Stel je bent IT-manager bij een bank. Dan gaat je telefoon. Het is je collega van de communicatieafdeling. Toen hij net even boodschappen deed, is er ingebroken in zijn thuiskantoor en is zijn laptop gestolen. Dit gebeurde toen hij net was ingelogd op het Content Management Systeem van de bank. Hij wilde een artikel op de website plaatsen. Hij vraagt zich nu af of, nu zijn laptop in verkeerde handen is gevallen, een eventuele aanvaller direct toegang heeft tot de website van de bank?
Dit is slechts één van de scenario’s waar bedrijven niet altijd bij stil staan bij de beveiliging van hun website. Vaak zijn ze wel met security bezig, maar focussen ze slechts op enkele aspecten daarvan. Denk daarbij aan algemeen bekende security-maatregelen zoals een TLS-certificaat, een goed beveiligd framework en degelijk ontworpen login-functionaliteit.
Toch zijn de security-risico’s voor een website daarmee niet allemaal opgelost. Hoe zorg je nu dat de website van jouw bedrijf wel écht goed beveiligd is en voorbereid is op iedere situatie? Hieronder volgen enkele adviezen:
1. Maak op afstand uitloggen mogelijk
Maak het mogelijk een apparaat op afstand uit te loggen van de website. Het is het handigst als gebruikers dit zelf kunnen doen, bijvoorbeeld door er voor te zorgen dat wanneer gebruikers hun wachtwoord veranderen, ze meteen op alle andere apparaten waar ze nog ingelogd waren worden uitgelogd. Deze functionaliteit is vooral erg handig als een medewerker zijn device is verloren.
2. Laat gebruikers altijd het oude wachtwoord opgeven
Als gebruikers de logingegevens voor een website willen wijzigen, is het handig dat ze ook altijd het oude wachtwoord moeten opgeven. Zorg dat gebruikers zowel voor het wijzigen van hun wachtwoord als hun mailadres hun oude wachtwoord in moeten vullen, want anders loop je het risico dat de aanvaller snel het mailadres verandert en vervolgens een wachtwoord reset aanvraag doet. Door gebruikers altijd te vragen om het oude wachtwoord kan een aanvaller de logingegevens van de website in elk geval niet veranderen met alleen tijdelijke toegang tot een apparaat van een gebruiker.
3. Cache geen gevoelige informatie
Browsers slaan gegevens van websites die je hebt bezocht tijdelijk op in een cache. Dan hoef je bijvoorbeeld niet voor elke pagina op de website opnieuw het logo te downloaden. Deze cache wordt vaak voor langere tijd opgeslagen op de computer. Daarom is het belangrijk dat hier geen gevoelige informatie in voorkomt. Anders kan een aanvaller op een gedeelde computer of bij een verloren device deze cache uitlezen.
4. Gebruik Multi Factor Authentication (MFA)
Maak de website op afstand alleen toegankelijk via Multifactor Authenticatie (MFA). Daarmee breng je een extra beveiligingslaag aan. Stel dat een aanvaller het wachtwoord heeft weten te verkrijgen, dan heeft hij, als de website met MFA is beveiligd, ook fysiek toegang nodig tot bijvoorbeeld een telefoon van een medewerker. Deze combinatie maakt toegang tot de website veel lastiger voor een aanvaller.
5. Gebruik een vulnerability checklist
Op websites als Certified Secure en OWASP kun je checklists downloaden waar de meest voorkomende kwetsbaarheden te vinden zijn. Hier staan vast een aantal aanvalstechnieken in waar jij bij het ontwikkelen van jouw website niet aan gedacht hebt.
Dit zijn slechts een paar van de tips die je kunt gebruiken voor het voorkomen van een aanval op de website van jouw bedrijf. Het blijft bij het bouwen van websites lastig al deze aanvalsscenario's in de gaten te houden.
Kies voor een Vulnerability Assessment voor extra zekerheid
Twijfel je of de website van jullie bedrijf goed beveiligd is tegen alle mogelijke aanvalstechnieken? Kies dan voor een Vulnerability Assessment. Dit is een uitgebreid onderzoek waarbij alle kwetsbaarheden van jullie website door onze specialisten worden geïdentificeerd en geclassificeerd. Daarbij wordt bekeken welke kwetsbaarheden je aandacht direct nodig hebben en je krijgt advies over wat je verder kunt doen om te zorgen dat de website van jouw bedrijf veilig is en blijft.
Neem contact op met een van onze security specialisten via info@computest.nl voor meer informatie over een vulnerability assessment.