Varje sekund dygnet runt kommer cirka sex nya hot ut på internet. Att skydda sig kan framstå som ett sisyfosarbete, men det finns sätt att hålla sig om inte steget före så i alla fall i jämnhöjd. OWASP-analys är ett av de sätten.
Varje sekund dygnet runt kommer cirka sex nya hot ut på internet.
– OWASP är en organisation som håller koll på hur man skall testa webb- och mobilapplikationer mot säkerhetshot och risker på nätet. De har bland annat tagit fram en lista över de tio farligaste sårbarheterna och det är mot den man testar sin plattform, säger Olov Alderholm, försäljningschef region väst på Atea och CEH, certified ethical hacker.
Topplistan över farligaste hoten
Hoten graderas på en skala från A1 för det värsta till A10. Vart tredje år revideras listan för att spegla utvecklingen på nätet. Målsättningen är att vara en hjälp för företag att undvika säkerhetshål och möjliga vägar till dataintrång och datastölder.
– Förut fanns det inte så mycket bakom en hemsida men idag är det otroligt många kopplingar. Banker, myndigheter och e-butiker är bara några typer av webbtjänster med många kopplingar till annat innehåll. Handlar du på ehandelssidor finns många gånger kopplingar till bland annat folkbokföringsuppgifter. Många vill åt informationen, vare sig det handlar om betalinformation eller annan personlig information.
Ett av de farligare hoten, nummer tre på OWASP:s lista, är crossite scripting (XSS).
– Hackare använder en sajt du litar på, till exempel en kommun eller e-handlare du brukar köpa från, för att skicka skadlig kod till användaren. Du går alltså in på den riktiga hemsidan men där finns ett säkerhetshål som används för att infektera din dator med till exempel ransomware eller annan skadlig kod, säger Olov Alderholm.
Automatiserade verktyg kompletterar manuell kontroll
OWASP och många andra mjukvaruföretag har därför tagit fram både automatiserade verktyg och dokumentation för hur en genomlysning ska genomföras.
– Vissa saker måste testas manuellt för det är en komplex miljö där man tittar på allt från applikationerna till webbservern till hårdvaran och brandväggarna. Hittills har jag inte gjort en enda analys där jag inte hittat säkerhetshål. Ibland har de varit riktigt stora och komplicerade, ibland enkla och lätta att åtgärda, säger Olov Alderholm.
Han rekommenderar att man gör en OWASP-analys åtminstone en gång om året.
– Så fort man gör en uppgradering, uppdatering, lägger till en funktion eller förändrar något borde man göra en analys. Stora företag har oftast ganska bra koll, men mindre företag, inte minst de som hanterar betalningar och personuppgifter, borde bli bättre. Det finns tjänster som kan skanna av och ge en grov bild, och vi håller också på att ta fram en sådan, men inget ersätter en riktig analys med manuella inslag, säger Olov Alderholm.
Sex råd för en säkrare it-drift
Är du osäker på hur skyddad du egentligen är på nätet? Olov Alderholm, försäljningschef säkerhet Atea region Väst, tillika CEH, certified ethical hacker, ger sina sex bästa tips.
Säkerhet är ordet på allas läppar och det är inte så konstigt. En enda sårbarhet kan få allvarliga konsekvenser för ett företag, både ekonomiskt och förtroendemässigt. Därför är det viktigt att ligga på framkant. Olov Alderholm, försäljningschef säkerhet Atea region Väst och certifierad etisk hackare, ger sina sex bästa råd för att hålla internets sabotörer borta.
- Skaffa en bra brandvägg med applikationsskydd, en WAF, web application firewall med intrångsdetektering. Det ger dig ett bättre skydd än en vanlig brandvägg.
- Skanna din webmiljö enligt OWASP minst en gång om året, oftare om du gör större förändringar, för att upptäcka eventuella säkerhetshål i mjukvaran.
- Om du inte själv äger din server bör du ha ett bra kontrakt med din tjänsteleverantör så att de håller din server uppdaterad och uppgraderad.
- Se till att din systemförvaltare har en bra uppdateringspolicy även för hårdvaran.
- Kontrollera att dina SQL-databaser är krypterade och att användarnamn och uppgifter inte flyter omkring okrypterade.
- Logga aktiviteten kontinuerligt mot dina servrar för att skapa dig en förståelse för hur trafiken ser ut, en så kallad baseline. Då kan loggarna hjälpa dig att utvärdera om något särskilt händer. Ibland kan du inte riktigt peka på vad som är annorlunda men loggarna hjälper dig att göra en riktig analys.
