Security scans

Security scans

Carthago biedt verschillende soorten security audits aan. Audits kunnen plaatsvinden op een enkele applicatie of op meerdere applicaties en/ of servers. Vaak wordt er gekozen om een productie omgeving of een acceptatie omgeving te laten testen.

Invalshoeken

De security scans kennen verschillende invalshoeken.

  • Blackbox
    Er wordt getest zonder voorkennis van de applicatie en van buitenaf, waarbij allerlei soorten input gecontroleerd worden.
  • Whitebox
    Een whitebox test is een test waarbij er zoveel mogelijk informatie wordt overhandigd aan de tester. Denk hierbij aan handleidingen, applicatie – en serverconfiguraties, versienummers en inzicht in de broncode.
  • Code analyse
    Carthago ICT en CloseSure(partner van Carthago) zijn gespecialiseerd in het uitvoeren van een analyse op de code van applicaties. Het uitvoeren van een code analyse kan op een handmatige manier maar ook door middel van statische code analyse tools, of een combinatie hiervan. Door gebruik te maken van tooling wordt er snel een globaal beeld gevormd. Deze output dient tevens als input voor de handmatige analyse. Het voordeel van code analyse is dat direct inzichtelijk wordt hoe veilig de applicatie op dat moment is. Daarnaast levert een code analyse in combinatie met een security test een beter resultaat op omdat hierbij de grensgevallen in de code kunnen worden opgezocht.
    Problemen die gevonden zijn in de code kunnen besproken worden met het ontwikkelteam. Zij kunnen deze issues bekijken en meenemen in het verdere ontwikkelproces. Eventueel kunnen wij deze maatwerk aanpassingen ook voor u uitvoeren.

 

Overzicht

Quick scan Extended scan
€ 1.980,= vanaf € 4.400,=
Uitvoering en rapportage Geschikt voor applicaties

(welke applicaties?)

– zonder privacygevoelige
gegevens
– deeluitmakend van
secundair proces
– met privacygevoelige
gegevens
– deeluitmakend van primair
proces
Uitvoering scan (wanneer?) – in de acceptatiefase
– bij significante wijzigingen
– in de acceptatiefase
– bij significante wijzigingen
– bij het vermoeden van een
beveiligingsprobleem
– periodiek
Rapportage Beknopte rapportage. Issues worden ingedeeld obv de OWASP top 10. Uitgebreide rapportage inclusief advies, aanbevelingen en reproductie stappen. Issues worden ingedeeld obv de OWASP top 10.
Code analyse OPTIONEEL

 

Een quick scan geeft een goede indicatie van het beveiligingsniveau van uw omgeving. De quick scan is een audit die bedoeld is voor applicaties zonder privacygevoelige gegevens of die deel uit maken van het secundaire proces. Applicaties worden hierbij vooral automatisch gescand op basale en veelvoorkomende kwetsbaarheden. Het resultaat is een summier rapport met een lijst van kwetsbaarheden.

Voor applicaties die deel uit maken van het primaire proces of applicaties waarin privacygevoelige gegevens worden verwerkt biedt Carthago een extended security scan aan. Deze audit is afgebakend in tijd. De benodigde tijd is afhankelijk van de grootte en complexiteit van de applicatie en de focus van de security audit. Carthago ICT adviseert om ook een broncode analyse uit te voeren als onderdeel van de audit. Deze security scan geeft een goed beeld van de veiligheid van de applicatie. Het resultaat is een uitgebreid rapport met een lijst van kwetsbaarheden. Per kwetsbaarheid wordt aangegeven hoe dit gevonden is en hoe het gereproduceerd kan worden. Voorbeelden van kwetsbaarheden die hierbij gevonden worden zijn onder andere punten uit de OWASP top 10 zoals: Cross-site Scripting, SQL/LDAP injectie, missende headers, kwetsbare file uploads, verkeerde sessieconfiguratie en verouderde bibliotheken.

Optioneel kan Carthago ook de ICT-beveiligingsrichtlijnen voor webapplicaties van het Nationaal Cyber Security Centrum(NCSC) toetsen. Deze beveiligingsrichtlijnen zijn een leidraad voor het veiliger ontwikkelen, beheren en aanbieden van webapplicaties. Ook wordt de bijbehorende infrastructuur ook getest.

Naast deze eenmalige scans bieden we ook periodieke security scans aan. Met een periodiek geplande security scan wordt security meegenomen in het ontwikkelproces. Ontwikkelaars en beheerders krijgen periodiek resultaten te zien hoe het ervoor staat met de veiligheid van omgevingen en applicaties. Dit helpt tevens om de bewustwording te vergroten m.b.t. cybersecurity bij ontwikkelaars en beheerders. Bij een periodieke security scan worden applicaties en infrastructuur dus regelmatig getest. Dit is meestal eens per kwartaal of half jaar.