Kwetsbaarheden in het applicatieportfolio worden een heet hangijzer. Hackers krijgen ruim baan, omdat traditionele beveiligingsmaatregelen, zoals functiescheiding en toegangscontrole bedrijfskritische systemen onvoldoende beschermen. De CIO moet er op toezien dat bij de bouw van nieuwe applicaties Security by Design expliciet wordt meegenomen. Ook in de bestaande applicatiestack moet de security naar een hoger plan. Transparantie is hierbij het sleutelwoord om tot aanvaardbare risico’s te komen.
Lange tijd hebben maakten hackers vooral dankbaar gebruik van fouten in webservers en desktopsystemen om bedrijfsnetwerken aan te vallen. Voor het uitbuiten van kwetsbaarheden richten zij zich in toenemende mate op de applicatiestack. Niet-gepatchte systemen en misconfiguraties van ERP-systemen zijn een nieuw, gewild middel om binnen te komen op een bedrijfsnetwerk zo blijkt uit het rapport ‘ERP Applications under fire’ van Onapsis. Standaard worden ERP-implementaties geacht onbereikbaar te zijn voor de buitenwereld door firewalls en het niet toestaan van directe internetconnectiviteit. Die maatregelen voldoen niet langer. En wat voor ERP geldt, is van toepassing op een brede verzameling business applicaties. Het is tijd om applicatiebeveiliging op een andere manier te benaderen.
Verraderlijke dreigingen
Hoog tijd. Zeker als je kijkt naar de hoge positie van applicatie issues. In de top twaalf van grootste bedreigingen van de Cloud Security Alliance prijken de kwaliteit van applicaties (interfacing) en de structuur van softwarecomponenten respectievelijk op nummer drie en vier. Die hoge plek komt ook doordat veel internationale standaarden voor informatiebeveiliging zich primair richten op de beveiliging van IT-infrastructuur. Applicatiebeveiliging is secundair. Daarnaast worden de nodige kwetsbaarheden over het hoofd gezien door de manier waarop software getest wordt.
Hoe groot het probleem is, wordt duidelijk uit het Crash Report van CAST Software. In dit onderzoek werd de veiligheid en kwaliteit van 1.850 business applicaties (in totaal 1,03 miljard regels softwarecode) onder de loep genomen aan de hand van ruim 1.200 architectuur principes voor robuuste en veilige software. Die principes zijn samengesteld uit de input van CWE, OWASP, SANS en US-CERT over veel voorkomende kwetsbaarheden in software die door hackers misbruikt worden voor hun aanvallen. Met gemiddeld 1 op elke 10,5 regels code bleek iets mis. Kijk je alleen naar security, dan is dat 1 op elke 108 regels code. Hoewel security maar een klein deel van de fouten vertegenwoordigt, ligt hier wel de oorzaak van de meeste bedrijfsschade.
Bestaande manier van testen onvoldoende
Hoe kan dat toch? De eerdergenoemde architectuurprincipes zijn openbaar toegankelijk en er zijn voldoende hulpmiddelen beschikbaar die direct bij het inchecken van nieuwe of gewijzigde softwarecode de broncode screenen. Zeker bij bedrijfskritische systemen wordt er bij de bouw serieus aandacht besteed aan het testen van applicaties. En ook het voorkomen van bekende security fouten krijgt de nodige aandacht in het ontwikkelproces.
Desondanks levert het gebruik van deze tools geen garantie op voor foutvrije software. Dat komt doordat de vele controleregels alleen toegepast kunnen worden op een deel van de applicatie en niet op het applicatieportfolio in zijn geheel zoals deze in een productieomgeving draait. De bestaande manieren van testen zijn niet in staat om kwetsbaarheden in de structuur van applicaties en het portfolio bloot te leggen. Ook de meeste code analysetools houden geen rekening met de systeemarchitectuur, waardoor onvolkomenheden in de samenhang tussen verschillende softwarecomponenten over het hoofd gezien worden. Dat is nummer drie op het eerdergenoemde dreigingslijstje van de CSA.
Verantwoordelijkheid
Security krijgt tijdens de ontwikkeling van software op dit moment niet de juiste aandacht. Het gaat dan niet alleen om onvoldoende aandacht. Ook het moment waarop dit gebeurt, is meestal niet goed gekozen. Veilige software wordt veelal gezien als een verantwoordelijkheid van de ontwikkelaar of de leverancier. Door de opdrachtgever worden nog vaak te weinig eisen gesteld op het gebied van Security by Design. Dit leidt ertoe dat zwakheden in de software, systemen of hun inzet in de productieomgeving pas laat aan het licht komen. De aangescherpte regels vanuit de AVG geven organisaties die software toepassen meer verplichtingen om datalekken te voorkomen. Voor het achteraf laten weghalen van kwetsbaarheden betaal je de hoofdprijs.
Het foutvrij maken van software is meestal een van de laatste stappen in het ontwikkelproces. Zo ontstaat een suboptimale situatie, omdat de dreigingen van vandaag nog niet bestonden toen de software werd ontwikkeld. Daarom is Security by Design zo belangrijk, het vanaf het begin secure ontwerpen van het geheel van software en de onderliggende IT-infrastructuur of clouddienst. Alleen dan worden risico’s op het misbruik van kwetsbaarheden geminimaliseerd.
Prioriteiten
Een pragmatisch onderdeel van Security by Design is het principe van een ‘defensible infrastructure’ zoals deze door de cybersecurity experts Joshua Corman en Gene Kim uitgewerkt is in hun model van een ‘security survival piramide’. Schadelijke praktijken van internet worden beschouwd als fact-of-life, niet alleen naar buiten toe, maar ook in de semi-veilige omgeving van een eigen datacenter. Geen enkele gebruikerssessie in een applicatie is te vertrouwen en de software heeft voorzieningen om de schade van misbruik tot een minimum te beperken. De ontwerpprincipes voor de structuur en de code vormen de basis van inherent veilige software. In de Metri whitepaper ‘Een business aanpak van security’ wordt dit principe uitgewerkt.
Business risico
Applicatiebeveiliging is nu hoofdzakelijk een technisch issue, terwijl het vooral aandacht moet krijgen als een business risico. Kwetsbaarheden in de software verhogen de kans dat de bedrijfsvoering wordt lamgelegd. Dit businessrisico kan inzichtelijk worden gemaakt door de structurele kwaliteit van software te relateren aan concrete business eisen zoals prestaties, onderhoudbaarheid, robuustheid en veiligheid. Deze scan rond risico’s voor de bedrijfsvoering is het beste uit te voeren op basis van gangbare industriestandaarden voor de kwaliteit van software, zoals ISO/IEC 25010 of OMG Automated Source Code Security Measure. Deze standaarden geven de scan en de risico’s die het blootlegt een objectief extern kader. Die transparantie stel je idealiter op een zo hoog mogelijk niveau vast. Want een brede scan van de totale broncode in een applicatiestack geeft inzicht in de zwakke punten in de digitale operatie van een organisatie. Een analyse op portfolio niveau legt onvolkomenheden in de samenwerking van de verschillende softwarecomponenten in de applicatiestack vast.
De business case
Hier zit ook een duidelijk verband met de onderbouwing van een eventuele businesscase. Ik zie u namelijk al denken: met dit soort scans van de applicatiestack gaat een nog groter deel van het IT-budget naar beheermaatregelen. Dat hoeft zeker niet het geval te zijn. In het eerder aangehaalde Crash rapport waarin de softwareportfolio’s van in totaal 329 organisaties geanalyseerd werden, werden ruim 97 miljoen overtredingen van architectuurregels ontdekt. Een tiende hiervan had impact op de security van de onderzochte applicaties en een honderdste had impact op de architectuur van de applicaties. Hoewel deze laatste categorie geen directe impact heeft op de security kunnen dit soort onvolkomenheden wel de helft van een onderhoudsbudget opslokken. Een Prio 1 incident brengt in Nederland gemiddeld een kostenpost van 80.000 euro met zich mee. De transparantie in de business risico’s die de scan inzichtelijk wegen al snel op tegen de besparingen door een verminderd aantal incidenten.
Aangezien software steeds meer het concurrerend vermogen van organisatie bepaalt, is het van belang om grip te houden op de veiligheid en kwaliteit van de opgeleverde software. Goed zicht op de structurele kwaliteit van een applicatieportfolio is hierbij cruciaal. Wilt u meer weten wat Metri voor u kan betekenen in deze aanpak van beveiliging van applicatieomgevingen? Kijk dan eens naar de voordelen van een Applicatie Portfolio Health & Risk scan of een Business Impact Assessment.
Kleine moeite, grote winst
IT kost veel geld. Vaak te veel als je het ons vraagt. Overal stijgen de kosten, want, zo is de redenering, alles wordt duurder en de vraag naar IT wordt door de vele veranderingen en vernieuwingen steeds groter. Toch laten veel bedrijven ook ontzettend veel geld liggen, zo blijkt uit onderzoek van Metri. Natuurlijk moet de focus altijd gericht zijn op het verbeteren en behouden van IT-diensten. Maar er zijn ook veel kansen op het besparen van kosten. Metri schotelt u er 10 voor.