Beveiliging website staat los van licentietype

Vandaag de dag heeft vrijwel ieder bedrijf een website. Deze sites zijn veel complexer dan de simpele set aan statische pagina's die we kennen van vroeger. Vandaag is een bedrijfssite een bundeling van een verzameling ondersteunende documenten, fora, verschillende zoektools, gebruikerslogins, beheer en meer. En ik heb het dan nog alleen over sites van bijvoorbeeld autofabrikanten en leveranciers van consumentenelectronica.

Bedrijven die webgebaseerde diensten aanbieden, zoals Amazon en Salesforce, kennen een veel geavanceerdere website, waarbij de bezoeker nog veel meer functionaliteit wordt aangeboden. Ieder stukje nieuwe functionaliteit zorgt voor een potentiële extra kwetsbaarheid waar black-hat hackers gebruik van kunnen maken. Innovatieve start-ups en kleine bedrijven die nieuwe dingen proberen, daarbij gebruikmaken van nieuwe functionaliteit, tools en processen, kunnen aangepakt worden door deze black-hats.

Kiezen voor de moeilijke weg levert wat op

Toch zal iedere goede securityonderzoeker je vertellen dat je systeemontwerp en operations de beste manier zijn om je website te beschermen, nog veel meer dan de tools die je gebruikt om het design mogelijk te maken. PCI-compliance op niveau 2 lijkt een verschrikkelijk zwaar proces, maar zodra je een audit op dit niveau hebt doorstaan, is het vertrouwen in je site enorm toegenomen.

De slimme ontwerpprocessen die PCI voorschrijft, zijn bruikbaar voor iedere website. Denk daarbij aan het regelen van toegang tot de data, het beperken van blootstelling aan subsystemen, audit trails en meer. Een goed ontworpen systeem verwacht en beperkt zijn eigen kwetsbaarheden.

Het tweede vaak vergeten aspect van een veilige website is het de onderliggende technologie en tools geüpdate blijven. Een site blijft altijd vatbaar voor zogenaamde 'zero-day exploits', maar automatische updates verkleinen de blootstelling hieraan aanzienlijk. In sommige gevallen heb je geavanceerde deploymentprocessen nodig om veranderingen door te vroegen, maar je kunt met monitoringsystemen al dikwijls instellen dat je een waarschuwing krijgt wanneer een securityfix klaarstaat om geladen te worden.

Het valt je misschien op dat deze twee zorgen (ontwerp en het toepassen van securitypatches) compleet losstaan van het feit of ze nu propriëtair of open-source worden aangeboden.

Empirisch onderzoek laat zien dat kwetsbaarheden bij beide vormen van licensering even vaak voorkomen. Leveranciers van propriëtaire software zullen je zeggen: "black hats weten binnen open-source altijd de zwakke plekken te vinden", terwijl open-source leveranciers zeggen: "bij open-source kunnen de kwetsbaarheden opgespoord worden voordat black-hats de kans krijgen er misbruik van te maken". Beide typen leveranciers hebben een aandeel in het spel en zijn gekleurd, maar het eenvoudigste (en meest reële) antwoord is dat kwetsbaarheden in beide typen even vaak voorkomen. Kies daarom je software niet op basis van het licentiemodel. Kies deze op basis van de manier waarop het aansluit op je ontwerp en operations.

Kijk uit voor piepjonge software

Daarnaast dien je jezelf af te vragen wat de volwassenheid van de gekozen technologie is. Het volwassenheidsniveau moet worden meegenomen in je systeemontwerp. Als een component relatief jong is, en er nog weinig bekend is over de eventuele kwetsbaarheden, dien je ervoor te zorgen dat deze meer geïsoleerd opereert. Volwassen componenten als Apache HTTP Server of Microsofts IIS kunnen met veel meer vertrouwen worden geïmplementeerd.

Dat neemt niet weg dat het licentiemodel van je tools, bibliotheken en technologie weinig invloed heeft op de security van je website. Concentreer je eerst op het systeemontwerp en de processen, daarna op de implementatie en volwassenheid en dan pas op het type licentie.

Greg Stein is voormalig voorzitter van de Apache Software Foundation. Hij was onlangs actief als engineering manager bij Google, waar hij hielp Google Project Hosting van de grond te krijgen. Hij houdt zich nu voornamelijk bezig met licenties, tools voor ontwikkelaars en community development.