In een wereld waarin we steeds afhankelijker worden van digitale oplossingen en alle gegevens die daarbij uitgewisseld worden, is het belangrijker dan ooit een website of applicatie te beveiligen tegen cyberaanvallen. Gelukkig zijn er tal van maatregelen die je kunt nemen. Zo zorg je ervoor dat er geen ongenodigde gasten binnendringen in jouw digitale omgeving.
Proactieve maatregelen voor je website security
Voor een goede beveiliging van alle gegevens, is het aan te raden om proactieve maatregelen te nemen. We hebben de belangrijkste maatregelen op gebied van website security op een rij gezet.
Houd systemen up-to-date
Dit is de meest basale maatregel. Zorg dat de deuren van jouw systemen gesloten blijven voor indringers. Dit doe je door servers, software en plugins regelmatig te updaten. Zo voorkom je dat systemen kwetsbaar worden door bijvoorbeeld een lek in de beveiliging.
Bij Cobytes hanteren we een zero-trust principe. We zorgen er voor dat altijd alle deuren gesloten zijn, tenzij er echt iets open moet voor onderhoud of iets dergelijks. Deze werkwijze zorgt voor de minste risico’s.
Hoe je voor consistentie in updates zorgt, is afhankelijk van hoe jouw IT-processen zijn ingeregeld. Maak je bijvoorbeeld gebruik van managed hosting? Dan regelt over het algemeen jouw hostingpartij dit voor je. Mocht je hierover twijfelen dan is het verstandig in gesprek te gaan met jouw hostingpartij over de huidige beveiligingsmaatregelen die genomen worden.
Gebruik SSL-certificaten
Implementeer betrouwbare SSL-certificaten. SSL-certificaten zorgen voor de beveiliging van gegevens die tussen de server en eindgebruikers worden uitgewisseld. Er zijn verschillende soorten SSL-certificaten. Let er daarom goed op dat je kiest voor het certificaat dat past bij jouw specifieke website of applicatie.
Beveiligingsheaders
Beveiligingsheaders zorgen voor beveiligde communicatie tussen de gebruiker en de server. Hiermee laat je de server weten welke scripts geladen mogen worden. Zo bescherm je de website of applicatie tegen veelvoorkomende aanvallen zoals cross-site scripting (XSS) en data-interceptie.
Een voorbeeld van een beveiligingsheader is de Content Security Policy (CSP) header. Wanneer je bijvoorbeeld gebruikers van jouw website toestaat om commentaren te plaatsen, kan iemand met kwade bedoelingen een poging doen om schadelijke scripts in een commentaar te plaatsen. De schadelijke scripts worden uitgevoerd wanneer andere gebruikers de commentaren lezen. Met alle gevolgen van dien…
Met een CSP-header geef je heel duidelijk aan welke bronnen (zoals scripts) geladen mogen worden. In dit geval kan je dus instellen dat alleen scripts die van je eigen server komen geladen mogen worden. Op deze manier blokkeer je de pogingen om schadelijke scripts van externe bronnen in te laden.
DNSSEC
DNSSEC staat voor Domain Name System Security Extensions. Het is een uitbreiding op het bekendere DNS, het systeem dat domeinnamen omzet naar IP-adressen die computers gebruiken om met elkaar te communiceren.
DNSSEC voegt een extra laag beveiliging toe. Dit gebeurt door het afgeven van een garantie dat de ontvangen DNS-antwoorden kloppend zijn en niet onderweg zijn veranderd door bijvoorbeeld hackers.
Je kunt het vergelijken met een brief die je verzegeld verstuurt, omdat je zeker wilt weten dat deze ongeopend en ongewijzigd blijft. Dit doet DNSSEC door ‘digitale handtekeningen’ te gebruiken die controleren of de informatie die je ontvangt echt is en niet is veranderd onderweg.
Hiermee voorkom je zogeheten “man-in-the-middle” aanvallen, waarbij een aanvaller de communicatie onderschept en omleidt naar een (bijna identieke) kwaadaardige website zonder dat de gebruiker dit merkt. DNSSEC verzekert je ervan dat je niet naar een malafide site wordt gestuurd binnen de domeinnaam die je in je browser ziet.
E-mailbeveiliging (SPF, DKIM, DMARC)
Op gebied van e-mailbeveiliging zijn er verschillende maatregelen aan te raden. Deze maatregelen helpen onder andere bij het voorkomen van e-mail spoofing en phishing.
SPF staat voor ‘Sender Policy Framework’. Dit is een e-mailvalidatiesysteem dat voorkomt dat andere servers jouw domein gebruiken om e-mails te verzenden, oftewel e-mail spoofing. SPF is in feite niets meer dan een lijstje met servers die toestemming hebben om mails te verzenden namens jouw domein. Dit lijstje neem je op in de DNS-instellingen van je domein. Wanneer een e-mailserver een binnenkomende e-mail ontvangt, wordt de SPF-record gecontroleerd om te zien of de e-mail afkomstig is van een geautoriseerde server. Is dit niet het geval? Dan kan de e-mail als verdacht worden gemarkeerd of geweigerd.
DKIM staat voor ‘DomainKeys Identified Mail’. Dit is een beveiligingsmethode die wordt gebruikt om de echtheid en authenticiteit van een e-mail te verifiëren met behulp van een public en private sleutel. Iedere mail wordt voorzien van de publieke sleutel, die vervolgens wordt geverifieerd tegen de private sleutel. Als deze match overheen komt is de afzender geverifieerd. Komt deze niet overeen of ontbreek te sleutel volledig? Dan kan er sprake zijn van spoofing.
DMARC staat voor ´Domain-based Message Authentication, Reporting and Conformance´. Het is een e-mailverificatieprotocol dat, net als SPF, helpt te verifiëren dat een e-mail daadwerkelijk afkomstig is van de domeinnaam die het beweert te zijn. Het verschil met SPF is dat deze methode een stuk uitgebreider is. DMARC gebruikt SPF en DKIM om te controleren of een e-mail legitiem is. Daarnaast zorgt DMARC ervoor dat mogelijk misbruik gerapporteerd wordt, zodat de website eigenaar hier over geïnformeerd wordt en actie kan ondernemen.
Web Application Firewall (WAF)
Een Web Application Firewall is als het ware een portier die alle gasten controleert voor ze een website of applicatie binnen kunnen gaan. WAF beschermt voornamelijk tegen diverse gemeenschappelijk webaanvallen, waaronder SQL-injectie en cross-site scripting. Ook voorkomt het dat iemand ongewenst scripts kan uploaden.
Pentests en security scans
Voorzorg is de beste zorg. Het inregelen van periodieke pentests en security scans is dan ook een essentieel onderdeel voor website security.
Wil je snel kunnen zien hoe jouw website ervoor staat op gebied van beveiliging? Bekijk dan de analyse op internet.nl. Deze basisanalyse geeft je al een goed beeld van de actuele status.
Met behulp van deze maatregelen identificeer en repareer je eventuele kwetsbaarheden tijdig.
Er wordt nog te vaak gedacht dat een website na livegang ‘klaar’ is. Maar het is zo belangrijk om te blijven zorgen voor goed onderhoud. Wij benadrukken bij onze klanten daarom veelvuldig het belang van periodiek pentesten en het uitvoeren van security scans. Dit is de enige manier om te controleren of de website of applicatie écht nog voldoende beveiligd is. Daarnaast ook om nieuwe bedreigingen, lekken en slimmer wordende hackers een stap voor te blijven. – Kevin Bentlage, CTO bij Cobytes
Beheer van configuratie en toegangsrechten
Zorg voor duidelijke afspraken over toegangsbeheer en rechten voor servers en gebruikte software. Configureer ook serverinstellingen veilig om ongeautoriseerde toegang te beperken.
Incident response plan
Hoe goed je ook voorbereid bent en hoeveel maatregelen je ook genomen hebt, er blijft helaas altijd een kans bestaan dat ongenodigde gasten jouw website binnendringen. Wil je in zo’n geval snel kunnen schakelen om de schade te beperken? Zorg dan voor een incident response plan. Tijdens het opstellen van dit plan bepaal je welke acties er ondernomen worden in geval van een hack. Door dit vooraf te bepalen én vast te leggen, weet iedereen direct wat er moet gebeuren wanneer het fout gaat.
Het belang van website security
Wanneer je onvoldoende maatregelen neemt om jouw website te beveiligen, loop je een groot risico. Cybercriminelen bedenken continu nieuwe manieren om websites en applicaties binnen te dringen. Het niet tijdig updaten van onder andere plugins en systemen maakt het nog een stuk gemakkelijker voor iemand met kwade bedoelingen. Dit heeft namelijk als gevolg dat je in feite de achterdeur van je website wagenwijd open laat staan. Een gemakkelijke kans om ongezien binnen te komen dus…
De gevolgen van een aanval kunnen variëren van het platleggen van een website tot het onderscheppen van privacygevoelige data. Buiten alle financiële schade die dit met zich meebrengt, heeft dit ook enorme gevolgen voor de reputatie van een website en het bedrijf erachter.
In de praktijk zien wij zien nog erg vaak dat er geen SPF is ingericht voor een domein. In feite kan er in dat geval vanaf iedere willekeurige server ter wereld gemaild worden namens dit domein. Wil je dit voorkomen? Dan is het echt van groot belang SPF in te regelen. – Kevin Bentlage, CTO bij Cobytes
Zorg voor de juiste maatregelen
Cybercriminelen zitten niet stil en zullen blijven proberen manieren te vinden om websites en applicaties binnen te dringen.
Wil jij zo min mogelijk risico lopen? Zorg dan dat jouw website security goed geregeld is. Welke proactieve maatregelen je het beste kan nemen is afhankelijk van de specifieke situatie. Over het algemeen zal jouw hostingpartij je hier goed over kunnen adviseren.
Echter, voor iedere situatie geldt dat pentesten een cruciaal onderdeel is van website security. Door regelmatig tests uit te voeren worden kwetsbaarheden tijdig opgespoord.
Wij adviseren in principe altijd de genoemde maatregelen. Dit vormt een stevige basis als bescherming van websites en applicaties. De meeste maatregelen kunnen wij ook voor onze klanten verzorgen. Is dit niet het geval? Dan proberen we altijd mee te denken of te adviseren. – Kevin Bentlage, CTO bij Cobytes.
Hoe het staat het met jouw website security?
Heb je vragen over website security of ben je benieuwd hoe het gesteld is met de security van jouw websites en applicaties? Neem dan gerust contact met ons op. We kijken graag met je mee!
keuzehulp
