uitgevoerd moeten worden. Test fase : Dit is de daadwerkelijke test van alle elementen aan de hand van de eerder gedane explore 2. Evalueren van de uitkomsten van de scan. Na de scan wordt er een rapport geproduceerd waarin de kwetsbaarheden van uw webapplicatie duidelijk worden uitgelegd. Naast een executive summary bevat dit rapport ook gedetailleerde informatie over de gevonden kwetsbaarheden en hoe ze worden veroorzaakt. U weet dan dus precies hoe er in uw webapplicatie ingebroken kan worden. 3. Analyseren hoe de gevonden lekken moeten worden gedicht. In deze fase bespreken we met de klant welke maatregelen er genomen moeten worden om de kwetsbaarheden op te lossen en wat de prioriteiten zijn. Zijn er wellicht andere factoren die een positieve rol kunnen spelen bij de veiligheid van uw applicaties en gegevens? 4. Realiseren; aanpassen van de programmatuur. Om de kwetsbaarheden te laten verdwijnen zijn er aanpassingen nodig in de broncode zodat uw web applicaties van binnenuit beveiligd zijn tegen inbraken van buitenaf. In de praktijk zal dit werk gedaan worden door de partij die de webapplicatie heeft gebouwd. Sebyde adviseert hierbij. Indien noodzakelijk kan er via Sebyde BV ook een externe programmeur ingeschakeld worden om de gevonden kwetsbaarheden op te lossen. 5

Sebyde Web Applicatie Security Scan De Sebyde Web Applicatie Security Scan bestaat uit de stappen 1-2-3 van bovengenoemde cycle. De gegevens van de scan worden geëvalueerd, geanalyseerd en met u besproken. U ontvangt een rapport met gedetailleerde gegevens over de kwetsbaarheden van uw web applicatie, op welke manieren die kwetsbaarheden misbruikt kunnen worden om in te breken en een advies over de te nemen maatregelen in de sourcecode om de gevonden kwetsbaarheden te repareren. Hoe gaan we te werk? De klant tekent een vrijwaringsverklaring om Sebyde BV toestemming te geven de scan uit te voeren. De klant zal vervolgens ter voorbereiding een intake formulier invullen. Dit intake formulier bevat een aantal vragen over de applicatie die gescand moet worden. Dit zijn vragen over de voorzorgsmaatregelen (Backups gemaakt? Helpdesk ingelicht? Monitoring-systemen uitgeschakeld?) en de scan-procedures. Sebyde neemt contact op met de web-bouwer en (indien van toepassing) met de hosting partij om ze in te lichten over het feit dat de scan gaat plaatsvinden. Webbouwers worden betrokken bij de scan omdat de informatie die de scan oplevert van grote waarde is voor het bouwen van toekomstige applicaties. Dag 1: Voorafgaand aan de scan organiseren we een voorbespreking waarin het Intake formulier wordt doorgesproken. Hierbij worden eventuele onduidelijkheden verklaard. Na deze voorbespreking wordt de actuele scan uitgevoerd. De scan wordt uitgevoerd met IBM Security AppScan. Dag 2: De tweede dag worden de scangegevens geëvalueerd en het rapport geproduceerd. Dag 3: Tijdens een afrondingsgesprek bespreken we het rapport (Executive Summary en Remediation tasks) en geven advies over de te nemen stappen. Samenvattend zijn dit de taken uit te voeren door Sebyde BV: Het organiseren van een kick-off meeting over de scan procedures en nadere toelichting van de intake vragen (dag 1). Scannen van de web applicatie met behulp van IBM Security AppScan (dag 1). Maken van een gedetailleerd rapport over de gevonden kwetsbaarheden en hoe deze op te lossen (dag 2). Organiseren van een overleg om de resultaten van de scan te bespreken (dag 3). 6

Sebyde Keurmerk Na het uitvoeren van een Webapplicatie security scan rapporteren we in detail over de kwetsbaarheden en geven aanbevelingen hoe die gevonden kwetsbaarheden gerepareerd kunnen worden. De klant kan deze aanbevelingen opvolgen en daarna een controlescan door ons laten uitvoeren tegen een sterk gereduceerd tarief. Indien na deze tweede (controle)scan blijkt dat de applicatie geen High en/of Medium severity kwetsbaarheden meer bevat dan krijgt de applicatie een certificaat en een keurmerk. Dit keurmerk wordt bij ons geregistreerd. Het keurmerk is een jaar geldig. De klant mag dit keurmerk op de website zetten om aan hun relaties te laten zien dat hun website gecontroleerd is en veilig bevonden. Eenmalige scan - Abonnement - Knipkaart? Omdat hack-methodieken veranderen en omdat bedrijven hun website regelmatig voorzien van nieuwe pagina s, etc. hebben we ook abonnementsvormen waarbij de Security scan op periodieke basis (2 x per jaar, 4 x per jaar, 12 x per jaar) wordt uitgevoerd. Hiervoor gelden uiteraard zeer aantrekkelijke kortingen. Tevens beschikken we over een knipkaart waarbij een aantal scans (2-3-5) tegen aantrekkelijke kortingen aangekocht kunnen worden en op afroep uitgevoerd zullen worden. Hierbij kunt u bijvoorbeeld denken aan het laten scannen van een applicatie in verband met het uitkomen van een nieuwe release. Voordelen van de Sebyde Web applicatie Security Scan: Snel in te regelen / uit te voeren Goedkoper dan manueel testen Weinig kennis nodig van de te scannen applicatie Herhaalbaar. 7

Contact gegevens Sebyde Sebyde BV Legerland 56 1541 NG Koog aan de Zaan Telefoon: 06-53233269 Email: info@sebyde.nl www.sebyde.nl LinkedIn: Twitter: Facebook: www.linkedin.com/company/sebyde-bv www.twitter.com/sebydebv www.facebook.com/sebydebv 8

2024 © DocPlayer.nl Privacy Policy | Terms of Service | Feedback