-

Beveilig applicaties beter tegen cyberaanvallen met DevSecOps

Bij het ontwikkelen van software moet een security-first aanpak voorop staan. Maar door de snelle technologische ontwikkelingen moeten de security tools waar we op vertrouwen vrijwel realtime mee veranderen. Alleen dan zijn bedrijfsapplicaties en -systemen optimaal beschermd tegen hackers. Dit vraagt om een nieuw applicatieontwikkelproces: DevSecOps.

DevOps was een evolutie vanuit agile softwareontwikkeling, waarmee ontwikkelings- en operationele teams sneller applicaties en diensten kunnen leveren door meer samen te werken. Dit sluit veel beter aan op de huidige tijd, waarin softwareteams soms releasecycli van enkele dagen of slechts uren hebben. Dat is totaal anders dan bij traditionele zogenaamde watervalprojecten.

Maar door die snelle ontwikkeling neemt ook het risico op fouten en kwetsbaarheden in de software sterk toe. Hoe kunnen organisaties bovendien veiligere code en applicaties produceren als het security-landschap zich continu ontwikkelt? De enige manier om de cybersecurity voor de producten, oplossingen en partners te versterken is door DevOps te vervangen door een DevSecOps-cultuur.

Begin veilig, blijf veilig

Eenvoudig gesteld zet DevSecOps beveiliging voorop in het ontwikkelproces en zorgt ervoor dat een goede ‘cyberhygiëne’ van begin tot eind bovenaan staat voor ontwikkelaars en operators. Die denkwijze moedigt organisaties aan om de best mogelijke manier te vinden om veilige code en applicaties te ontwikkelen. Gelukkig zijn er verschillende middelen en strategieën die ontwikkelteams daarbij kunnen helpen. Dit zijn de belangrijkste:

  • Security Frameworks – Om software in elke situatie te beschermen, stel je een routekaart op met behulp van bronnen en best practices van derden. Het Building Security In Maturity Model (BSIMM) is bijvoorbeeld een geweldige informatiebron met meer dan 120 best practices op het gebied van beveiliging, waaronder het automatiseren van beveiligingstests door middel van statische en dynamische analyse. Dit helpt ontwikkelteams om dergelijke maatregelen scherp te houden bij het ontwerpen van hun oplossingen.
  • Security Code Training – Ontwikkelaars weten niet wat ze niet weten. Het is dus aan organisaties om hen te trainen op het gebied van kritieke bedreigingen en best practices. Met doorlopende securty-awareness-trainingen kunnen organisaties er zeker van zijn dat hun teams voldoende zijn voorbereid om eventuele kwetsbaarheden in hun code en producten op te sporen en te corrigeren.
  • Security Gates – In DevOps bouwprocessen kunnen zogeheten security gates een release blokkeren. Hierdoor krijgen security– en engineering-teams voldoende tijd om te bepalen hoe groot het risico is dat bepaalde bugs de algehele build zullen breken. Door security gates te implementeren kunnen teams precies identificeren wat er gerepareerd moet worden voor een release.
  • Multi-Layered Security Strategy – Om beveiliging over de hele linie te garanderen, moeten organisaties security tot ieders verantwoordelijkheid maken, bijvoorbeeld door ontwikkelaars middelen te geven om kwetsbaarheden te detecteren terwijl ze code schrijven. Laat vervolgens een intern team regelmatig statische en dynamische applicatiebeveiligingstools uitvoeren. Voor extra beveiliging kunnen organisaties ook externe testers inschakelen om black-box– en gray-box-tests uit te voeren. Of ze kunnen een bug-bounty-programma opzetten en beveiligingsonderzoekers betalen om verborgen kwetsbaarheden te vinden.
Library’s van derden

Library’s van derden, zoals Apache Struts, Telerik UK (een .NET bibliotheek) en anderen zijn zowel een zegen als een vloek voor organisaties. Aan de ene kant profiteren organisaties van werk dat door anderen is gebouwd, kunnen het aanpassen en er rijkere ervaringen mee creëren door hun eigen expertise toe te voegen. Maar aan de andere kant zijn er ook voortdurend updates en upgrades van de bibliotheken nodig om een schone codebasis te behouden. Het is ook bijzonder gemakkelijk om kwaadaardige code te importeren uit code repository’s.

Ontwikkelaars zullen hun toolkits dus regelmatig moeten bijwerken om ervoor te zorgen dat library’s van derden regelmatig en in realtime wordt gepatcht op kwetsbaarheden. Zelfs de kleinste vergissing van een ontwikkelteam of een partner kan immers leiden tot ernstige beveiligingsinbreuken. Het Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) heeft onlangs een lijst gepubliceerd met de meest misbruikte kwetsbaarheden in software. Apache Struts was de op een na meest aangevallen technologie op die lijst. Aanvallers maken ook vaak misbruik van kwetsbaarheden in open source webdiensten als Apache Tomcat, dat met een onnoemelijk aantal producten is verbonden.

Voordurend kat-en-muisspel

Security-bedreigingen en aanvalspatronen die vandaag nog niet bestaan, kunnen morgen al gebruikt worden om kwetsbaarheden in je systemen en applicaties te misbruiken. Door beveiliging op de voorgrond te plaatsen en een DevSecOps-cultuur te implementeren, zijn organisaties veel beter in staat om bedreigingen te beperken op het moment dat ze opduiken. En nog belangrijker: voordat ze daadwerkelijk problemen of storingen veroorzaken. Maar een ding is zeker: de volgende golf van bedreigingen komt er onherroepelijk aan. Is jouw organisatie daarop voorbereid?

Over de auteur: Glenn Portier is Area Director Sales Benelux & Nordics bij Ivanti.

Op de hoogte blijven van het laatste nieuws binnen je vakgebied? Volg Emerce dan ook op social: LinkedInTwitter en Facebook.

Deel dit bericht

Plaats een reactie

Uw e-mailadres wordt niet op de site getoond