Security assessment

Je wilt de vinger aan de pols houden als het om software security gaat. Idealiter laat je (periodiek) onderzoek doen naar de beveiliging van je applicaties en de kwetsbaarheden in je code;

• Wie heeft er toegang tot de applicatie of broncode?
• Hoe wordt er omgegaan met data?
• Hoe veilig is de cloudconfiguratie?
• Welke kwetsbaarheden zitten er in de code?
• En hoe kunnen hackers hier potentieel misbruik van maken?

Met andere woorden, hoe veilig is de software?

Met het security assessment van YieldDD krijg je antwoord op bovenstaande vragen. Wij geven inzicht en interpreteren, halen de onderste steen boven en bieden advies. Je ontvangt een onafhankelijk en objectief overzicht van de risico's en vervolgstappen. Zodat je precies weet wat de situatie is en daarop kan acteren, of het nu gaat om software binnen een fusie of overname (software due diligence) of je eigen bedrijfskritische software (software assessment).

Op basis van jouw wensen en processen bepalen we de opzet en diepgang van het onderzoek. Daarbij houden we rekening met tijdsdruk en deadlines, en de mogelijkheden tot openheid en het delen van broncode. We maken hierbij gebruik van benchmarks en specialistische security-tooling.

Uiteindelijk gaat het om maatwerk en is het onderzoek volledig afhankelijk van de onderzoeksvragen. Dit zijn de belangrijkste onderzoekscomponenten:

• Code guided security assessment
• Applicatie penetratietest
• Cloud configuratie assessment

Veel security-gerelateerde fouten vinden hun oorsprong in de broncode. In dit onderdeel, het code guided security assessment, krijgen wij toegang tot de code en onderzoeken deze op het gebied van security. We signaleren en rapporteren mogelijke kwetsbaarheden.

Het onderzoek bestaat uit de volgende stappen:

• Statische code analyse met specialistische tooling, en handmatige (expert eye) beoordeling en filtering van de bevindingen.
• Dynamische expert eye analyse, waarbij de experts van YieldDD zoeken naar mogelijke kwetsbaarheden in de logica van de code en de configuratie. Als dit gecombineerd wordt met een penetratietest, valideren we meteen of de gevonden kwetsbaarheid actief misbruikt kan worden. Maar de kwetsbaarheid vind je hoe dan ook altijd terug in de rapportage, ook vanuit het oogpunt van ‘Defense in depth’ (DiD). Dit is een benadering van cybersecurity waarbij meerdere beveiligingsproducten en -praktijken worden gebruikt om het netwerk, waardevolle gegevens en informatie te beschermen.
• Controle op bestaande kwetsbaarheden in het gebruikte framework en/of externe pakketten.

In dit onderdeel voeren we een actieve penetratietest uit op de door de klant aangeleverde softwareomgevingen. Dit betekent een actieve aanval op applicaties of webservices (API) om te zien of de gevonden kwetsbaarheden ook daadwerkelijk gebruikt kunnen worden om in te breken. En we zoeken op detailniveau naar issues die voorkomen in de OWASP (API) Top 10 en de SANS Top 25.

Wij voeren twee type penetratietesten uit:

• White-box penetratietest: hierbij hebben we volledig toegang tot het netwerk en de broncode. Dit maakt het mogelijk om potentiële security-problemen van een applicatie snel en efficiënt te achterhalen. In deze test wordt de applicatie onderzocht op basis van kennis die niet beschikbaar is voor externe hackers.
• Gray-box penetratietest: hierbij hebben we alleen toegang tot accountinformatie van het te testen systeem. Dit maakt het mogelijk om actief te zoeken naar kwetsbaarheden die aanwezig zijn in delen van de applicatie waarvoor je geautoriseerd moet zijn. Deze techniek simuleert een hacker of kwaadwillende insider die gerichter te werk kan gaan, iemand met enige toegang tot de applicatie – bijvoorbeeld na een geslaagde phishing-actie.

Als jouw systeem of applicaties draaien op een cloudplatform (Azure, AWS, GCP), wordt de mate van beveiliging mede bepaald door de configuratie-instellingen in dit platform. Wil je een compleet beeld van de status van jouw cybersecurity en draait jouw systeem op een cloudplatform, dan raden wij ook het cloud configuratie assessment aan.

Hierbij krijgt één van onze security-experts toegang tot een account met voldoende rechten op het gebruikte cloudplatform. Vervolgens bestaat het assessment uit twee onderdelen:

• Een automatisch scan van de cloudconfiguratie.
• Een handmatige beoordeling van de cloudconfiguratie en de scanresultaten.

Na afloop van dit proces ontvang je een onafhankelijk en objectief overzicht van de kwetsbaarheden, risico's en vervolgstappen. We gaan daarbij verder dan analyse en inzicht. We bieden interpretatie en advies over jouw uitdagingen en onderzoeksvraagstukken.

De bevindingen worden beknopt en overzichtelijk gepresenteerd en gedetailleerd toegelicht. Niet alleen in een overzichtelijke rapportage, maar juist ook een persoonlijke debriefing.

Kortom, dankzij onze security-inzichten weet jij hoe de software(ontwikkeling) er voor staat, welke security-risico’s er zijn, de mate van beveiliging die een systeem biedt en of gegevens voldoende beschermd zijn. Dit voorkomt onaangename verrassingen en leidt tot veiligere, toekomstbestendige software.