Na wat informatie over frameworks en toepassingen ter bescherming komen we terecht bij de beheersoftware of zogenaamd ERP. Wil uw bedrijf NIS2 certificatie-klaar zijn zult u NIET ontsnappen aan de ZERO TRUST oefening van de door u gebruikte applicaties, Apps en populaire Cloud toepassingen. Een van de meest gebruikte technieken om logins of paswoorden te achterhalen is na het graven in gestolen lijsten op het dark Web misschien wel uw website.
Meer dan 50% van de bedrijfswebsites is nauwelijks of niet beschermd tegen het stelen van de data erachter. Had de overheid hier in mei 2018 haar rol in de GDPR wat serieus genomen zou dit cijfer drastisch gedaald zijn. Let wel een slecht opgezet MFA voor een backend leidt maar tot hetzelfde probleem. Als u als zaakvoerder de touwtjes in handen neemt hanteer dan hier ook Vertrouw niets of niemand meet en controleer….
Met de vraag naar een 100% afschermen van uw digitale kroonjuwelen, uw omzet en winstgevend zakendoen kunt u er ook niet onderuit om alle software die u gebruikt te controleren. Als uw bedrijf complex is en een grote organisatie structuur heeft zult u me ooit gelijk geven dat u beter de bedrijf kritische had laten bouwen naar de regels van de cyberveilige kunst.
Veel te vaak ontstaan bedrijfstoepassingen rond ideeën en concepten die het werk vereenvoudigen. Maar in feite worden ze zelden ontwikkeld met beveiliging in gedachte.
Een ontwikkelaar die wel vanuit een cyberveilige opzet vertrekt kan uiteraard niet zo snel coole features tonen aan het management. Maar voor de supply chain leverancier in software ontwikkeling zal het noodzaak worden. De anderen zullen ooit gemeden worden wegens doggydoors voor de hackers. Het is ontwikkelt in Indië zal nooit bij mij scoren. Met de Wibra van de software ontwikkeling laat je de hackers eens goed lachen maar tegelijkertijd stelen ze je met de glimlach ja data op bestelling voor je grootste concurrent, dankuwel ….
Er is in België een goede beweging die de software ontwikkelaars op het juiste pad brengt. Ze zijn te vinden via www.appsec.be Via hun website wordt je ondergedompeld in OWASP technieken en hoe mobile apps ontwikkelt worden naar de regels van de cyberveilige kunst. Via deze link kunt u alvast een niet te missen handleiding vinden die u in de NIS2 zero trust mindset zal meevoeren. Dan is het aan u om samen met dit team de krachten te bundelen en ervaringen te delen.
https://github.com/OWASP/owasp-masvs/releases/download/v1.4.2/OWASP_MASVS-v1.4.2-de.pdf
We kunnen ook een niveau dieper gaan. Misschien zegt u helaas ik ben al ver gevorderd, moet mijn werk nu in de digitale schredder? Nee ! De OWASP community heeft een handleiding geschreven die u helpt uw mobiele applicatie op cyberveiligheid te testen. U hoeft geen jaren ervaring te hebben om de weg der cyberveilige apps te gaan bewandelen als u geconcentreerd deze handleiding doorneemt. De owasp community leert u aan reverse engineering te doen van uw eigen app. Ze voorzien ook in belangrijke test cases en hoe u OWASP MASVS toepast alsook de juiste technieken, processen en tools die er zijn waardoor u NIS2 compliant werk aflevert. U leest deze gids hier:
Release v1.5.0 · OWASP/owasp-mastg · GitHub voor een algeheel overzicht
En hier vindt u de handleiding:
https://github.com/OWASP/owasp-mastg/releases/latest/download/OWASP_MASTG-v1.5.0.pdf
En hier vindt u de vermelde checklist:
https://github.com/OWASP/owasp-mastg/releases/latest/download/Mobile_App_Security_Checklist_en.xlsx
Ieder beginnend programmeur kan een API leren schrijven. Als deze niet geprogrammeerd is volgende de regels van de cyberveilige kunst kunnen goed ontwikkelde en cyberveilige applicaties ook aangevallen worden.
Agoria steunt het initiatief www.apisec.be
Wilt u als ontwikkelaar ook hier al achterdeurtjes voor hackers sluiten is een bezoek en een studie van onderstaande handleiding zeker de moeite waard.
Bron: https://apisec.be/
https://apisec.be/files/Uitdagingen_in_de_API_economie.pdf
In een volgend artikel zullen we het hebben over IAM. Software ontwikkelaars bouwen mooie backends alwaar gebruikers rechten tot gedeelten van hun software kan worden toegewezen.
We zullen het dan hebben over een juiste manier van werken hier zodat een bedrijf jouw applicatie eenvoudig centraal kan aansturen en rechten controleren. Zoals u ziet is de weg nog lang, maar ook heel boeiend.