Genom att surfa vidare godkänner du att vi använder cookies. Jag förstår

En smartare it-nyhetssajt

Driftsäkra med OWASP

Har du hört talas om OWASP? Om inte är du inte ensam. Bakom akronymen döljer sig ett kraftfullt testramverk för att upptäcka säkerhetshålen i din it-drifts webapplikationer.

Text Miguel Guerrero 18 maj 2016 säkerhet

AdobeStock_97710924_OWASP.jpg

Varje sekund dygnet runt kommer cirka sex nya hot ut på internet. Att skydda sig kan framstå som ett sisyfosarbete, men det finns sätt att hålla sig om inte steget före så i alla fall i jämnhöjd. OWASP-analys är ett av de sätten.

Varje sekund dygnet runt kommer cirka sex nya hot ut på internet.

– OWASP är en organisation som håller koll på hur man skall testa webb- och mobilapplikationer mot säkerhetshot och risker på nätet. De har bland annat tagit fram en lista över de tio farligaste sårbarheterna och det är mot den man testar sin plattform, säger Olov Alderholm, försäljningschef region väst på Atea och CEH, certified ethical hacker.

Topplistan över farligaste hoten 

Hoten graderas på en skala från A1 för det värsta till A10. Vart tredje år revideras listan för att spegla utvecklingen på nätet. Målsättningen är att vara en hjälp för företag att undvika säkerhetshål och möjliga vägar till dataintrång och datastölder.

– Förut fanns det inte så mycket bakom en hemsida men idag är det otroligt många kopplingar. Banker, myndigheter och e-butiker är bara några typer av webbtjänster med många kopplingar till annat innehåll. Handlar du på ehandelssidor finns många gånger kopplingar till bland annat folkbokföringsuppgifter. Många vill åt informationen, vare sig det handlar om betalinformation eller annan personlig information.

Ett av de farligare hoten, nummer tre på OWASP:s lista, är crossite scripting (XSS).

– Hackare använder en sajt du litar på, till exempel en kommun eller e-handlare du brukar köpa från, för att skicka skadlig kod till användaren. Du går alltså in på den riktiga hemsidan men där finns ett säkerhetshål som används för att infektera din dator med till exempel ransomware eller annan skadlig kod, säger Olov Alderholm.

Automatiserade verktyg kompletterar manuell kontroll

OWASP och många andra mjukvaruföretag har därför tagit fram både automatiserade verktyg och dokumentation för hur en genomlysning ska genomföras.

– Vissa saker måste testas manuellt för det är en komplex miljö där man tittar på allt från applikationerna till webbservern till hårdvaran och brandväggarna. Hittills har jag inte gjort en enda analys där jag inte hittat säkerhetshål. Ibland har de varit riktigt stora och komplicerade, ibland enkla och lätta att åtgärda, säger Olov Alderholm.

Han rekommenderar att man gör en OWASP-analys åtminstone en gång om året.

– Så fort man gör en uppgradering, uppdatering, lägger till en funktion eller förändrar något borde man göra en analys. Stora företag har oftast ganska bra koll, men mindre företag, inte minst de som hanterar betalningar och personuppgifter, borde bli bättre. Det finns tjänster som kan skanna av och ge en grov bild, och vi håller också på att ta fram en sådan, men inget ersätter en riktig analys med manuella inslag, säger Olov Alderholm.

owasp.png

Sex råd för en säkrare it-drift

Är du osäker på hur skyddad du egentligen är på nätet? Olov Alderholm, försäljningschef säkerhet Atea region Väst, tillika CEH, certified ethical hacker, ger sina sex bästa tips.

Säkerhet är ordet på allas läppar och det är inte så konstigt. En enda sårbarhet kan få allvarliga konsekvenser för ett företag, både ekonomiskt och förtroendemässigt. Därför är det viktigt att ligga på framkant. Olov Alderholm, försäljningschef säkerhet Atea region Väst och certifierad etisk hackare, ger sina sex bästa råd för att hålla internets sabotörer borta. 

  • Skaffa en bra brandvägg med applikationsskydd, en WAF, web application firewall med intrångsdetektering. Det ger dig ett bättre skydd än en vanlig brandvägg.
  • Skanna din webmiljö enligt OWASP minst en gång om året, oftare om du gör större förändringar, för att upptäcka eventuella säkerhetshål i mjukvaran.
  • Om du inte själv äger din server bör du ha ett bra kontrakt med din tjänsteleverantör så att de håller din server uppdaterad och uppgraderad.
  • Se till att din systemförvaltare har en bra uppdateringspolicy även för hårdvaran.
  • Kontrollera att dina SQL-databaser är krypterade och att användarnamn och uppgifter inte flyter omkring okrypterade.
  • Logga aktiviteten kontinuerligt mot dina servrar för att skapa dig en förståelse för hur trafiken ser ut, en så kallad baseline. Då kan loggarna hjälpa dig att utvärdera om något särskilt händer. Ibland kan du inte riktigt peka på vad som är annorlunda men loggarna hjälper dig att göra en riktig analys.

Rekommenderad läsning

Automatisering lyfter Umeå universitet

6 maj 2016 digit

umea_universitet.jpg umea_universitet.jpg umea_universitet.jpg

ITS vid Umeå universitet har tillsammans med Atea skapat nya flöden för självbetjäning och automatisering med hjälp av virtuella servrar.

Ny vårdapp gör hemtjänsten säkrare

12 maj 2016 digit

vadstena.jpg vadstena.jpg vadstena.jpg

I appen Viva omsorg finns all information hon behöver om de vårdtagare hon ska besöka. Sedan i höstas är vårdappen navet i Vadstena kommuns omsorgsverksamhet.

Vägvalet

17 maj 2016 digit

smedjebacken.jpg smedjebacken.jpg smedjebacken.jpg

Smedjebackens kommun stod vid ett vägskäl. Att förnya och bygga ut sitt datacenter på egen hand var en möjlighet, om än kostsam. Valet blev att outsourca. Här är deras erfarenheter.

Så löste Flash flaskhalsen för Bilia

13 maj 2016 digit

Bilia04.jpg Bilia04.jpg Bilia04.jpg

Sensommaren 2015 blev Bilias it-system segt som sirap. Det kunde ta 30 minuter att logga in och frustrationen bland de 3 000 medarbetarna växte.

Bilias it-avdelning säljer tjänster

13 maj 2016 digit

Bilia11.jpg Bilia11.jpg Bilia11.jpg

Bilias it-verksamhet är så kompetent att den knoppats av i ett dotterbolag som ska sälja tjänster till andra bilåterförsäljare. Även om it-avdelningen utvecklar egna service- och bokningssystem, så är driftmiljön för medarbetarna viktigast.

Säkerhetshoten ingen teknik kan stoppa!

16 maj 2016 säkerhet

Nohlberg.jpg Nohlberg.jpg Nohlberg.jpg

När säkerhetssystemen blir allt mer sofistikerade finns det en sårbarhet som förblir konstant: människan. Social engineering, på svenska social manipulation, är ett av de viktigaste verktygen för den som vill åt din företagsinformation.

Därför valde riksförbundet trådlöst

24 maj 2016 digit

Riksidrottsförbundet.jpg Riksidrottsförbundet.jpg Riksidrottsförbundet.jpg

Bättre täckning, en ökad rörlighet samt att it-avdelningen slipper tänka på drift och support. Det är de främsta skälen till att Riksidrottsförbundet valde en trådlös och molnbaserad it-tjänst, säger Fredrik Larsson, it-chef på Riksidrottsförbundet.

Så blev Försäkringskassan tjänstefierat

25 maj 2016 digit

forsakringskassan.jpg forsakringskassan.jpg forsakringskassan.jpg

Med en omsättning som är en fjärdedel av BNP är Försäkringskassan en av Sveriges giganter. Att lägga om kursen för it-strukturen var därför en tuff utmaning för Peter Axelborn, produktchef it på Försäkringskassan. Idag är den gamla produktstrukturen borta och tjänstefieringen en god bit på vägen.

Ciscos nät lyfter kommuner

25 maj 2016 digit

318115-helsingborg.jpg 318115-helsingborg.jpg 318115-helsingborg.jpg

Att införa trådlösa nätverk i kommunerna innebär inte bara stora utmaningar för it-avdelningarna utan även stora möjligheter för alla delar av de kommunala verksamheterna. Det menar Peter Jerhamre, systemingenjör på Cisco och expert på nätverk.