Devops is een ingeburgerd begrip. De opvolger staat al klaar: devsecops. Dat gaat alleen werken, zegt Daan Keuper van de Zoetermeerse beveiligingsspecialist Computest, als ontwikkelaars grondige training krijgen hoe om te gaan met de tooling. ‘Dat gebeurt niet afdoende, en dan werkt devsecops alleen maar demotiverend.’
Keuper is head of security research bij Computest. Samen met securityonderzoeker Thijs Alkemade vormt hij het Security Research Lab bij de onderneming. Het bedrijf uit Zoetermeer zorgt dat applicaties en infrastructuren bij organisaties optimaal en veilig werken. Security, performance en devops de voornaamste focusgebieden. Het bestaat uit twee bedrijfseenheden: Computest Security en Computest DevOps.
Er zijn, aldus Keuper, nog maar weinig organisaties die hun devops-team goed hebben ingeregeld. ‘Maar we zien wel dat ondernemingen serieus bezig zijn om de ontwikkelafdeling beter te laten aansluiten op de bedrijfsvoering. Die trend zet zeker door. Wij lenen onze specialisten uit om hen te helpen met devops.’
Automatisch code doorspitten
Een stapje verder is om security in deze holistische aanpak op te nemen: devsecops. ‘Het is nodig om beveiliging een integraal onderdeel te laten zijn van de bedrijfsvoering, en dus ook van ontwikkeltrajecten’, aldus Keuper. Dus is het volgens hem een goede ontwikkeling, ‘maar op dit moment zien we dat pogingen om met een dergelijke structuur te werken verzanden en alleen maar misnoegen wekken. Er zijn veel tools die automatisch code op kwetsbaarheden doorspitten.’
Maar wat doe je als ontwikkelaar die dan ineens tweehonderdduizend foutmeldingen krijgt op zijn codeerwerk? Precies, die gaan het omzeilen. ‘Omdat ze niet getraind zijn om goed met die tools te werken’, vervolgt Keuper. ‘En dan span je eigenlijk het paard achter de wagen: de cio denkt het goed geregeld te hebben met zijn devsecops-organisatie en test-tooling, terwijl het in de praktijk niet werkt. Dat levert schijnveiligheid op. We moeten wel die weg op, maar dan moet het doordacht zijn en ondersteund met training van de ontwikkelaars.’
Ransomware werkt ontwrichtend
Bij Computest, in 2005 opgericht door een vriendengroep met passie voor performance, werken meer dan honderd personen. En het is nog steeds op zoek naar nieuw talent. Alkemade en Keuper richten zich geheel op security. ‘Wij hebben geen klanten’, zegt Keuper. ‘Wij werken vanuit maatschappelijke relevantie; het is belangrijk dat een samenleving die meer en meer digitaal wordt ingericht niet via software en infrastructuur is aan te vallen. Je ziet hoe ontwrichtend ransomware werkt.’
Gewoon op goed geluk kijken of je bij een bedrijf binnen kunt komen en dan aankloppen met de resultaten, gevolgd door de mededeling dat Computest de klus kan klaren, gebeurt niet. ‘Wij vinden dat niet ethisch’, verklaart Keuper. Wel hebben ze een Volkswagen doorgelicht, omdat auto’s tegenwoordig tot de nok toe vol zitten met hard- en software. Natuurlijk vonden ze onvolkomenheden en die hebben ze netjes gemeld bij Volkswagen. ‘Daar hadden we geen opdracht voor; we zijn er ook nooit voor betaald, maar we doen dat vanuit onze maatschappelijke betrokkenheid. We konden dat overigens doen, omdat die auto ons eigendom was.’
Disclosure room Zoom
Natuurlijk springt het Research Lab bij als hun collega’s van andere afdelingen hun hulp nodig hebben. ‘Als Computest richten we ons vooral op mkb-plus’, licht Keuper toe. ‘We hebben een heel breed klantenbestand. Dat loopt van een kleine camping tot een groot industrieel bedrijf.’ Aangezien Computest gevoelige informatie opspoort en feitelijk inbreekt, moeten klanten een vrijwaring ondertekenen, zodat ze strafrechtelijk niet zijn te vervolgen. Andersom gebeurt hetzelfde: ‘Direct na de wedstrijd zaten we al in een disclosure room met mensen van Zoom.’ (Zie ook kader.)
Geen enkele onderneming kan tegenwoordig nog zonder software. ‘En je weet dat daar kwetsbaarheden in zitten. Dan moet je een strategie ontwikkelen hoe je daar mee omgaat.’ Het tweetal haalt BeyondCorp van Google aan; het Zero Trust Enterprise Security platform dat Google ontwikkelde nadat het naar aanleiding van Operation Aurora in 2009 zijn interne security met andere ogen ging bekijken. ‘Ik zie daar wel wat in. Netwerksegmentatie, doordachte back-up. De BeyondCorp-richtlijnen zijn heel goed bruikbaar voor organisaties.’
Securitystrategie opzetten
Waar het tweetal nadrukkelijk op wijst: je weet dat je met incidenten te maken gaat krijgen, dus bedenk nu al hoe je daar mee omgaat. ‘De komende jaren wordt het overigens nog belangrijker om een securitystrategie op te zetten’, aldus Keuper. ‘Denk aan het hybride werken, 5G en de talloze apparaten die via internet met een bedrijfsnetwerk zijn verboden.’
Dit artikel verscheen ook in Computable-magazine #05/21.
Zoom doorgelicht
In het kader van de wereldwijde hacking-wedstrijd Pwn2Own lichtte Computest Zoom Messenger doorgelicht. Deelnemers moesten hun pijlen richten op Microsoft Edge, Zoom Messenger of andere veelgebruikte sofware als Microsoft Exchange of Apple Safari. De specialisten van Computest vonden ernstige tekortkomingen in Zoom. Sinds de competitie in april 2021 mogen Keuper en Alkemade van Computest zich tooien met de eretitel ‘Master of Pwn’. Tijdens het TBX-evenement op 3 en 4 november zal Alkemade uit de doeken doen hoe zij het lek in Zoom op het spoor zijn gekomen.
‘Op zichzelf is het niet zo moeilijk onvolkomenheden in de software te vinden. Wij hadden de kwetsbaarheden in Zoom in anderhalve week boven water’, aldus Keuper. ‘Het meeste werk gaat zitten in het maken van de exploit. Je moet immers kunnen laten zien dat je werkelijk in staat bent om van buitenaf een computer van een ander te kunnen overnemen. Daar zijn we anderhalve maand mee bezig geweest.’ Zoom toonde zich bijzonder ingenomen met de bevindingen van het tweetal en beloonde de ontdekking met tweehonderdduizend dollar.
