Uit onderzoek blijkt dat meer dan 70% van alle websites kwetsbaar zijn voor eenvoudig te vinden kwetsbaarheden. Het is dan ook niet verwonderlijk dat criminele hackers het internet afscannen op kwetsbaarheden waarmee ze websites kunnen aanvallen.
Doordat hackers hun slachtoffers vaak geautomatiseerd aanvallen wordt een gemiddelde website tientallen keren per dag stiekem gecontroleerd door hackersgroepen op bekende kwetsbaarheden. Vaak zonder dat je dit doorhebt.
Je voorkomt dat je gehackt wordt door kwetsbaarheden sneller op te lossen dan dat hackers ze kunnen misbruiken. WebShepherd geeft je inzicht in wat de deze hackers tegen kunnen komen. De ethische hackers van CyberAnt hebben verschillende scantools gebundeld tot een super-scanner, die in staat is om meer dan 150.000 kwetsbaarheden te ontdekken. Na iedere scan controleert een beveiligingsexpert de resultaten en voorziet deze van de juiste duiding. Dit zorgt ervoor dat je een helder overzicht hebt met eventuele kwetsbaarheden. WebShepherd is een handige oplossing voor websites die te klein of niet belangrijk genoeg zijn om er een pentest of website security check op uit te voeren, maar waar je toch toezicht op wilt houden.
Wanneer je voor WebShepherd kiest krijg je toegang tot je eigen WebShepherd omgeving. Hierop zijn alle onderzoeksresultaten te zien. Je kunt hier inplannen hoe vaak je je website wilt laten onderzoeken en wanneer.
Op het ingestelde moment wordt je website gecontroleerd. Dit is een geautomatiseerd proces. Hierna gaat een van onze security experts de resultaten voor je analyseren en duiden. Wanneer deze klaar is, worden de resultaten van het onderzoek zichtbaar in je eigen omgeving. Je kunt de gevonden kwetsbaarheden direct bekijken, maar je kunt ook een rapportage downloaden. Elke kwetsbaarheid wordt voorzien van uitleg en een oplossing. Daarnaast zijn alle kwetsbaarheden bekeken en gecontroleerd, zodat je alleen relevante resultaten te zien krijgt.
WebShepherd controleert op meer dan 150.000 kwetsbaarheden en is dezelfde technologie als die gebruikt wordt bij onze pentesten. In deze enorme lijst zitten bijvoorbeeld controles op server misconfiguraties, op kwetsbaarheden in het CMS, gevoelige bestanden die per ongeluk openbaar gemaakt zijn, malware besmettingen en veelvoorkomende kwetsbaarheden bij websites, zoals die bijvoorbeeld in de OWASP top 10 beschreven worden. Daarnaast wordt er ook gecontroleerd of de beveiligde verbinding wel écht veilig is.
WebShepherd bundelt verschillende gerenommeerde scanners en tools die normaal alleen bij pentesten gebruikt worden om zo een volledigheid te bieden die nergens anders te vinden is. Na iedere scan controleert een security expert van CyberAnt bovendien handmatig de resultaten op relevantie en of de bevindingen accuraat zijn, en daarnaast vullen we deze aan met extra informatie zodat het voor jou als website eigenaar duidelijk is wat je concreet kunt doen om de veiligheid van je website te verbeteren.
Benieuwd hoe dit in de praktijk werkt? Hieronder staan een aantal case studies van kwetsbaarheden die WebShepherd gevonden heeft:
Git is een versiebeheer systeem dat ontwikkelaars veel gebruiken om websites te ontwikkelen. In een verborgen mapje wordt iedere wijziging die ooit gedaan is aan de code bijgehouden en daarnaast wie dit gedaan heeft en wanneer. Normaal gesproken wordt deze map goed beschermd, maar in dit geval was deze bescherming na een update verloren gegaan. Los van het feit dat het niet prettig is dat al deze data op straat komt te liggen, bevatte de code ook wachtwoorden, die door de hackers uitgelezen konden worden.
Soms kun je ook gehackt worden wanneer je website zelf helemaal veilig is. WebShepherd ontdekte dat de beheerder een webmailpakket geïnstalleerd had, zodat de klant zijn mail kon lezen. Deze webmail was naast de website en op dezelfde server geïnstalleerd. De maker van de webmail was helaas jaren geleden gestopt met het project, en in de laatste versie van het programma zat een ernstige kwetsbaarheid waarmee de server, en daarmee ook de website gecompromitteerd kon worden.
Regelmatig updaten is ook voor websites belangrijk. Een website die door WebShepherd gecontroleerd werd bleek niet voorzien te zijn van de laatste updates. Sinds de laatste geïnstalleerde update bleek een kwetsbaarheid in een gebruikte plug-in te zitten. Inmiddels waren er al kant en klare programmaatjes op het internet beschikbaar waarmee deze kwetsbaarheid met een druk op de knop misbruikt kon worden. Wanneer dit gebeurd is het over het algemeen een race tegen de klok om de kwetsbaarheid te dichten, want hackersgroepen gebruiken dit soort tooltjes om geautomatiseerd in te breken op iedere website die ze tegenkomen.
Het komt vaak voor dat websites vertellen welke software ze precies gebruiken, meestal in combinatie het exacte versienummer. In de ideale wereld is dit geen probleem natuurlijk, maar helaas zijn er zoekmachines zoals bijvoorbeeld shodan.io die dergelijke informatie opslaan en doorzoekbaar maken. Hierdoor kan iedereen zoeken op bijvoorbeeld VoorbeeldCMS versie 1.43. In de vorige case study werd al uitgelegd dat hackers het internet afstruinen op zoek naar een website met die kwetsbaarheid, maar wanneer je website zelf adverteert met deze informatie wordt het voor criminelen extra makkelijk: ze hoeven nu alleen maar de naam en versie in te vullen bij een dergelijke zoekmachine en ze krijgen een lijst met websites die kwetsbaar zijn. Door de versienummers te verwijderen van je website voorkom je dat je in zo’n lijst komt te staan.
Iedere situatie is anders. Benieuwd wat de beste oplossing voor jou is? Vul je gegevens in en we nemen contact met je op.
Klanten stellen tegenwoordig hoge eisen aan webbouwers op het gebied van cyber security, zelfs als dit zelf niet eens doorhebben. Vaak gaat de klant er namelijk vanuit dat jij als specialist de security ook wel op orde brengt voor hun website. Wanneer er dan iets fout gaat zal hun eerste vraag dan ook zijn: “waarom heb je dit niet voorkomen?”.
Met WebShepherd kun je het verschil maken ten opzichte van je concurrentie. In de offerte fase kun je aangeven dat bij de meeste marketing bureaus er geen security controle is inbegrepen. Voor een vaste lage prijs kun jij dit wel opnemen in je dienstverlening. De rapportage van WebShepherd kan tevens voorzien worden van je eigen huisstijl en logo.
Wanneer je als bedrijf een groot aantal websites hebt, is het lastig om goed toezicht te houden. Desondanks stellen instanties wel eisen aan al deze websites. Met WebShepherd kun je al deze website in een keer laten controleren op veelvoorkomende kwetsbaarheden.
In het handige dashboard kun je direct je websites volgens een vaste interval instellen. Hierdoor weet je zeker dat geen enkele website meer vergeten wordt. Bij de volgende audit heb je alle rapportages direct klaar staan. Zo weet je dat je altijd compliant bent.
