Ontwerp veilige software

Veiligheid integreren in de ontwerpfase van het softwareproces is de meest kosteneffectieve manier om de applicatieveiligheid te verhogen. Fouten kunnen immers vermeden worden nog voor ze ontwikkeld worden.

Helaas richten de veiligheidsinspanningen zich zelden op deze fase. Vaak is dit door een gebrek aan ervaring met de gebruikte technieken en processen. Deze pagina geeft een overzicht van enkele veelgebruikte technieken en hoe wij u kunnen helpen ermee aan de slag te gaan.

Bedreigingsanalyse (threat modeling)

Kort samengevat is een bedreigingsanalyse, of threat modeling, het gestructureerd nadenken over de veiligheidsaspecten van nieuwe software. Dit gebeurt voor de code effectief ontwikkeld wordt, tijdens de ontwerpfase. Daarom is het dan ook een van de meest kosteneffectieve manieren om de applicatieveiligheid te verhogen. Het vermindert de hoeveelheid ontwikkelwerk doordat de architectuur en code minder veiligheidsproblemen bevat die, vaak kostelijk, opgelost moeten worden.

Een bedreigingsanalyse is nuttig voor bedrijven van elke mogelijke grootte en zou altijd een onderdeel moeten zijn van het softwareontwikkelproces. Wij kunnen je werknemers trainen om dit correct toe te passen, of we kunnen ook zelf iemand laten deelnemen aan het proces.

Hoe wij werken

Een bedreigingsanalyse zou een vast onderdeel moeten zijn van elk softwareontwikkelproces. Het is niet iets wat je eenmalig doet, maar waar je bij ieder nieuw project op verder bouwt. Wij zorgen voor een solide basis zodat dit voor uw werknemers een gewoonte wordt en de voordelen snel duidelijk zijn.

Iedereen kan helpen bij een bedreigingsanalyse. Het is zelfs beter om werknemers met verschillende inzichten te combineren omdat dit tot betere resultaten leidt. De veiligheidsexpert leidt de oefening in goede banen, maar uw ontwikkelaars, testers, product owners en devops specialisten zijn cruciaal voor het goede verloop.

De bedreigingsanalyse resulteert in een lijst van mogelijke bedreigingen voor de applicatie. Sommige zijn misschien aanvaardbaar of makkelijk op te lossen. Andere maken het misschien noodzakelijk om de architectuur te herdenken. Ongeacht de grootte van de bedreiging, het voordeel is dat deze opgelost kunnen worden voor de foutieve code of architectuur in gebruik genomen wordt. Een foute architectuur herteken is vele malen makkelijker als het product of de feature nog niet gelanceerd is.

De resultaten van de bedreigingsanalyse worden gedocumenteerd en gebruikt voor toekomstige activiteiten. Dit kan een penetratietest zijn die het threat model als input neemt van te testen functionaliteit, of een toekomstige threat model oefening die verder bouwt op het vorige.

Architectuurvalidatie

Tijdens de architectuurvalidatie starten we van enkele standaard veiligheidsmechanismen en valideren we dat deze correct gebruikt worden in de architectuur en het design van de applicatie. In tegenstelling tot de bedreigingsanalyse, waar we vertrekken vanuit het standpunt van een aanvaller, wordt deze analyse uitgevoerd vanuit het standpunt van de veiligheidsmechanismen zelf. De problemen die met beide methodes ontdekt worden zijn dus vaak ook verschillend.

Als je bevestiging nodig hebt dat de authenticatie, authorizatie, databeveiliging, sleutelbeheer en andere veiligheidsmechanismen goed ontworpen zijn dan is een architectuurvalidatie een goede optie.

Hoe wij werken

We starten een architectuurvalidatie altijd vanuit de reeds aanwezige design- en architectuurdocumentatie. Deze wordt waar nodig aangevuld door met de relevante teamleden te praten.

Naargelang de opdracht zullen wij onderzoeken of de authenticatie, authorizatie, gebruikers- en rechtenbeheer, veilige communicatie, dataveiligheid, sleutelbeheer en logbeheer correct ontworpen en geïmplementeerd zijn.

De resultaten worden gepresenteerd in een rapport met een beoordeling van de huidige veiligheid van de onderzochte onderdelen. Daarnaast staan hier ook mogelijke verbeteringen in beschreven.

Veiligheidstraining

Je werknemers trainen om bewust te zijn van veiligheid kan verschillende incidenten voorkomen. Een veiligheidscultuur uitbouwen zorgt ervoor dat werknemers veiligheid in het achterhoofd houden tijdens hun dagelijkse werk.

We ontwikkelen een gepersonaliseerd veiligheidsprogramma voor je bedrijf om in te spelen op de unieke context en uitdagingen van je bedrijf. Dit kan betekenen dat we uniek trainingsmateriaal ontwikkelen voor jou, of dat we een externe cursus voorstellen bij een gespecialiseerd trainingscentrum. We adviseren je ook hoe je een veiligheidscultuur kan laten groeien en ondersteunen binnen je bedrijf.

Hoe wij werken

We beginnen met de vraag welke veiligheidstraining noodzakelijk is voor jullie werknemers. Dit is afhankelijk van de unieke context waarin jullie bedrijf werkt. Het trainingsprogramma dat we zo opstellen beschrijft de kennis en competenties die je werknemers behoren te hebben, en hoe we deze kunnen aanleren. Dit kan door interne trainingen of door opleidingen bij externe partners.

Interne training heeft het voordeel dat ze ontwikkeld kan worden met de specifieke context van het bedrijf als uitgangspunt. De training zal hierdoor over het algemeen beter zijn dan meer algemene externe training. Er is echter een serieuze investering nodig om de cursussen en het trainingsmateriaal te ontwikkelen en up to date te houden. Wij kunnen hierbij helpen.

Externe training is vaak eerder algemeen en minder goed afgestemd op de specifieke noden van het bedrijf, maar is vooral erg kostenefficiënt. De algemene opleidingen zijn ideaal om de basisvaardigheden aan te leren en aan te vullen met meer specifieke interne trainingen. Wij bieden enkele opleidingen zelf aan, zoals de OWASP top 10 training, maar we kunnen je ook doorverwijzen naar onze partners.

Individuele training is goed en waardevol, maar een veiligheidscultuur is nodig zodat werknemers overtuigd geraken en blijven van het nut van applicatieveiligheid. Wij kunnen je helpen om zo'n veiligheidscultuur te introduceren en te laten groeien in je bedrijf.
Onze missie

Secuma helpt softwarebedrijven om veiligere applicaties te ontwikkelen. We moedigen het gebruik aan en helpen met de integratie van innovatieve oplossingen en processen uit de DevSecOps industrie. Hierdoor verbeteren we de veiligheid van uw applicaties en voorkomen we dat problemen uitgroeien tot incidenten.

Bedrijf

infosecuma.be
Sels Software & Security BV
Hoogputstraat 22B
3690 Zutendaal
België
BE0748911858

Geregistreerd dienstverlener voor de KMO portefeuille

DV.A249876

Bedankt voor je bezoek aan Secuma |
Afbeeldingen met dank aan Unsplash