Beheer

IT beheer
devops

DevOps doet maar weinig voor applicatiebeveiliging

Devs, Ops en Security vormen nog lang geen gestroomlijnde teams.

© CC BY-SA 2.0 - Flikr,  Matt Moore
16 november 2016

Devs, Ops en Security vormen nog lang geen gestroomlijnde teams.

DevOps biedt volop mogelijkheden om ook de beveiliging van applicaties te verbeteren. De praktijk is echter geheel anders. De DevOps-teams en securityteams werken nog altijd vrijwel overal gescheiden en applicatiebeveiliging krijgt weinig aandacht.

Het lijkt logisch en iedereen is het daar ook over eens: met DevOps kan applicatiebeveiliging makkelijker en dus beter worden aangepakt.  Zo zijn de traditionele penetratietesten en security audits steeds minder praktisch voor het testen op applicatiebeveiliging in de DevOps-werkwijze. Volgens cijfers van Forrester krijgen organisaties in 2020 te maken met gemiddeld 120 applicatiereleases per jaar. Dat waren er in 2010 nog maar vier per jaar. Dan is het niet meer haalbaar om testmethodes als penetratietesten en code reviews voor elke release te doen omdat hier veel handwerk bij komt kijken, redeneert Frans van Bruul van HPE. “En dat is een grote drijfveer om beveiligingstesten meer te automatiseren.” Hij pleitte op de Heliview Cyber Security Conference deze week voor een betere integratie van security in DevOps-teams.

Maar dat gebeurt nog maar zelden. Slechts 20 procent van de organisaties test al in de ontwikkelfase op de veiligheid van applicaties. Dat blijkt uit het onderzoek Application Security and DevOps dat HPE liet doen onder organisaties die al volgens DevOps werken.

De grootste barrière om beveiliging goed op te nemen in de DevOps-werkwijze is organisatorisch. Ontwikkelaars en IT-beheerders (de ‘Ops’) hebben de indruk dat beveiliging al onder controle is of dat het de verantwoordelijkheid is van geheel iemand anders – de afdeling security of compliancy. Er is ook te weinig contact tussen Devs, Ops en Security; men kènt elkaar soms niet eens. Dat wordt extra versterkt doordat de rapportagestructuren onderling verschillen. Zo rapporteren Devs, Ops en Security aan geheel andere personen binnen de organisatie.

Een fundamenteel probleem is dat DevOps-teams onder druk staan om zo snel mogelijk apps af te leveren, terwijl security-teams dat proces willen vertragen omdat ze de beveiliging van de app goed op orde willen hebben voordat die uitgebracht wordt.

99 procent van de respondenten is er van overtuigd dat DevOps kan leiden tot veel betere applicatiebeveiliging. En wel hierom:

  • Security, ontwikkeling en beheer werken samen in teams waardoor een betere security-cultuur kan ontstaan.
  • De vergaande automatisering waar DevOps naar streeft, biedt ook kansen om securitytesten verder te automatiseren.
  • Door de productie-, test- en ontwikkelomgevingen vergaand gelijk te trekken wordt het testen op security eenvoudiger.

Daar komt nog bij dat applicatiebeveiliging sowieso veel minder aandacht krijgt dan netwerkbeveiliging. Uit het onderzoek van HPE blijkt dat 17 procent niets doet aan applicatiebeveiliging. 25 procent zegt dat applicaties beschermd worden via netwerkbeveiliging – voornamelijk met behulp van intrusion protection systems (IPS). “Tel die dus maar op bij ‘geen applicatiebeveiliging’, want dat is volkomen ineffectief voor maatwerkapplicaties; IPS-leveranciers doen daar echt geen onderzoeken naar”, zegt Van Buul.

Dat wordt bevestigd door onderzoek van Ponemon Institute in opdracht van F5 Networks. Daaruit blijkt dat er veel minder budget – de helft – wordt uitgetrokken voor applicatiebeveiliging dan voor netwerkbeveiliging. Regelmatig testen van applicaties op lekken gebeurt maar bij een minderheid van de bedrijven. Een kwart doet dat zelfs helemaal niet. Het onderzoek werd eerder dit jaar uitgevoerd onder ruim 600 Amerikaanse IT’ers en IT-beveiligers die betrokken zijn bij applicatiebeveiliging.

Daar komt nog bij dat beheer ( de ‘Ops’) vooral gericht zijn op beveiliging van de infrastructuur en vinden dat applicatiebeveiliging bij de ontwikkelaars hoort. Er is ook weinig kennis over bij hen. Aan de security-kant is problematisch dat weinig securitymanagers een ontwikkelachtergrond hebben. “Dan wordt het moeilijk te connecten met de ontwikkelaars, want die hebben een geheel eigen cultuur waar je je niet makkelijk in knokt”, zegt Van Buul. “Ga er maar van uit dat er 90 ontwikkelaars staan tegenover 1 security-expert met wat ontwikkelkennis. Die kan hun gezamenlijke productie echt niet in zijn eentje aan.”

 

Aanbevelingen

 

  • Applicatiebeveiliging moet een gedeelde verantwoordelijkheid zijn van alle drie de partijen.
  • Maak applicatiebeveiliging zo makkelijk mogelijk. Dat moet als tegenwicht werken voor het gebrek aan training, awareness en focus hierop.
  • Gebruik automatisering en analytics om zo veel mogelijk te kunnen doen met beperkte middelen. En zet die vervolgens in op de punten waar ze echt het verschil maken.

 

Zie ook Beheer op AG Connect Intelligence
1
Reacties
jak 18 november 2016 17:22

Prima constatering. Het doel van devops is "time to market" op zo'n goedkoop mogelijke wijze. Dan is het haast onvermijdelijk dat de kwaliteit een zorgenkindje wordt. Onder kwaliteit zit interoperabiliteit onderhoudbaarheid en data veiligheid. Pentesten e.d. gaan gewoonlijk over bekende algemene technologieën zoals netwerken en patches (het ontbreken er van). De oude langdurige waterval was langdurig door het moeizaam oplossen van de controls, maar ze werden tenminste nog bekeken. Nu met devops niet meer.

Voor een goede data veiligheid moet je aan het begin met de gebruikte tooling en de gewenste functionaliteit beginnen. Achteraf is het meer kwetsbaar pleisterwerk zonder goed fundament. Met een goed fundament kan de applicatieveiligheid vrijwel vanzelfsprekend zijn.

Reactie toevoegen