Drie weken om met AppSec van start te gaan, het meest eenvoudige plan om uw beveiligingsprofiel te verbeteren

’Shift security left’ is een populair paradigma in de IT-sector; de meeste start-ups willen de theorie ervan wel overnemen, maar botsen op obstakels bij de praktische toepassing. Er bestaan geen gemeenschappelijke richtlijnen over de manier om de applicatiebeveiliging aan te pakken. Sirris biedt u vandaag een oplossing: ‘het eenvoudigste 3-wekenplan om uw beveiligingsprofiel te verbeteren’.

Hoe 'Shift security left' toepassen door applicatiebeveiliging

'Shift security left' is een populair paradigma in de industriesector, dat makkelijk te begrijpen is maar bij de implementatie niet zo vanzelfsprekend lijkt. Het basisidee is om in een zo vroeg mogelijk stadium van de softwareontwikkeling beveiligingslekken te vinden, zodat er later minder herbewerking nodig is. Het is simpelweg sneller en goedkoper. Daarom is het nuttig om te weten hoe AppSec te starten. Voor de toepassing van deze stelling is meer dan alleen het gebruik van technologie en tools nodig: het impliceert een verschuiving in de cultuur, een geïntegreerde benadering van de applicatiebeveiliging en een permanent leerproces. De meeste start-ups willen de theorie ervan wel overnemen, maar botsen op obstakels bij de praktische toepassing.

Misschien zijn de bestaande strategieën wel op maat gemaakt voor bedrijven met een bepaald beveiligingsprofiel, maar er bestaan geen gemeenschappelijke richtlijnen over de manier om de applicatiebeveiliging aan te pakken, vooral wanneer de starters over beperkte middelen en expertise beschikken. Welke eenvoudige maatregelen moeten worden getroffen om een duidelijk optimalisatieplan voor de maturiteit van de beveiliging uit te werken en klaar te zijn om de vragen van de klanten over vertrouwen en beveiliging te beantwoorden?

Het eenvoudigste 3-wekenplan om uw beveiligingsprofiel te verbeteren

Gedreven door de passie om een pragmatische oplossing voor start-ups te vinden die echt werkt, hebben we bij Sirris bijna drie maanden aan onderzoek en brainstorming gedaan. Het resultaat? Het eenvoudigste 3-wekenplan om uw beveiligingsprofiel te verbeteren. Het plan bouwt voort op de DevSecOps-filosofie en de OWASP-standaarden.

Lees verder voor een korte teaser over de eerste week van het meest eenvoudige plan voor een beter beveiligingsprofiel!

Dit is de eerste blog van een reeks van drie om u te helpen ontdekken wat u moet doen om het beveiligingsprofiel te verbeteren door te starten met applicatiebeveiliging.

Eerste week: uw vereisten en doelstellingen op het vlak van beveiliging formuleren 

Door te vertrekken van doelstellingen en vereisten, ziet u makkelijker het totaalbeeld en kunt u bij uw gesprekken met klanten de formulering ‘ontworpen voor veiligheid’ gebruiken.Hoe?Er bestaan verschillende tools en standaarden, zoals de OWASP Application Security Verification Standard en Mobile ASVS, die een technische grondslag bieden voor de vereisten van enige functie die u nodig heeft.De vereisten zijn mooi gegroepeerd per functie en niveau of beveiligingsdoelstellingen.

Een kort voorbeeld

Stel dat een ontwikkelaar een wachtwoordauthenticatie implementeert in een applicatie die de persoonsgegevens van een klant opslaat. Een dergelijke app kan meteen worden geclassificeerd als een app met ASVS niveau 2, hetzij het elementaire beveiligingsniveau. Uit sectie 2.1 van ASVS kan een set van beveiligingsvereisten voor de authenticatiefunctie worden afgeleid (of een sprint). Er zijn 12 voorwaarden voor de beveiliging van wachtwoorden:

Deze lijst van vereisten ziet er lang en gedetailleerd uit.Het is evenwel de taak van de ontwikkelaar om ervoor te zorgen dat zijn functie aan deze lijst voldoet.De lijst bevat ALLE geactualiseerde maatregelen op het stuk van wachtwoordbeveiliging. 

Maar hoe richt u dit in de praktijk in?Maak u geen zorgen, tools als het OWASP Security Knowledge Framework en de OWASP Cheat sheets bevatten ettelijke voorbeelden van aanbevolen code snippets voor elk van deze vereisten.Bovendien helpt SKF bij de automatisering van de functieselectie en het genereren van de voorwaarden, wat bijzonder handig is in dit stadium.Maar wellicht is het beste resultaat van deze benadering nog de bewustwording: u weet wat er nodig is om aan de vereisten te voldoen en u hoeft niets dan meer te doen.U bent in OWASP niveau 2 voor de wachtwoordauthenticatie. 

Wat is het resultaat na de eerste week?

  • U bent in staat om bijna alle beveiligingsvragen van de klant te beantwoorden.
  • U kent uw maturiteitsniveau op het stuk van beveiliging en weet wat nodig is om het te implementeren.
  • U voldoet aan op grote schaal aanvaarde standaarden (OWASP).
  • U hebt een proof of concept (gegenereerd met behulp van OWASP SKF).

Over beveiligingsvereisten beschikken van in de ontwerpfase vóór de ontwikkeling, helpt het beveiligingsprofiel te bepalen bij de eigenlijke opstart of het eigenlijke implementeren van het paradigma 'shift security left’. Gewoon een week spenderen aan het bepalen van de vereisten om uw kritische punten en maturiteitsniveau te kennen, klinkt verleidelijk toch? 

Benieuwd wat de volgende stappen zijn?

Er komt nog meer! Volg ons op onze blog

Hebt u andere praktische vragen over de beveiliging van apps? Neem contact met ons!