De top 10 Security aanbevelingen voor software ontwikkeling [INFOGRAPHIC]

Kwaliteit, betrouwbaarheid, gebruiksgemak, functionaliteit en mobiel toegankelijk. Om maar een aantal zaken te noemen waar goede software aan moet voldoen. Maar hoe zorg  je voor de veiligheid van software?

Er bestaan verschillende lijsten en normeringen voor de ontwikkeling van veilige software. Top security expert Marinus Kuivenhoven van Sogeti heeft alle normeringen op een rij gezet en de tien belangrijkste punten geselecteerd om softwareveiligheid te waarborgen. Een poster van de infographic kun je hier aanvragen.

Wat zijn de top 10 aanbevelingen voor software-ontwikkeling?

Sogeti infographic top 10 aanbevelingen cyber security

  • 1. Minimale rule-based functionaliteit - Maak gebruik van een bedrijfsbrede authenticatie en autorisatievoorziening. Dit voorkomt meerdere implementaties. En helpt bij toegangsbeheer. Laat IAM oplossingen ‘functiecreep’ beperken. Biedt daarom minimale rule-based functionaliteit aan.
     
  • 2. Geen overbodige informatie - Stuur alleen informatie aan die functioneel nodig is voor gebruik. Overige informatie zoals technische foutmeldingen, type en versie of debug informatie geeft onnodig veel prijs.
     
  • 3. ‘Client-side-security’ bestaat niet - Vertrouw alleen gegevens die de applicatie zelf valideert of verifieert. Dus garantie geven op de integriteit van gegevens is niet mogelijk.
     
  • 4. Instellingen aanpassen - Activeer alleen functioneel noodzakelijke protocollen, services, content en accounts. Deze instellingen moeten ook gaandeweg bijgewerkt worden in nieuwbouw templates.
     
  • 5. Scheiden van data en logica - Zorg bij het aanspreken van een verwerkende eenheid (zoals database) voor onderscheid tussen data en logica. Lever data gescheiden aan of sla de data plat zodat de gegevens geen logica kunnen bevatten. Zwakheden als SQL injection, cross-site scripting en XML entity aanvallen worden hiermee voorkomen.
     
  • 6. Functiescheiding in functionaliteiten en systemen - Geen enkele gebruiker mag over het gehele proces van begin tot eind controle hebben. Implementeer daarom functiescheiding in functionaliteiten en systemen. Dat zorgt ook voor minimale hoeveelheid autorisaties voor de eindgebruiker.
     
  • 7. Voorkom CSRF-aanvallen - Voeg een transactietoken toe aan ‘requests’ die wijzigingen aanbrengen in het systeem. Hiermee voorkom je herhaling van acties of een CSRF aanval.
     
  • 8. Signaleringsfuncties inrichten - Definieer standaard de http headers op de veiligste settings. Met de toevoeging van security flags en paden aan cookies, content-type, CORS en HTST-headers en het toepassen van de Content Security Policy wordt de gebruiker proactief beschermd.
     
  • 9 Gebruiker pro-actief beschermen - Stel in de applicaties vast welke transacties onweerlegbaar gelogd moeten worden. Richt de signaleringsfuncties (registratie en detectie) actief en beveiligd in. Maak daarbij gebruik van centrale loggingfaciliteiten. De trace en versleutelde loggevens altijd buiten de applicatie opslaan.
     
  • 10. Versleutel gegevens - Versleutel gegevens tijdens verwerking, verzending en opslag op basis van de content en de context tegenover de BIV classificatie.

Download Infographic als PDF en/of vraag de gratis poster aan

Deze top 10 is geselecteerd op basis van de meest vooraanstaande normeringen van oa de Nederlandse overheid (SSD), het Nationaal Cyber Security Center (NCSC), Amerikaanse overheid (NIST) en de internationale security federatie (SANS).

Download de PDF van deze infographic of vraag de gratis poster aan:

Meer informatie over de top 10 aanbevelingen?

Wil je meer weten over de infographic of cyber security van Sogeti? E-mail dan met Rogier van Agt of bel hem via: +31 886 606 600.