10.4 Blijf testen

Beveiliging is een continu proces. De dreigingen en aanvalsmogelijkheden veranderen steeds en door aanpassingen aan de app kunnen nieuwe kwetsbaarheden of fouten geïntroduceerd worden. Test daarom de app regelmatig. Zowel tijdens het ontwikkelproces maar ook tijdens de reguliere exploitatie. Ontwikkelen en ingebruikname gebeurt in een OTAP-fasering (ontwikkel, test, acceptatie en productie). Zowel in de test- als de productiefase zijn testen relevant. In de testfase dient de app gecontroleerd te worden of er geen ontwikkelfouten en kwetsbaarheden aanwezig zijn, alle genomen beveiligingsmaatregelen afdoende functioneren en de app geen data lekt tijdens het gebruik. Een groot deel van deze testen kan ook via een geautomatiseerde teststraat worden uitgevoerd. Deze kunnen ook als dienst worden afgenomen. Tijdens de productie is het raadzaam de app periodiek (bv. jaarlijks) via een penetratietest te testen op kwetsbaarheden. Daarbij moet rekening gehouden worden met de nieuw ontdekte (generieke) kwetsbaarheden, de verschillende aanvalsvectoren en de ontwikkelingen daarin. De in de test opgedane bevindingen dienen afhankelijk van de impact direct te worden opgelost, of meegenomen te worden in het release-/lifecyclemanagement van de app. Voor het opzetten van testen, het benoemen van testpunten en de beoordeling van de bevindingen zijn verschillende methodieken en handreikingen beschikbaar. Denk bijvoorbeeld aan de Penetration Testing Execution Standard (PTES), OWASP en het CVSS scoresysteem (Common Vulnerability Scoring System). Deze methodieken zijn ook bruikbaar voor testen op apps.

Het NCSC heeft een whitepaper dat het proces van dergelijke testen beschrijft.

Volgende pagina: 11 Beheer en distributie