Meer geld voor app-beveiliging

Apps worden verondersteld positieve klantervaringen te bieden. Om zich van concurrenten te onderscheiden, vertrouwen detailhandelaars nu ook op apps. Deze software-oplossingen zijn echter zelden geïntegreerd in het IT-beveiligingsconcept van bedrijven.

Volgens een studie van NTT vindt meer dan de helft van de wereldwijd ontdekte cyberaanvallen nu plaats op het gebied van applicaties. Toch gaat slechts zes procent van de beveiligingsbudgetten van bedrijven naar de beveiliging ervan. NTT legt uit hoe bedrijven app-beveiliging kunnen verbeteren.

“Een holistisch testprogramma voor applicatiebeveiliging is een belangrijke preventieve en proactieve techniek die kan helpen het algehele dreigingsprofiel van een organisatie te verminderen”, meent Craig Hinkley, CEO van NTT’s divisie Application Security.

ABC-risico’s

T NTT heeft allereerst drie risicocategorieën geïdentificeerd die kunnen worden aangeduid met het acroniem “ABC”:

  • Assemble:Onderdelen die de basis van toepassingen vormen, zoals besturingssysteempakketten, frameworks en bibliotheken, worden gecombineerd.
  • Build: Functies worden geïmplementeerd zonder beveiliging door ontwerp of passende beveiligingscontroles.
      • Configure: Toepassingen worden geïmplementeerd om nieuwe functionaliteit mogelijk te maken zonder de standaardinstellingen te beveiligen en eerdere ontwikkelingsconfiguraties te wijzigen.
Toepassingen worden steeds vaker het doelwit van aanvallen en dit moet worden weerspiegeld in de uitgaven van bedrijven aan IT-beveiliging.

Craig Hinkley, NTT

DAST, SAST, SCA

Ook kunnen drie methoden worden gebruikt om de app-beveiliging in de risicocategorieën te verbeteren. Dynamic Application Security Testing (DAST) simuleert een aanval van een hacker. Een veelgebruikt hulpmiddel is een kwetsbaarheidsscanner. Hierbij wordt de gebruikersinterface onderzocht door gemanipuleerde aanvallen naar de server te sturen om de werking van de backend server te bepalen en kwetsbaarheden aan het licht te brengen. Volgens NTT-deskundigen wordt DAST effectiever wanneer automatische en handmatige tests worden gecombineerd.

De broncode van een applicatie kan worden onderzocht via Static Application Security Testing (SAST). Automatische analyse spoort uitvoeringsfouten op en kan in drie types worden onderverdeeld. De zogenaamde “code scanners” – pattern matching, semantische analyse en runtime simulatie – bieden verschillende diensten aan.

Software Composition Analysis (SCA) controleert de technologie-stack. Dit is om publiekelijk bekende kwetsbaarheden en licentierisico’s op te sporen en deze te verhelpen via een patch of een upgradepad.