Development

Applicaties beveiligen met AppSec
Maak security een constant onderdeel van softwareontwikkeling door klein te beginnen.
Maak security een constant onderdeel van softwareontwikkeling door klein te beginnen.
De wereld wordt regelmatig opgeschud door nieuwe kwetsbaarheden die in software worden gevonden. Als bedrijf wil je voorkomen dat ook jouw producten op deze manier in het nieuws komen. AppSec kan daar goed bij helpen. Tijdens beveiligingsconferentie SnykCon deelden drie ervaringsdeskundigen tips over hoe je een AppSec-team kunt opzetten.
Hoewel veel bedrijven al jaren aandacht besteden aan security, zitten sommige beveiligingsteams nog echt in een eigen silo. Een developmentteam maakt een app en pas als die klaar is, gaat het security-team kijken of er kwetsbaarheden in zitten die opgelost moeten worden.
Bedrijven die met AppSec werken, pakken het anders aan. AppSec (Application Security) is een werkwijze waarmee kwetsbaarheden tijdens het ontwikkelingsproces van applicaties worden opgespoord, opgelost en als het even kan worden voorkomen. Developers werken in dat proces niet alleen veel nauwer samen met securityprofessionals, maar worden ook veel meer verantwoordelijk voor de beveiliging van de app die ze ontwikkelen.
Daarvoor moeten de silo’s wel eerst doorbroken worden, wat direct een eerste uitdaging oplevert, zien ICT’ers die zelf een AppSec-programma op hebben gezet. Nicholas Vinson, directeur en het hoofd van DevSecOps bij Pearson, tijdens SnykCon: “Drie jaar geleden [toen Pearson met AppSec begon, red.] was er nog weinig samenwerking tussen SecOps en development. Dus we probeerden veel meer samen te gaan werken met die teams om security een normaal onderdeel te maken van de ontwikkelactiviteiten, net zoals DevOps.”
Kleine stapjes, grote veranderingen
Volgens application security product manager Stephan Steglich van Sky Betting & Gaming, dat twee jaar geleden met AppSec begon, is het voor het doorbreken van de silo's belangrijk eerst uit te zoeken wat AppSec precies kan betekenen voor het bedrijf. “Toen wij begonnen wisten we eigenlijk nog niet precies wat AppSec was. Wat kon dit voor ons betekenen? Welke strategieën hebben we nodig?”, legt hij uit.
De beste aanpak is wat hem betreft om niet direct op grote verbeteringen te focussen. “We kijken steeds naar waar we nu zijn en wat we nodig hebben. Dat breken we op in kleine stapjes, zodat we iedere week iets kunnen verbeteren. Dat kan echt iets heel kleins zijn dat zich niet direct uitbetaalt, maar op de lange termijn wel vruchten afwerpt. Als ik na een tijd een stap terugneem en kijk naar alles wat we gedaan hebben, dan zie ik dat er al best veel verbeterd is in de afgelopen jaren. Voor mij draait het dus echt om die kleine, constante verbeteringen.”
Ook Vinson adviseert om klein te starten. “Richt je op ervaren beveiligingsprofessionals en zet hen in kleine teams om uit te zoeken wat de benodigde beveiligingsmaatregelen en -processen zijn. Van daaruit kun je dan opschalen.” Daarnaast is het belangrijk de developers te trainen. “Leer hen hoe ze moeten testen en hoe ze security controls op zo’n manier toevoegen dat ze effectief zijn.”
Wanneer selecteer je tools?
Net als bij vrijwel alles in ICT, mogen ook bij AppSec de juiste tools niet ontbreken. Door de tools aan het begin te selecteren, kunnen developers en securityspecialisten snel inzicht krijgen in het huidige beveiligingsniveau. “Alleen wat je test kun je verbeteren, dus daar wil je een aantal tools voor. Dan kun je leren van wat er nu fout gaat”, legt Steglich uit.
Gagan Bhatia, head of cyber security delivery bij het vijf jaar oude 10x Banking, waarschuwt om niet te snel van alles vast te leggen. “Je wil security onderdeel maken van je development lifecycle en ontwikkelgemeenschap. Dat werkt het beste als je ontwikkelaars niet dwingt om iets op een bepaalde manier te doen. Laat ze creatief zijn. Dan kan AppSec echt onderdeel worden van je ontwikkelgemeenschap.”
Definieer succes
Alle drie de experts hebben inmiddels enige jaren ervaring met AppSec-programma’s binnen hun bedrijven. Toch verschillen de manieren waarop ze bepalen of de inspanningen tot nu toe succesvol zijn geweest. Bij Pearson en 10x Banking wordt veel met metrics gewerkt, bijvoorbeeld om meer transparantie te bieden.
“Mensen praten gewoonlijk niet graag over kwetsbaarheden. Mensen weten niet of ze in een app zitten, of ze zijn er niet open over. Daarom maken wij juist een rapport over alle kwetsbaarheden die in het platform blijven zitten", vertelt Bhatia. "Dat zijn bijvoorbeeld zwakke plekken die we niet kunnen oplossen, omdat er nog geen patch beschikbaar is. Dus hoe kunnen we dat risico dan op een andere manier beperken? We leveren rapportages over alle kwetsbaarheden die we geïdentificeerd hebben en doen scans om te zien wat mensen per ongeluk gemist hebben. Zo krijgen we een constante feedback-loop van de kennis van onze ontwikkelaars.”
Bij Sky Betting & Gaming zijn ze juist een stuk voorzichtiger met het leveren van metrics, omdat de juiste context altijd belangrijk is, vertelt Steglich. “Je kunt metrics ook gebruiken om aan te tonen dat de wereld plat is, maar we weten dat dat niet klopt.” Daarom wordt bij Sky Betting & Gaming vooral gekeken naar andere vormen van resultaat: “Als iemand in een vergadering iets over AppSec zegt, is dat ook al een succes. Ze praten erover, dus we veranderen dingen op positieve wijze. En uiteindelijk draait alles om het verbeteren van de kwaliteit. Als we nu iets weten over een kwetsbaarheid wat we gisteren nog niet wisten, dan is dat een succes.”
Redacteur bij AG Connect. Schrijft onder meer over de IT-arbeidsmarkt, IT-onderwijs, software-ontwikkeling en zakelijke software.
e.meijer@agconnect.nl