Applicatiebeveiliging meten en bewaken 

 
Download Article

In een wereld waarin alles steeds meer digitaal met elkaar in verbinding staat, is informatie het meest waardevolle bedrijfsmiddel. Webapplicaties vormen de toegangspoort tot informatie en bestaan al lang niet meer alleen uit een eenvoudige browserinterface die kan worden geopend op een laptop of desktopcomputer. Dankzij het gebruik van smartphones en smart-TV’s (televisies met een Wi-Fi of netwerkverbinding) en apparaten zijn applicaties overal toegankelijk.

Hierdoor rust een grote verantwoordelijkheid op de schouders van de beveiligingsgemeenschap, die de belangen van belanghebbenden en de informatie die wordt uitgewisseld via webapplicaties moet beschermen. De beveiligingsgemeenschap1 heeft aanbevolen werkwijzen gepubliceerd, evenals richtlijnen en checklists voor het inbouwen van beveiliging in webtoepassingen. Een van de aanbevolen werkwijzen is bijvoorbeeld specifiek voor te schrijven hoe een SQL-injectie moet worden afgehandeld of hoe cross-site scripting te verwerken in het ontwerpdocument zelf, zodat de beveiliging al in de code is ingebouwd op het moment dat ontwikkelaars het ontwerp implementeren. Beveiliging van de System Development Life Cycle (SDLC) is geen losstaande activiteit meer.

Hoe kunt u de effectiviteit van applicatiebeveiliging waarborgen? Hoe wordt het effect van beveiligingsinitiatieven die de risico’s en dreigingen van hackers minimaliseren gemeten? In dit artikel wordt geprobeerd meetgegevens te definiëren voor het meten van de effectiviteit van applicatiebeveiliging in een organisatie.

De Meetgegevens Definiëren

Meetgegevens zijn de belangrijkste indicatoren voor managementinitiatieven in elke organisatie. Organisaties ervaren een geleidelijke, maar aanhoudende toename in de behoefte aan informatiebeveiliging binnen de organisatie. In veel organisaties heeft informatiebeveiliging een redelijke mate van ontwikkeling bereikt. De beveiliging van webapplicaties, als onderdeel van het algehele informatiebeveiligingsprogramma, speelt een belangrijke rol bij het beveiligen van waardevolle informatie. Het beste moment om meetgegevens te definiëren is daarom aan het begin van het applicatiebeveiligingsprogramma.

De best mogelijke benadering is:

  • de meetgegevens bepalen.
  • technieken voor gegevensverzameling bepalen.
  • instemming van belangrijke belanghebbenden verkrijgen.
  • de meetgegevens rapporteren aan belangrijke belanghebbenden op afgesproken tijdstippen.

De geselecteerde meetgegevens moeten nuttig zijn voor het meten van de effectiviteit van het beveiligingsprogramma en duidelijk maken waar in de toekomst verbeteringen kunnen worden aangebracht.

Er zijn twee brede categorieën meetgegevens die kunnen worden vastgelegd voor applicatiebeveiliging. De eerste set meetgegevens heeft betrekking op incidenten en kwetsbaarheden (afbeelding 1), en de tweede set is bedoeld voor het applicatiebeveiligingsprogramma zelf (afbeelding 2).

Afbeelding 1

Afbeelding 2

Gegevens Verzamelen

De gegevens voor de meetgegevens moeten doorlopend worden verzameld (bijvoorbeeld wekelijks of per gebeurtenis). Het sjabloon voor gegevensverzameling moet worden opgesteld en op een centrale plaats worden bewaard. Zodra de evaluaties zijn uitgevoerd, kunnen de evaluatiecijfers worden bijgewerkt op het gegevensverzamelingssjabloon.

De gegevens over het incident kunnen worden opgehaald in de incidentendatabase. De kwetsbaarheden en inspanningen kunnen worden verkregen van het projectteam. De evaluaties en opmerkingen moeten worden bijgewerkt op een gedeelde locatie en de gegevens moeten worden gemeld vanaf de gedeelde locatie.

De Meetgegevens Rapporteren

Aan het einde van de maand, of op de met het projectteam afgesproken datum, kunnen de gegevens worden geordend en gepresenteerd. Enkele voorbeelden van presentaties zijn te zien in afbeelding 3 en 4.

Afbeelding 3

Afbeelding 4

Praktijkvoorbeeld

In het volgende gedeelte wordt een beknopt praktijkvoorbeeld van applicatiebeveiliging gegeven.

Formulering van het probleem
Het probleem is in het geval van het praktijkvoorbeeld als volgt geformuleerd: beheren van de applicatiebeveiliging voor e-commerce applicaties van een farmaceutisch bedrijf door de belangrijkste meetgegevens te meten die zijn geassocieerd met applicatiebeveiliging.

De belangrijkste meetgegevens die in overleg voor de meting zijn geselecteerd, zijn:

  • Het aantal gemelde kwetsbaarheden
  • Het aantal opgeloste kwetsbaarheden
  • Totale beveiligingsinspanning
  • Het aantal sessies gewijd aan het bewustzijn met betrekking tot beveiliging
  • De ontwerpevaluatieratio (aantal geëvalueerde ontwerpen/totaal aantal ingediende ontwerpen)
  • De code-evaluatieratio (aantal geëvalueerde code modules/totaal aantal ingediende code modules)

Implementatie
Nadat de belangrijkste meetgegevens waren goedgekeurd door het hogere managementteam, werd de eerste vergadering met de projectleiding belegd. De meetgegevens werden uitgelegd aan het team, en er werd gekozen voor een maandelijks meetvenster. De technieken voor gegevensverzameling werden uitgelegd en het schema werd gegeven aan de projectleiders.

Afbeelding 5Aan het einde van de eerste metingencyclus werden de gegevens verzameld en geordend zoals weergegeven in afbeelding 5.

Zakelijke voordelen
De meetgegevens werden gepresenteerd tijdens de projectevaluatiebijeenkomst, en de projectmanager keurde de gegevens goed. Afbeelding 5 laat zien dat het evaluatieproces van de beveiligde code moet worden geformaliseerd; hierdoor kan het projectteam correctieve maatregelen nemen en verdere kwestbaarheden verminderen. Het is echter noodzakelijk meetgegevens voor opvolgende maanden te verzamelen om inzicht te verkrijgen in trends voor de langere termijn.

Conclusie

Nu strengere beveiligingsmechanismen worden toegepast voor de infrastructuur en netwerken van organisaties, verleggen hackers hun aandacht naar webapplicaties. Door kwetsbaarheden in webapplicaties kan de veiligheid van het netwerk en de infrastructuur worden aangetast. Het toegenomen gebruik van cloud computing heeft ertoe geleid dat meer aandacht wordt geschonken aan applicatiebeveiliging. De meetgegevens die in dit artikel worden besproken kunnen organisaties helpen de status van de beveiliging van hun applicaties te meten. In dit informatietijdperk zijn organisaties genoodzaakt hun informatie te beschermen om een voorsprong te kunnen nemen op de concurrentie en het vertrouwen van belangrijke belanghebbenden te kunnen winnen.

Voetnoten

1 Met “beveiligingsgemeenschap” verwijst de auteur naar groepen als het Open Web Application Security Project (OWASP), de Cloud Security Alliance en sociale mediaportals.

Sivarama Subramanian, CISM
is Senior Architect of Technology bij Cognizant Technology Solutions, waar hij momenteel de leiding heeft over beveiligingsinitiatieven voor detailhandel- en e-commerceprojecten. Subramanian is lid van de afdeling ISACA Chennai, India en is te bereiken via sivaramasubramanian.kailasam@cognizant.com.