Wat zijn de uitdagingen en voordelen van in een vroeg stadium van het ontwikkelingsproces al te denken aan de integratie van beveiligingstechnologie? Dat bekeek Trend Micro in het rapport “Security In A DevOps World”.
Als IT-specialist zitten we allemaal verstrikt in de dagelijkse ratrace: snel reageren, bestanden herstellen, cycli herhalen, … Maar we vergeten om eens wat afstand te nemen en te analyseren of onze huidige aanpak en structuren nog afgestemd zijn op onze gewenste objectieven.
Ik ben ervan overtuigd dat organisaties vandaag op hun limiet zitten met de huidige manier waarop we de beveiliging van een organisatie structureren. Het is dus tijd voor radicale verandering. Dat betekent niet ‘tabula rasa’ en helemaal opnieuw beginnen. Maar de huidige methode is inefficiënt, is niet schaalbaar en is bovendien erg duur. Naar analogie met het legendarische programma: Alles kan beter.
Cultuur veranderen
Maar daarvoor moeten organisaties hun bedrijfscultuur veranderen. En net dat is niet evident. Het is een van de moeilijkste zaken voor een organisatie. Het vereist doorzettingsvermogen en toewijding. Maar er zijn voorbeelden waar het lukt. De push richting flexibele ontwikkelmethodes en de push naar een ‘DevOps’-mentaliteit om er twee te noemen.
Het uiteindelijke doel is om de bestaande silo’s in organisaties af te breken en feedbacklijnen te verkorten. Deze twee aanpassingen alleen al kunnen de manier waarop IT-services worden geleverd drastisch veranderen.
Waarom security?
Om beveiliging in lijn te brengen met de transformatie van bedrijfsculturen, moet je eerst het doel van beveiliging duidelijk begrijpen. Er doen een aantal definities de ronde, maar voor mij is het eenvoudig: Het doel van beveiliging is er om ervoor te zorgen dat uw systemen werken zoals bedoeld … en ALLEEN zoals bedoeld.
“Om beveiliging in lijn te brengen met de transformatie van bedrijfsculturen, moet je eerst het doel van beveiliging duidelijk begrijpen.”
Je kunt dit niet bereiken vanuit het cybersecurity-team alleen. Het vraagt samenwerking en overleg met de gehele organisatie. Dus niet door steeds meer trainingen te geven aan wat we nu de ‘security-mensen’ beschouwen, maar door de kennis over security in de hele organisatie te vergroten.
Security in ontwikkelingsproces
Om beveiliging te verbinden aan deze culturele verschuiving, moet het beveiligingswerk ‘naar links verschuiven’. Dit verwijst naar het verplaatsen naar de linkerkant van de gangbare visualisatie van de ontwikkeling workflow.
Door naar de linkerkant van het diagram te gaan waar alle development is voltooid, wordt de effectiviteit van beveiligingsinspanningen vergroot terwijl tegelijkertijd de totale kosten worden verlaagd.
Vanaf de planningsfase helpt beveiligingskennis ontwikkelaars en andere teams om slimmere beslissingen te nemen. Het creëren van systemen met diep geïntegreerde beveiliging en respect voor privacy by design is de meest effectieve manier om onze algehele beveiligingshouding te verbeteren.
Niemand wil slechte, kwetsbare software schrijven. Maar door nu pas op het einde security te voorzien, blijven we dit wel mogelijk maken.
Inzetten op smart design zoals standaard versleutelen, het gebruik van goed onderhouden en geaccepteerde (zuivere) bibliotheken en het verminderen van de hoeveelheid opgeslagen persoonlijke informatie betekent dat eventuele fouten een kleinere kans hebben om waardevolle informatie bloot te leggen.
Cloudnative development
In de context van coderen helpt het denken aan security om ervoor te zorgen dat de tests toereikend zijn voor de data die worden verwerkt. Ontwikkelen met een DevOps methodologie gaat vandaag snel en dat houdt ook gevaren in. Zo worden tokens, API-keys of certficaten gebruikt, die developers vaak gewoon in de code opnemen, en uitwisselen met de teams via kanalen zoals Slack, e-mail, github, hard-coded en andere. Als je toegang hebt tot deze informatie wordt het wel heel gemakkelijk om te connecteren tot een bepaalde service.
“Ontwikkelen met een DevOps methodologie gaat vandaag snel en dat houdt ook gevaren in.”
Als je cloudnative development (in AWS bijvoorbeeld) gaat doen, dan heb je voor iedere service die je in die omgeving gebruikt een zogenaamde ‘secret’ nodig om te connecteren naar die service. Een cloudomgeving zoals AWS heeft vermoedelijk wel meer dan 100 services waarbij je een API-key / token / certificaat nodig hebt om die service te gebruiken. Als je dan deze ‘secrets’ gaat uitwisselen via normale kanalen, creëer je eigenlijk een open deur.
Daarom is het heel belangrijk dat er een systeem (met processen en tools) opgezet wordt om deze secrets te managen. Met andere woorden: het helpt ontwikkelaars veilige, goed begrepen patronen voor ‘secrets management’ en andere flexibele codeermethodes te gebruiken.
Tijdens de testfase kunnen security tools het risico van afhankelijkheid van een derde party helpen verminderen door gekende problemen te identificeren en tests uit te voeren voor de belangrijkste beveiligingscontroles.
Ten slotte kan in de staging fase alle informatie over de recentste herneming van de ontwikkelcyclus worden gebruikt om de beveiligingscontroles tijdens de productie te informeren. Dit zorgt ervoor dat production controls – die zijn tools om de applicaties die in productie zijn te controleren en te monitoren – de meest recente wijzigingen in de app kennen, en hebben de monitorsystemen over het algemeen een veel duidelijker idee van hoe “normaal” gedrag voor de toepassing eruitziet.
What’s next?
Een cultuur creëren van security awareness is een enorme onderneming. De huidige aanpak met een afzonderlijk team dat probeert alles te coördineren en met de rest van de organisatie probeert samen te werken, heeft zijn limiet bereikt. Tijd voor verandering!
“Een cultuur creëren van security awareness is een enorme onderneming.”
Als security-community hebben wij het geluk dat de overgang naar een DevOps-cultuur aan de gang is. Dit biedt een unieke kans om op deze inspanning mee te liften en de krachten te bundelen. We kunnen dit momentum gebruiken om security goed aan te pakken. We kunnen beveiliging integreren in de structuur van de services. En ervoor zorgen dat onze systemen werken zoals bedoeld … en alleen zoals bedoeld.
Dit is een ingezonden bijdrage van Stefaan Van Hoornick, Security Specialist bij Trend Micro. Via deze link vind je meer informatie over de oplossingen van het bedrijf.