Omdat voor digitale transformatie snelheid nodig is, proberen it-organisaties de muren tussen applicatieontwikkeling en -beheer te slechten. DevOps-teams worden ingericht om functionaliteit met kortere productietijd en hogere frequentie op te leveren. Zo kan de onderneming sneller inspelen op de grillen van de markt. Is applicatiebeveiliging daarmee het kind van de rekening? Het ontkennende antwoord: DevSecOps.
Als security-experts op een traditionele manier blijven werken, ontstaat aan het einde van de productiepijplijn een controlepost met slagboom. Daar wordt de met hoge snelheid ontwikkelde functionaliteit nog eens rustig doorzocht op fouten die een beveiligingsrisico opleveren. De druk om te innoveren en een kortere time-to-market te realiseren, is in veel bedrijven zo groot dat zo’n ‘bureacratische’ manier van werken niet lang stand zal houden. Het marginaliseren of zelfs negeren van de inbreng van het securityteam kan het gevolg zijn. In elk geval zal het de reputatie krijgen de vooruitgang in de weg te staan. Er zullen niet veel cio’s of ciso’s zijn die zo’n situatie wenselijk achten. Daarnaast zullen er grote risico’s kunnen ontstaan als het testen op security achterwege wordt gelaten, met als mogelijk gevolg hackpogingen die kunnen leiden tot verlies van data en merknaamschade. Het is dus zaak dat securityprofessionals meegaan in de ontwikkeling richting DevOps (een samentrekking van development en operations) en een rol gaan spelen in DevSecOps-teams.
Twijfel
Kenmerkende elementen van DevOps zijn continuous delivery en continuous deployment. Het zijn de pijplijnen waaruit regelmatig functionaliteit tevoorschijn komt, die uiteraard ontwikkeld is, maar ook geschikt om beheerd te worden. Het DevOps-team, immers ook opgericht om het beheer uit te voeren, staat klaar om de functionaliteit beschikbaar te stellen en te houden.
Hoe kunnen securityprofessionals in deze context hun rol spelen? Wie traditioneel is ingesteld, zal de nieuwe manier van werken niet eenvoudig accepteren. Ze zullen zich afvragen hoe het zit met de benodigde scheiding van rollen, nu teamleden zo dicht op elkaar werken dat de grenzen tussen functies vervagen. Of ze zullen in twijfel trekken of je een grondige en verantwoorde securitytest kunt uitvoeren als de tijd tussen releases zo kort is.
Snelheid boven volledigheid
Het is belangrijk te begrijpen dat het in DevSecOps meer draait om snelheid dan om volledigheid. Het is niet mogelijk een complete securitytest uit te voeren op elke nieuwe release. Om dezelfde reden speelt automatisering een grote rol, want handmatig testen haalt de snelheid uit het delivery- en deployment-proces.
Met deze beperkingen in het achterhoofd is het zaak te bepalen welke evaluaties snel uit te voeren zijn, om een acceptabel niveau van veiligheid te garanderen.
Te denken valt aan:
- SAST (static analysis security testing) op basis van een beperkte set aan regels, waarbij het erom gaat belangrijke (niet alle) zwakheden op te sporen en valse positieven te voorkomen;
- DAST (dynamic application security testing) gericht op functionaliteit die sinds de laatste build is toegevoegd;
- Controle op het gebruik van opensource-componenten met bekende zwakheden;
- Check op veelvoorkomende fouten in de applicatieconfiguratie.
Deze evaluaties zijn snel uit te voeren, leiden niet snel tot valse positieven en nemen de meestvoorkomende fouten en zwakheden op de korrel. Min of meer de 80/20-regel van Pareto. De risk appetite van de organisatie staat hierbij centraal, ofwel de afweging die is gemaakt tussen snelheid en het niveau van informatiebeveiliging.
Daarnaast zijn er steeds meer tools beschikbaar die geautomatiseerd testen mogelijk maken, zodat het kunnen uitvoeren van securitytests niet alleen afhankelijk is van schaarse menskracht.
Hierbij is het belangrijk dat niet de verwachting wordt gewekt dat er sprake is van een volledige controle. Een volledig testprogramma voor applicatiebeveiliging past gewoon niet in de pijplijnen.
Voordelen
Het voordeel van de nieuwe manier van werken is dat het securitytesten eerder in het proces wordt uitgevoerd. Het is geen ‘optie achteraf’, die onder tijdsdruk minimale aandacht krijgt of geheel wordt overgeslagen.
Voor het securityteam zelf is het belangrijk dat het zich hiermee van een plaats aan de tafel voorziet en zich kan positioneren als een waardevolle speler op het vlak van risicomanagement. Het moment daarvoor is precies nu, nu de muren tussen ontwikkeling en beheer worden geslecht.
DevSecOps is de manier waarop organisaties snelheid kunnen maken, zonder hun informatiebeveiliging uit het oog te verliezen. Het is alleen wel even wennen aan die snelheid en die 80/20-regel.
Infosecurity.be, Data & Cloud Expo
Infosecurity.be is in combinatie met Data & Cloud Expo dé Belgische vakbeurs op het gebied van ict-security, datamanagement en cloud computing voor ict-managers en ict-professionals. Met ruim 130 exposanten en meer dan honderd vakinhoudelijke seminaries richt het evenement zich op ontwikkelingen binnen cyber security, cloud computing, datacenter & infrastructure optimisation, data science & management, digital transformation, it service management & control, privacy, governance & risk management, artificial intelligence, blockchain en internet of things. Registreer nu voor een gratis ticket. We verwelkomen u graag op 20 & 21 maart in Brussels expo!
