Website beveiliging vaak onderschat

Meer en meer bedrijven hosten intern hun eigen websites. Wat ooit jaren geleden begon met het hosten van Microsoft Outlook Web Access vanaf de eigen interne Microsoft Exchange server resulteert nu, ook dankzij hogere bandbreedtes, in het hosten van bijvoorbeeld Microsoft Sharepoint, web-based CRM systemen en webshops.
Het hosten van eigen websites is een security risico welke vaak niet genoeg gerealiseerd wordt. Ondanks dat grotere organisaties gebruik maken van zogenoemde DMZ netwerken voor de hosting van de website blijven er vaak koppelingen nodig naar het interne netwerk. Een Webshop heeft bijvoorbeeld toegang tot de interne SQL database nodig om voorraad gegevens op te halen. De Sharepoint server heeft een koppeling nodig met de interne fileserver om Microsoft Word documenten te kunnen aanbieden.
Wie afgelopen jaar het ICT nieuws heeft gevolgd weet dat er tot op de dag van vandaag veel websites gehacked worden. Enkele voorbeelden van “grote” hacks zijn DigiNotar, Sony en onlangs Stratfor.
Bijna al deze hacks zijn gebeurd door zogenaamde “SQL Injections”. Volgens onderzoek blijkt zelfs dat 97% van alle internet hacks gebeuren door middel van SQL injecties. Een aan veelgebruikte methode is “Cross-site-scriping” afgekort XSS . Maar ook sites zonder SQL zijn kwetsbaar, veel bedrijven maken gebruik van Internet Information Services, de standaard webserver binnen Windows Server. Nog steeds komen er updates van Microsoft voor IIS omdat er fouten inzitten waardoor het mogelijk is ongeautoriseerde handelingen uit te voeren op de webserver.
ICT Spirit adviseert klanten die eigen websites hosten hier een security oplossing voor te gaan gebruiken. Doordat al deze hacks op applicatie niveau plaatsvinden voldoet een gewone firewall niet. Deze zet alleen de poorten door zoals 80 of 443 maar kijkt niet in het verkeer om te controleren of dit kwaadaardig is of niet.
Een Web Application Firewall (WAF) kan dit wel. Deze plaatst men als een proxy tussen de bestaande firewall en de webserver(s) en vervolgens wordt al het verkeerd geïnspecteerd. De WAF is in staat alle http commando’s te analyseren om vervolgens te kijken of dit toegestaan is of niet. Tevens beschermt een WAF tegen open directories en andere mogelijke webserver risico’s.