Security

De uitdaging

Security is een breed onderwerp. Met de komst van computers en internet is informatiebeveiliging steeds belangrijker geworden. U probeert het zo goed mogelijk te doen en zoekt betrouwbare partners om te helpen uw maatwerkapplicatie zo veilig mogelijk te maken. Aan de ene kant zijn er de business consultants die vertellen hoe je je organisatie moet inrichten, ISO certificeringen, PCI audits, etc. Aan de andere kant zijn er de techneuten die de uiteindelijke gerealiseerde software willen toetsen, met bijvoorbeeld penetratietesten. Er zijn dus genoeg mensen om te vertellen hoe je je organisatie moet indelen en of je software veilig is. Maar hoe kom je nou van de organisatie die je geschetst is tot de software die je nodig hebt? First8: de brug tussen organisatie en software.

De verdediging is in het nadeel

Voor het automatiseringstijdperk moest een inbreker behoorlijke kennis en vaardigheden bezitten om een goed beveiligd object te kunnen stelen. Met de komst van computers is het mogelijk om diezelfde vaardigheden te automatiseren waardoor ineens iedereen zonder oefening hetzelfde resultaat kan halen. Als verdediger moet je elke deur in je applicatie beveiligen. Een aanvaller hoeft slechts 1 lek te vinden. Als een huis een aantal deuren heeft dan is de beveiliging even sterk als de zwakste deur.

Voor applicatiesoftware geldt hetzelfde. Doordat First8 met een technische achtergrond begrijpt hoe hackers te werk gaan voorkomen we veel voorkomende fouten en weten we hoe we problemen kunnen voorkomen en oplossen. Aan de andere kant realiseren we ook dat software niet op zichzelf staat maar binnen een organisatie draait waar mensen vaak de zwakste schakel zijn. Doordat wij ook de business consultant snappen kunnen wij adviseren over welke risico's met welke middelen weg te nemen zijn. Soms betekent dat dat we een deur maar helemaal weglaten.

Aanpak

Door de open cultuur van First8 is het voor ons onmogelijk om fouten te verbergen voor u als klant. Risico's die u loopt worden open op tafel gelegd. Dat dwingt ons elke keer weer om kritisch te blijven op onze eigen ontwikkelprocessen. Intern toetsen wij wat wij bouwen bijvoorbeeld tegen de OWASP top 10. Onze programmeurs worden ingezet om andere projecten te toetsen. Zo leert iedereen in onze organisatie zowel vanuit de aanvallers als vanuit de verdediger te denken.
Wij hebben geen standaard partner die voor ons penetratietesten doet. Hackers hebben ook geen beperkte set aan middelen die ze gebruiken maar vinden elke keer nieuwe uit. Dit dwingt ons om altijd alert te blijven en elke keer weer op nieuwe methoden te anticiperen.
Wanneer veiligheid extra belangrijk is kan een zogenaamde attack tree opgezet worden. Dit is een analyse waarin we mogelijke aanvallen in uitwerken in steeds gedetailleerdere verschillende scenario's. In de boomstructuur die zo ontstaat hangen we factoren als opbrengst, risico en moeilijkheidsgraad. Op deze manier worden de zwakke punten in de organisatie en in de software inzichtelijk en kan geinformeerd gekozen worden waar geinvesteerd moet worden.

Casus

Soms zitten de veiligheidsaspecten in een onverwachte hoek. Een klant had een bak aan informatie die hij met de hele wereld wilde delen om zijn merk te promoten. Daarvoor werd een webapplicatie gebouwd die natuurlijk grondig getest werd op allerlei manieren. De analyse van First8 leverde echter een veel fundamenteler aspect op: de informatie die gedeeld werd was zelf ook geld waard, maar werd vrijelijk gedistribueerd. Door dat te erkennen en beperktere informatie te tonen werd niet alleen de originele businesscase behouden (promoten van het merk) maar een hele nieuwe businesscase gegenereerd.