Volg de cyber security opleiding op maat van software ontwikkelaars en leer veilig programmeren. Contacteer me voor meer informatie.
Cyber security opleiding
Een tijdje geleden werd ik gevraagd een cyber security opleiding te verzorgen voor een team van programmeurs. Ik was verrast te ontdekken dat heel wat programmeurs weinig tot geen kennis hebben van de cyber security risico’s die hun code tot gevolg kan hebben. Nochtans kan een korte cyber security opleiding snel verbetering brengen hierin.
Cybercriminaliteit is ook jouw zorg
De vraag is al lang niet meer of een bedrijf ooit te maken zal krijgen met cybercriminaliteit maar wel wanneer dit zal gebeuren. Een cyber security opleiding is dan ook geen overbodige luxe. Geen enkele onderneming ontkomt er namelijk nog aan. Er komt een dag dat je organisatie wordt gehackt. Het besef over het belang van cyber security is ondertussen bijna overal doorgedrongen. Vorig jaar werd één op vijf bedrijven het slachtoffer van cyberaanvallen. Maar niet alle bedrijven nemen ook echt effectieve maatregelen. De risico’s voor een organisatie zijn nochtans enorm.
Software ontwikkelaars spelen een belangrijke rol in dit verhaal. Weinig organisaties lijken zich daarvan voldoende bewust. Veilige software ontwikkelen die minstens goed beveiligd is tegen de meest belangrijke en meest voorkomende cyberaanvallen is een minimum.
Een cyber security opleiding is noodzakelijk
Het is dan ook onvoorstelbaar dat zo weinig software ontwikkelaars opgeleid worden om deze belangrijkste risico’s te leren kennen en te leren hoe je veilige software kan ontwikkelen. Een echte cyber security opleiding voor software ontwikkelaars staat helaas slechts zelden op het programma. Tot het te laat is en de IT manager hiervoor de verantwoordelijkheid moet nemen. Men zou beter preventief nagaan of de aanwezige software ontwikkelaars wel over de nodige kennis en ervaring beschikken om hun software veilig te ontwikkelen en deze te beschermen tegen de meest voorkomende risico’s.
De investering in een cyber security opleiding voor software ontwikkelaars is vaak een peulschil in vergelijking met de security risico’s die een organisatie loopt en de mogelijke verstrekkende en langdurige gevolgen daarvan.
Cyber security opleiding voor programmeurs
Ik werd onlangs gevraagd een praktische “secure coding” opleiding te geven aan software ontwikkelaars. Deze ICT opleiding had als bedoeling om een team van ervaren software ontwikkelaars bewust te maken van de security risico’s en hen veilig te leren programmeren op een heel praktische manier met duidelijke tips en aanwijzingen wat wel en wat niet veilig is.
Tot mijn verrassing stelde ik vast dat een dergelijke opleiding nauwelijks te vinden is!
Er bestaat nochtans wel een zeker aanbod aan cyber security opleidingen maar deze richten zich niet tot software ontwikkelaars. In het beste geval lichten ze op een eerder theoretische manier toe welke de belangrijkste cyber security risico’s zijn. Deze opleidingen zijn echter absoluut niet praktisch ingericht om veilig te leren programmeren. Ook maken ze te weinig duidelijk wat de immense verantwoordelijkheid en rol is van de software ontwikkelaar zelf in het hele cyber security verhaal.
Ik heb uiteindelijk zelf een praktische – tweedaagse – cyber security opleiding samengesteld op maat van software ontwikkelaars. Contacteer me voor meer informatie hierover.
Cyber security risico’s
Dit zijn enkele van de belangrijkste risico’s en mogelijke gevolgen voor je bedrijf als je het slachtoffer wordt van een cyberaanval. Een cyber security opleiding voor programmeurs kan heel wat van deze risico’s voorkomen.
Stilleggen van je bedrijf
Steeds vaker slagen kwaadwillige hackers erin om essentiële bedrijfsprocessen stil te leggen. Het voortbestaan en de continuïteit van je onderneming komt daarmee direct in gevaar want je kunt de producten en diensten niet langer leveren waar je klanten op rekenen. Dat kan ook ernstige gevolgen hebben voor je bedrijfsimago en je bedrijfsreputatie op langere termijn. Een miljoenenschade is dan niet uitgesloten.
Diefstal van cruciale gegevens
In het huidige informatietijdperk kan verlies of diefstal van gegevens ernstige gevolgen hebben. Bepaalde informatie kan lastig te vervangen zijn of kan cybercriminelen de kans bieden om de digitale identiteit van je medewerkers of je klanten te stelen. Dit kan leiden tot een ernstige inbreuk op deze mensen hun privacy. Ook kunnen gegevens van je bedrijf gestolen worden en in verkeerde handen komen. Denk maar aan je klantenbestand, financiële informatie, technische documentatie, bankgegevens, enzovoort.
OWASP Top 10
Het Open Web Application Security Project (OWASP) is een open source-project rond de beveiliging van web applicaties. De OWASP Top 10 is samengesteld door een internationaal team van security specialisten. In deze top tien zijn de meest voorkomende veiligheidsrisico’s en kwetsbaarheden opgenomen die door software ontwikkelaars per ongeluk ingebouwd worden in web applicaties en in software toepassingen in het algemeen.
In deze cyber security opleiding voor software ontwikkelaars worden elk van deze OWASP Top 10 kwetsbaarheden op een praktische manier toegelicht. De deelnemers aan de opleiding gaan vervolgens aan de slag met door de lesgever aangeboden stukjes code en software. De kwetsbaarheden in de code moeten door de cursisten geïdentificeerd worden en vervolgens ook zelfstandig verholpen worden.
Hieronder een beschrijving van de OWASP Top 10 versie 2017.
A1 – Injection
Hackers kunnen zwakheden in je software benutten om onveilige code te injecteren. Een bekende vorm van code injectie is SQL injection maar er zijn nog tal van andere injectie mogelijkheden. Injectie kan optreden als onbetrouwbare gegevens per ongeluk uitgevoerd worden door je software. Deze door de aanvaller geïnjecteerde data kan ervoor zorgen dat je programma onbedoelde commando’s uitvoert of zich toegang verschaft tot gegevens zonder hiervoor de juiste rechten te hebben.
A2 – Broken Authentication
Functionaliteiten in applicaties en bedrijfstoepassingen die betrekking hebben op inloggen, authenticatie van gebruikers en sessie management worden vaak niet correct toegepast door programmeurs. Daardoor kunnen hackers wachtwoorden en sleutels onderscheppen of andere gebreken van de applicatie om de identiteit van andere gebruikers over te nemen.
A3 – Sensitive Data Exposure
Veel web applicaties beschermen gevoelige gegevens onvoldoende. Dit zijn gegevens zoals creditcards, bankrekeningen, email adressen, medische gegevens en inloggegevens. Aanvallers kunnen deze gegevens stelen of deze slecht beschermde gegevens wijzigen om creditcard fraude, identiteitsdiefstal of andere misdrijven mee uit te voeren. Gevoelige gegevens verdienen extra bescherming zoals versleuteling in de applicatie of tijdens het transport, alsmede speciale voorzorgsmaatregelen bij het uitwisselen van deze gegevens.
A4 – XML External Entities (XXE)
Dit risico verwijst naar slecht geconfigureerde XML-parsers die externe entiteit referenties binnen XML-documenten evalueren. Aanvallers kunnen deze zwakheden gebruiken om aanvallen uit te voeren. Dit onder meer voor het uitvoeren van externe code en voor het vrijgeven van interne bestanden en gegevens.
A5 – Broken Access Control
Beperkingen op wat geautoriseerde gebruikers mogen doen, worden vaak niet goed afgedwongen. Aanvallers kunnen dit misbruiken om ongeautoriseerd toegang te krijgen tot functionaliteit en/of gegevens, zoals toegang tot accounts van andere gebruikers, het bekijken van gevoelige bestanden, wijzigen van gegevens van andere gebruikers, wijzigen van toegangsrechten, enzovoort.
A6 – Security Misconfiguration
Goede beveiliging vereist een veilige configuratie en instelling van de applicatie, software componenten, server, database, besturingssysteem, enzovoort. De default configuratie en beveiligingsinstelling is vaak niet veilig genoeg. Beveiligingsinstellingen moeten daarom grondig worden geëvalueerd, gedefinieerd, geïmplementeerd en onderhouden. Uiteraard moet de software zelf ook uptodate worden gehouden.
A7 – Cross-Site Scripting (XSS)
Cross-site scripting (XSS) doet zich voor wanneer een aanvraag met onbetrouwbare gegevens wordt verstuurt naar een web applicatie die niet de juiste validaties of controles ingebouwd heeft. XSS aanvallers hebben zo de mogelijkheid om onveilige en onbedoelde scripts uit te voeren in de browser van je gebruikers, hun gebruikerssessie te kapen of hen naar kwaadaardige websites om te leiden.
A8 – Insecure Deserialization
Onveilige deserialisatie kan een aanvaller in staat stellen om kwaadaardige code op afstand uit te voeren in de applicatie, injectie aanvallen uit te voeren en rechten van gebruikers op te heffen of over te nemen.
A9 – Using Components with Known Vulnerabilities
Software ontwikkelaars maken gebruik van tal van open-source componenten zoals libraries, frameworks, en andere software modules die in hun code ingebouwd worden. Deze externe componenten worden bijna altijd met volledige privileges uitgevoerd. Als een kwetsbare component wordt misbruikt door een hacker kan een dergelijke aanval ernstig verlies van gegevens of een overname van de server vergemakkelijken. Applicaties die gebruik maken van componenten met bekende kwetsbaarheden kunnen de beveiliging ondermijnen en een reeks van aanvallen eenvoudig mogelijk maken.
A10 – Insufficient Logging & Monitoring
Onvoldoende logging en monitoring van beveiligingsincidenten stellen aanvallers in staat om regelmatig over te stappen naar andere technieken en bedreigingen en dit gedurende weken of maanden in stand te houden voordat het wordt ontdekt.
Volg de cyber security opleiding
Heb je interesse in deze opleiding? Contacteer me dan gerust via deze website voor meer informatie of maak een afspraak om dit verder te bespreken.
ICT opleidingen
Ik geef nog tal van andere ICT opleidingen, en dit voornamelijk aan software ontwikkelaars en software architecten. Op deze pagina vind je een overzicht en korte omschrijving van elke individuele ICT opleiding. Contacteer me gerust als je een andere ICT opleiding zoekt.
0 reacties