Websitescan
Deze scan controleert wekelijks de website(s) op een groot aantal bekende securityproblemen. Hierbij richten we ons niet alleen op de website scannen, maar ook op de server waarop de site gehost wordt. Hierbij wordt elke link en folder op de website gescand, op zoek naar kwetsbaarheden. Daarbij maakt het niet uit of de website gebruik maakt van een standaard content management system (zoals WordPress of Joomla) of een maatwerksysteem.Voorbeelden van kwetsbaarheden die de scan vindt:
• Injectiemogelijkheden en kwetsbaarheden
• Foutief sessiemanagement
• Authenticatieproblemen
• Script-injectiemogelijkheden
• Manipuleren en vervalsen van transacties
• Meest misbruikte webapplicatiekwetsbaarheden
• Niet gevalideerde verwijzingen
• Kwetsbaarheden in het CMS, inclusief eventuele plugins van derden
• TLS/SSL-problemen
• Server- /architectuurproblemen
• Configuratieproblemen
• Gevoeligheid voor DDoS-/reflectionaanvallen
Security
Om de veiligheid van SIDN CyberSterk te kunnen garanderen hebben we maatregelen getroffen om het platform en de hardware zo goed mogelijk te beschermen.Hardware
• De hardware is ‘tamperproof’ opgezet en voorzien van een unieke key/identifier.• Elke 5 minuten stuurt de CyberSterk-box een heartbeat met daarin de ID van de box en een hash van de geïnstalleerde software. Wijzigingen aan de hardware of de software worden direct gedetecteerd.
• Upgrades en onderhoud worden volledig vanuit ons platform gemanaged en gekoppeld aan de unieke key van de CyberSterk-box.
Platform
• Het platform wordt gehost bij Nederlandse partijen die ISO 27001 en NEN 7510 gecertificeerd zijn.• Voor het SIDN CyberSterk-platform zetten wij de technologie in van Guardian360 en SecureMe2.
• De omgeving met klantdata (administratie) en de omgeving met scanresultaten (meta-data) worden op aparte locaties gehost.
• Wij maken geen gebruik van buitenlandse partijen voor de opslag en verwerking van data. Alleen voor de hiervoor genoemde ‘heartbeat’ van de SIDN CyberSterk-box maken wij gebruik van AWS (Amazon Webservices) in Frankfurt, met een fallback naar AWS Ierland. Deze ‘heartbeat’ bevat echter geen herleidbare informatie proces
• Zowel de hardware als het softwareplatform worden regelmatig onderworpen aan security-audits en pentesten.
• Vigilia Intenet Security verstrekt nooit data (klantgegevens, ruwe data of rapportages) aan derden.
• Alleen bevoegde medewerkers hebben toegang tot de scanresultaten.
Geïnteresseerd?
Bent u benieuwd wat we voor uw bedrijf kunnen betekenen?
Bel, mail of geef uw gegevens door voor een terugbelverzoek, dan nemen we contact met u op.