Nieuws


Versie 2.0 van nieuwe OWASP Top 10 gepubliceerd

OWASP biedt leidraad voor incident-response

De ‘OWASP Top 10’ is een begrip in securityland. De bekendste OWASP-hitlijst biedt een opsomming van de meest kritische kwetsbaarheden die worden aangetroffen in webapplicaties. Deze lijst kreeg enkele jaren geleden al gezelschap van de ‘OWASP Mobile Top 10’. Daar komt nu een ‘Top 10 Considerations For Incident Response’ bij.

Versie 2.0 van de Top 10 Considerations For Incident Response werd vorige week gepubliceerd op de website van het Open Web Application Security Project. In tegenstelling tot de oer-top-10 van de OWASP biedt de nieuwe lijst geen overzicht van risico’s of kwetsbaarheden, maar van ‘overwegingen’ (considerations) die bij incident-reponse in overweging moeten worden genomen.

Audit als startpunt
De belangrijkste vraag die bij incident-response volgens OWASP om de hoek komt kijken, is: “Waar beginnen we?” Het advies om te beginnen met een audit om een goed beeld te krijgen waar de organisatie staat. Kort samengevat zijn dit de overwegingen die bij het bepalen van een incident-response-aanpak moeten worden meegenomen:

  1. Begin met een audit en due diligence.
  2. Stel een responseteam samen.
  3. Stel een gedocumenteerde incident-responseplan op.
  4. Identificeer uw triggers en indicatoren. Wat wordt als een incident aangemerkt?
  5. Onderzoek het probleem.
  6. Stel voor verschillende typen incidenten een mitigatieplan op.
  7. Herstel.
  8. Documenteer en rapporteer, en dat gaat verder dan het sturen van een e-mail naar de teamleden.
  9. Review het proces.
  10. Oefenen, oefenen, oefenen.

Tot slot drukt OWASP zijn lezers op het hart dat incident-response niet alleen de verantwoordelijkheid van de IT-afdeling of een andere speciale afdeling is. Incident-response is een verantwoordelijkheid van de gehele organisatie. “Het moet duidelijk worden gecommuniceerd dat fundamentele zaken of de dienstverlening van een organisatie in gevaar komen bij incidenten.”


Tekst: Ferry Waterkamp, freelance journalist

Lees meer over