Deloitte: HelloID Security scan
Twee keer per jaar testen/reviewen experts van Deloitte de beveiliging van onze HelloID dienstverlening. De recente test toonde aan dat het HelloID security niveau hoog ligt. Voor Tools4ever is dit steeds weer een belangrijk onderzoek dat ons scherp houdt en stimuleert om onze technologie en diensten te blijven verbeteren. Ook voor onze klanten is het natuurlijk goed om te weten dat iedere 6 maanden onafhankelijke specialisten met een kritische blik naar de HelloID oplossing kijken. Zodat we eventuele kwetsbaarheden ontdekken voor ze echt kwaad kunnen.
Waarom onderzoek door externe ‘ethical hackers’?
Tools4ever heeft een groot aantal security experts binnen de eigen gelederen. We zijn niet voor niets ontwikkelaar van Identity & Access Management producten. Vanzelfsprekend laten we onze experts ook zelf binnenshuis regelmatig pogingen doen om de eigen oplossingen aan te vallen. Toch vinden we het belangrijk dat er ook structureel door een andere partij kritisch naar onze systemen wordt gekeken. Zo’n externe review houdt ons scherp, voorkomt het ontstaan van blinde vlekken en uiteraard geldt de uitdrukking ‘vreemde ogen dwingen’ ook voor ons.
Met de ethical hackers van Deloitte hebben we gekozen voor gegarandeerd onafhankelijke en uitstekend gekwalificeerde beveiligings-experts. Experts waarvan bovendien de integriteit door Deloitte wordt gegarandeerd. Want we willen natuurlijk niet alleen zekerheid over de kwaliteit van de security tests, maar ook over de betrouwbaarheid van de testers. Zodat u als klant zeker weet dat de testresultaten op geen enkele manier worden misbruikt.
Scope van het HelloID security onderzoek
Het 6-maandelijkse onderzoek is geen ‘papieren tijger’. Het is niet slechts een deskreview van het HelloID ontwerp en de specificaties. Het onderzoek betreft daadwerkelijk pogingen van professionele ethical hackers om het systeem aan te vallen. De ethical hackers zijn opgeleid om met de bril van een doorgewinterde cybercrimineel naar IT systemen te kijken en kwetsbaarheden te herkennen waar anderen wellicht overheen kijken. Men maakt hierbij onder andere gebruik van de NCSC ICT-B v2richtlijnen en de OWASP Top 10 Application Security Risks van 2013 en 2017.
Uiteraard omvat de test de traditionele blackbox testen. Deze testen zijn erop gericht zonder kennis van het systeem binnen te dringen en toegang te krijgen tot functionaliteit en data. Bij onze applicatie security test gaan de testers echter nadrukkelijk verder en voeren zogeheten grey box testen uit. Bij een grey box test wordt ook gezocht naar beveiligingszwaktes in specifieke onderdelen van HelloID, waarbij de hackers informatie krijgen over de interne werking van de software. Als laatste wordt gekeken naar de mogelijkheden die geautoriseerde gebruikers binnen het systeem hebben. Kunnen ze meer dan eigenlijk de bedoeling is? Erg belangrijk uiteraard want we weten dat veel fraude en cybercriminaliteit juist binnen organisaties zelf plaatsvinden. We laten bij HelloID dus niet alleen de kwaliteit van de voordeur testen, maar kijken ook naar de veiligheid van de applicatie als iemand rechtmatig binnen is.
De testen zelf bestrijken daarbij de volle breedte van mogelijke kwetsbaarheden. Van mogelijk te gedetailleerde systeem meldingen tot aan de aanwezigheid van cross-site scripting (XSS) kwetsbaarheden.
Risico analyse
Ieder potentiële kwetsbaarheid die aan het licht komt, krijgt een risico kwalificatie die ons helpt het probleem met de juiste prioriteit aan te pakken. Deze risico inschatting volgt uit de kans dat een potentiële kwetsbaarheid kan worden ontdekt en geëxploiteerd, en de impact ervan als dat daadwerkelijk gebeurt:
- De kans hangt bijvoorbeeld af van de complexiteit van de betreffende kwetsbaarheid. Is de kwetsbaarheid te misbruiken door het nalopen van een simpel stappenplan of is er fysieke toegang tot de servers nodig om de kwetsbaarheid te misbruiken?
- De impact is de omvang van de mogelijke schade die een kwetsbaarheid kan veroorzaken. Het maakt vanzelfsprekend nogal wat uit of dat een kortdurende onderbreking van de dienstverlening is of juist een serieus datalek.
De Low en Medium Risks ontvangen wij als onderdeel van de testrapportage, waarna onze experts ermee aan de slag gaan. Onverhoopte High Risks worden onmiddellijk door de testers geëscaleerd, zodat Tools4ever experts direct een oplossing kunnen ontwikkelen en uitrollen. Gelukkig komen dat soort kwetsbaarheden zelden voor.
Bij iedere test zijn er uiteraard wel Low en Medium risico’s. De technologie ontwikkelt zich voortdurend, evenals de kennis en hulpmiddelen die beschikbaar zijn voor kwaadwillenden. Dat betekent dat we nooit volledig klaar zijn en ieder keer weer zaken vinden die nog beter kunnen. Dat is dan ook de grote meerwaarde van zo’n 6-maandelijke beveiligingsscan. We blijven scherp en houden de HelloID dienst beveiligingstechnisch volledig up-to-date.
Meer weten over deze beveiligingsscan?
De gedetailleerde inhoud van onze security scans mogen wij niet publiceren. Wel zien onze klanten het effect ervan steeds terug in de vorm van aanpassingen, verbeteringen en bugfixes in onze reguliere release notes. Daarnaast vertellen onze accountmanagers graag meer over onze reguliere beveiligingstests.
Tools4ever releaset maandelijks de nieuwe features en updates van de HelloID software. Wilt u hiervan op de hoogte blijven?