Applicaties beveiligen met AppSec

Volgens application security product manager Stephan Steglich van Sky Betting & Gaming, dat twee jaar geleden met AppSec begon, is het voor het doorbreken van de silo's belangrijk eerst uit te zoeken wat AppSec precies kan betekenen voor het bedrijf. “Toen wij begonnen wisten we eigenlijk nog niet precies wat AppSec was. Wat kon dit voor ons betekenen? Welke strategieën hebben we nodig?”, legt hij uit.

De beste aanpak is wat hem betreft om niet direct op grote verbeteringen te focussen. “We kijken steeds naar waar we nu zijn en wat we nodig hebben. Dat breken we op in kleine stapjes, zodat we iedere week iets kunnen verbeteren. Dat kan echt iets heel kleins zijn dat zich niet direct uitbetaalt, maar op de lange termijn wel vruchten afwerpt. Als ik na een tijd een stap terugneem en kijk naar alles wat we gedaan hebben, dan zie ik dat er al best veel verbeterd is in de afgelopen jaren. Voor mij draait het dus echt om die kleine, constante verbeteringen.”

Ook Vinson adviseert om klein te starten. “Richt je op ervaren beveiligingsprofessionals en zet hen in kleine teams om uit te zoeken wat de benodigde beveiligingsmaatregelen en -processen zijn. Van daaruit kun je dan opschalen.” Daarnaast is het belangrijk de developers te trainen. “Leer hen hoe ze moeten testen en hoe ze security controls op zo’n manier toevoegen dat ze effectief zijn.”

Wanneer selecteer je tools?

Net als bij vrijwel alles in ICT, mogen ook bij AppSec de juiste tools niet ontbreken. Door de tools aan het begin te selecteren, kunnen developers en securityspecialisten snel inzicht krijgen in het huidige beveiligingsniveau. “Alleen wat je test kun je verbeteren, dus daar wil je een aantal tools voor. Dan kun je leren van wat er nu fout gaat”, legt Steglich uit.

Gagan Bhatia, head of cyber security delivery bij het vijf jaar oude 10x Banking, waarschuwt om niet te snel van alles vast te leggen. “Je wil security onderdeel maken van je development lifecycle en ontwikkelgemeenschap. Dat werkt het beste als je ontwikkelaars niet dwingt om iets op een bepaalde manier te doen. Laat ze creatief zijn. Dan kan AppSec echt onderdeel worden van je ontwikkelgemeenschap.”

Definieer succes

Alle drie de experts hebben inmiddels enige jaren ervaring met AppSec-programma’s binnen hun bedrijven. Toch verschillen de manieren waarop ze bepalen of de inspanningen tot nu toe succesvol zijn geweest. Bij Pearson en 10x Banking wordt veel met metrics gewerkt, bijvoorbeeld om meer transparantie te bieden.

“Mensen praten gewoonlijk niet graag over kwetsbaarheden. Mensen weten niet of ze in een app zitten, of ze zijn er niet open over. Daarom maken wij juist een rapport over alle kwetsbaarheden die in het platform blijven zitten", vertelt Bhatia. "Dat zijn bijvoorbeeld zwakke plekken die we niet kunnen oplossen, omdat er nog geen patch beschikbaar is. Dus hoe kunnen we dat risico dan op een andere manier beperken? We leveren rapportages over alle kwetsbaarheden die we geïdentificeerd hebben en doen scans om te zien wat mensen per ongeluk gemist hebben. Zo krijgen we een constante feedback-loop van de kennis van onze ontwikkelaars.”

Bij Sky Betting & Gaming zijn ze juist een stuk voorzichtiger met het leveren van metrics, omdat de juiste context altijd belangrijk is, vertelt Steglich. “Je kunt metrics ook gebruiken om aan te tonen dat de wereld plat is, maar we weten dat dat niet klopt.” Daarom wordt bij Sky Betting & Gaming vooral gekeken naar andere vormen van resultaat: “Als iemand in een vergadering iets over AppSec zegt, is dat ook al een succes. Ze praten erover, dus we veranderen dingen op positieve wijze. En uiteindelijk draait alles om het verbeteren van de kwaliteit. Als we nu iets weten over een kwetsbaarheid wat we gisteren nog niet wisten, dan is dat een succes.”