Met de managed services van True weet je dat de infrastructuur van je hosting platform optimaal beveiligd is. Maar geldt dat ook voor de security van je webapplicaties? Met een security audit scant True periodiek je webapplicaties op veelvoorkomende kwetsbaarheden.
De uitdaging van onze klanten
Technologieën veranderen en evolueren constant, waardoor het extreem moeilijk is om bij te blijven met security best practices. Nieuwe kwetsbaarheden komen dagelijks uit, waardoor je klanten mogelijk dagelijks nieuwe patches moeten uitbrengen. Dat is niet werkbaar! Tegelijk is het wel voor je klanten van uiterst groot belang dat ze inzicht in de veiligheid en risico’s hebben. Hiermee kunnen ze zelf patches en updates in hun sprints zetten, zodat hun product of dienst zo veilig en stabiel mogelijk is.
Onze oplossing
De security audit van True bestaat uit een mis van geautomatiseerde scans, online onderzoeken, kwetsbaarheden in de organisaties en handmatige pogingen om in systemen en omgevingen te komen.
Onze security engineers voeren de audits uit met veel technische kennis en praktische ervaring, waaronder ethisch hacken. Zij zijn ook degene die ons Advanced Security Platform hebben opgezet, op basis van lessen uit onder meer deze security audits.
We bieden 3 keuzes aan voor klanten, waarbij het verschil zit in de hoeveelheid tijd die we erin steken en de informatie in het uiteindelijke rapport. Al onze audits zijn “Greybox tests”, wat betekent dat we voorafgaand inzicht hebben in de omgeving, code en verder (intern) functioneren van het project. Voorafgaand kijken we hoe jouw verschillende systemen (samen) werken. Deze informatie gebruiken we tijdens de security scan.
Enkel gave feiten:
- In 48% van de gevallen konden onze security engineers het gehele beheer van een omgeving overnemen.
- In 76% (!) van de gevallen konden onze security engineers toegang krijgen tot persoonlijke data. In kritieke gevallen is daar voortijdig melding van gemaakt.
Het resultaat
Na de security audit krijg je een onderzoeksrapport (standaard & enterprise variant) of technisch rapport (lite variant) van True. De resultaten van de audit worden nauwkeurig geanalyseerd door onze engineers. Bij een standaard of enterprise variant leveren ze ook een risico-profiel aan, waar kwetsbaarheiden, risico-analyse en aanbevelingen bij staan. De lite variant is een technisch rapport met de bevindngen, inclusief reproduceerbaarheid en aanwijzen van de kwetsbaarheid. Deze variant is geschikt voor organisaties die al meer dan voldoende eigen security expertise hebben om de risico’s goed in te schatten.
Binnen 1 tot 2 maanden checken we je omgeving met een rescan opnieuw, om te kijken of de lekken zijn gedicht. Als lekken nog niet zijn gedicht, nemen we hierover contact met je op. Specifieke kwetsbaarheden fixen kan namelijk complex zijn, zeker als ze ver weg in de applicatie verstopt zitten. Heeft je klant moeilijkheden om een kwetsbaarheid op te lossen? Dan kan True of kan een van onze partners je klant verder helpen.
Ideale klantprofie
Wanneer is dit interessant? Altijd. Met alle digitale gevaren die er dagelijks zijn; met nieuwe exploits, kwetsbaarheden en massale hacks die elke dag gebeuren. Elke organisatie doet er goed aan om minstens één keer door een security audit te gaan. De lessen die hiervan komen, zijn van grote waarde voor een organisatie, bieden bewustzijn bij alle betrokken partijen en bieden soms ook nieuwe groei-mogelijkheden. Niet alleen je klant, maar ook Broad Horizon en alle zuster-organisaties kunnen hiervan leren.
Is je klant op zoek naar een ervaren partner om hun code en omgeving te scannen?
True kan je klant helpen.
Moet je klant voor compliancy of certificeringen regelmatig een security audit laten uitvoeren?
True kan je klant helpen.
Heeft je klant een omgeving waarin persoonlijke data wordt opgeslagen en wil je klant zeker weten dat het daar allemaal veilig staat?
True kan je klant dan zeker helpen.
Wil je klant voorafgaand zeker weten dat de hoogste security standaarden worden gehanteerd in relatie met de Data Breach Notification Obligation?
Dan kunnen we dat verder testen met onze audit. Door regelmatig een security audit te laten doen bij je klanten, kan je klant snel handeelen als we een datalek tegenkomen. Dit is een effectief deel om te voldoen aan de AVG/GDPR.
Welke type test kan ik mijn klanten aanraden?
Dit ligt aan het type klant dat je helpt. Als je verdere vragen heb, neem gerust contact op met onderstaande contactpersonen!
Voor de volledigheid, deze type audits bieden we aan:
— Greybox “Lite” (16 uur, technisch rapport)
Voor organisaties die niet hun hele web-omgeving gescand willen hebben, en alleen op zoek zijn naar technische bottlenecks. Deze audit is een 16 uuur onderzoek waarbij uitgebreide technische inzichten worden gegeven voor developers aan klantzijde. Je klant ontvangt een technisch rapport.
— Greybox “Standard” (32 uur, onderzoeksrapport)
Een intensief onderzoek waar onze security engineer voorafgaand kennis heeft van je omgeving en 32 uur onderzoek doet. Naast onderzoek naar veelvoorkomende aanvallen, kijkt de engineer ook naar kwetsbaarheden als die is ingelogd als gebruiker. De resultaten staan in een uitgebreid onderzoeks- en adviesrapport. Het beschrijft de bevindingen, met uitleg, opportunity, risico’s, impact en aanbevelingen.
— Greybox “Enterprise” (48 uur, onderzoeksrapport)
Voor omgevingen met een zeer uitgebreide applicatie of meerdere grote applicaties, waar we veel tijd voor uit trekken. Inclusief extra’s zoals de mogelijkheid van geavanceerde phishing campagnes en (bewustzijns)trainingen op locatie. Deze laatste is voor de hele organisatie van belang, inclusief klanten van je klant. De resultaten van de testen worden uitgebreid behandeld in een onderzoeksrapport. Het beschrijft de bevindingen, met uitleg, opportunity, risico’s, impact en aanbevelingen.
Er kunnen online heel veel gratis security scans gevonden worden. Waarom zou ik dan toch voor een betaalde audit van True kiezen?
Gratis online scans nemen maar een heel klein deel van de kwetsbaarheden mee. De security audits van True gaan veel dieper. Daarnaast beschik je met een gratis online scan niet over menselijke interpretatie van de resultaten van de scan. Dat verhoogt ed kans op foutieve positieve of negatieve resultaten. Ook kunnen gratis scans dan juist de resultaten van jouw omgeving misbruiken, bijvoorbeeld door deze kwetsbarheden te verkopen. Immers, ze hebben ergens een bron van inkomsten nodig, aangezien hun scan gratis is.
Wat is de tijd tussen een security audit aanvragen en ontvangst van het rapport?
De gemiddelde tijd tussen aanvraag en ontvangst van het rapport hangt af van de wensen en eisen van de klant. We streven ernaar om het rapport binnen 1 tot 2 weken af te leveren.