Govcert: webapplicaties worden kwetsbaarder

Het aantal beveiligingsincidenten met webapplicaties neemt dramatisch toe. Dat schrijft Govcert in een document dat adviezen geeft over beveiliging van deze toepassingen. De toename heeft drie oorzaken, zo schrijft het computerincident-responsteam van de Nederlandse overheid. Ten eerste zijn er meer webapplicaties. Ten tweede komen problemen eerder aan het licht doordat gebruikers hun applicaties scherper in de gaten houden. Tenslotte maken kwaadwillenden vaker misbruik van kwetsbaarheden in de toepassingen.

Omdat een webapplicatie deel uitmaakt van een keten van ict-services, moet beveiliging zich niet alleen richten op de webapplicatie zelf, zo stelt Govcert. Beheerders moeten daarnaast ook aandacht schenken aan het netwerk, platformen en het identiteits- en toegangsbeheer. Govcert stelt een document beschikbaar waarin wordt beschreven hoe al deze lagen kunnen worden beveiligd: het Raamwerk Beveiliging Webapplicaties (RBW).

Het document beschrijft kwetsbaarheden en dreigingen en geeft praktische adviezen over maatregelen die kunnen worden genomen.

Besturingssysteem hardenen

Zo adviseert Govcert om het besturingssysteem zoveel mogelijk te 'hardenen'.  Dat is het uitkleden van het systeem, zodat zo min mogelijk functies overblijven die misbruikt kunnen worden. Dat kan bijvoorbeeld door zoveel mogelijk communicatiemogelijkheden uit te schakelen, de rechten van het systeem te minimaliseren en gebruik te maken van jailing. Dat is het creëren van een geïsoleerde omgeving, ook wel een zandbak genoemd, waarbinnen het besturingssysteem draait.

Een goede inrichting van de gedemilitariseerde zone (DMZ) van het netwerk is ook heel belangrijk, stelt Govcert. De DMZ is een apart stuk netwerk dat speciaal is bedoeld om er applicaties in onder te brengen die bereikbaar zijn vanaf het internet. Govcert adviseert onder andere om verschillende segmenten te creëren voor verschillende applicaties. Vervolgens kunnen regels worden opgesteld die bepalen welke routes verkeersstromen mogen nemen die onderweg zijn naar een bepaald type applicatie.

Daarnaast is het verstandig om een server minimaal twee netwerkaansluitingen te geven: een voor aansluiting op het productiegedeelte en een voor aansluiting op het beheergedeelte.

Aanvalspatronen herkennen

Applicaties kunnen onder andere worden beveiligd door een firewall op toepassingenniveau te plaatsen tussen client en server, door invoer van tevoren te controleren op allerlei vormaspecten en door http-verzoeken te vergelijken met een lijst van bekende aanvalspatronen. Zo voorkom je dat aanvallen die syntactisch volledig in orde zijn toch de webapplicatie bereiken.