In de afgelopen jaren is het bewustzijn voor application security sterk toegenomen. Twee Micro Focus experts op dit gebied, Arthur Kemme, Enterprise Account Executive Application Security en Frans van Buul, Senior Product Manager Fortify SAST, vertellen welke trends zij zien en hoe CyberRes Fortify helpt bij het beveiligen van applicaties.
Welke trends zien jullie?
‘Bij security heb je drie takken van sport, de statische analyse met korte reviews van de code, de dynamische analyse waarbij je aanvallen afvuurt op een werkende applicatie en security die kijkt naar het hele proces inclusief opensource componenten: de software supply chain security. Organisaties zijn zich er steeds meer van bewust dat application security een integraal onderdeel is binnen hun security strategie en binnen devops. We zien dan ook dat veel organisaties nu holistische application security programma’s opzetten.
Waarom die focus op Software Supply Chain?
‘Dit is het proces dat leidt tot software die je in productie gaat nemen. Als je kijkt naar een typische applicatie, dan bestaat die voor een groot deel uit open source. Ook als je zelf schrijft, gebruik je materiaal uit opensource libraries; meer dan 70% van de applicatiecode vindt hierin zijn oorsprong*. Bij het Log4j incident bleek dat deze libraries ook kwetsbaarheden kunnen bevatten. Met opensource scanning proberen we dat op te vangen. Het kan ook zijn dat iemand probeert om malware in een dependency te stoppen of jou probeert te verleiden om iets te downloaden. Ook wordt het buildsysteem zelf soms aangevallen, zoals in bij het SolarWinds incident Er zijn allerlei aanvallen mogelijk richting het software-ontwikkelingsproces en de bronnen daarvan.’
Vragen cloud native applicaties om een specifieke security-benadering?
‘Onze Fortify klanten ontwikkelen per definitie hun eigen applicaties. Zij willen transformeren naar de cloud, maar wat betekent dat voor hun application security en applicaties? Er zijn verschillende scenario’s. De meest simpele: je pakt de applicaties uit je datacenter en zet ze neer bij Amazon, Google of Azure, lift and shift. De impact op application security is nihil, je hebt immers nog steeds dezelfde applicaties. Zij werken op dezelfde manier, dus de beveiliging ook. Maar meestal passen organisaties hun applicaties aan om te profiteren van de voordelen van cloud. Dat kan gaan om specifieke clouddiensten die hun eigen APIs hebben of om het gebruik van containers of automatische deployments. Zaken die je eerder niet had, maar die wel gevolgen hebben voor application security. In een cloud native scenario moet je applicaties óók kunnen scannen op cloud-specifieke security aspecten.
Geldt hetzelfde voor APIs?
Veel applicaties zijn ontwikkeld als webapplicaties, waar mensen gebruik van maken. Security testtechnologie (statisch én dynamisch) is hierop gebaseerd. Nu worden veel applicaties ontwikkeld als een API die programmatisch kan worden aangeroepen, zonder user interface. Deze APIs wil je ook kunnen testen voor security zaken, maar dat vereist wel dat de testtechnologie daarmee om kan gaan.
Hoe kunnen organisaties AppSec aanpakken?
Er is geen ‘one size fits all’ verhaal. Bedrijven moeten opnieuw naar processen kijken. Wij hebben veel ervaring in het fijnmazig kijken naar hoe je klanten hiermee kan helpen. Ons concept discover, insight, protection helpt ons te begrijpen en in kaart te brengen welke problemen belangrijk zijn en hoe we kwetsbaarheden kunnen opsporen en fixen. We hebben veel kennis opgedaan bij heel veel klanten. Nieuwe klanten profiteren daarvan. We maken niet zoveel herrie, maar helpen onze klanten hun security probleem integraal aan te pakken, in plaats van eenmalig een probleem op te lossen.
Geldt hetzelfde voor APIs?
We zijn al 9 jaar op rij leider in het magische quadrant voor application security testing van Gartner. Dat laat zien dat we ons kunnen aanpassen aan de snelle ontwikkelingen in de markt, en dat we een betrouwbare partner zijn, ook voor de toekomst. We hebben veel ervaring in het transformeren van klanten van een oude naar een nieuwe situatie.
Meer over dit onderwerp: 16 juni – live evenement CyberRes- Trends in modern application security
Meer over dit onderwerp? Download: 2022 AppSec Trend Report White Paper (microfocus.com)
