Artikel gepubliceerd op Tweakers.
Digitale bureaus, verenigd in Dutch Digital Agencies, lossen voor opdrachtgevers in verschillende sectoren de meest uiteenlopende digitale uitdagingen op. Een no-nonsense-benadering van security is daarbij essentieel om de juiste dingen te blijven doen op dit gebied. Hoe zit het bijvoorbeeld met vulnerabilities in third party libraries? En lopen Nederlandse bedrijven echt meer gevaar door mogelijke cyberaanvallen uit Rusland?
IT’ers die werken bij een digital agency werken samen in teams die specialistische kennis combineren in uitdagende projecten voor klanten. Valentijn Scholten, Security Architect bij iO Campus Eindhoven, merkt hier dagelijks het effect van. “Wij hebben campussen in heel Europa, maar met name in Nederland en België. In Eindhoven zijn we goed in het integreren van security in de backend en api’s.” Als het gaat om security is er nog veel missiewerk te verrichten, ziet Valentijn. “Ik zie op het gebied van awareness eigenlijk twee ontwikkelingen. In het verleden werd het gezien als sluitstuk; het is iets waar men eigenlijk liever niet in wil investeren. Zelfs al komen datalekken dagelijks in het nieuws, wordt de noodzaak om er zelf mee aan de slag te gaan niet gezien. Het is een uitdaging om deze mensen mee te krijgen.”
“Je kunt alles wel scannen, maar het risico bestaat dat je op een gegeven moment door de bomen het bos niet meer ziet”
Valentijn Scholten, Security Architect bij iO Campus Eindhoven
Valentijn ziet een nieuwe generatie developers die ook veel belang hechten aan security. “Vergelijk het met de aandacht die er is voor maatschappijbrede uitdagingen zoals klimaatverandering en dierenwelzijn. Security is een hot topic waar ze iets mee willen doen. Jongeren zijn kritisch over wat er met hun data gebeurt en ze zijn zich bewust van dataprivacy en databescherming. Ze willen werken bij een bedrijf dat dit goed op order heeft. Onder developers zie je dat bijvoorbeeld terug in de shift-left-beweging die al enkele jaren zichtbaar is en waar wij zelf ook vol op inzetten. Waar vroeger pas aan het einde van een ontwikkeltraject naar security en testen werd gekeken, definiëren we security-eisen tegenwoordig zo vroeg mogelijk. Het liefst maak je al van tevoren afspraken en test je tijdens het traject doorlopend de maatregelen.”
Log4J, Spring en Okta
Het bewustzijn rond security gaat bovendien verder dan alleen het product zelf. Veel dreigingen ontstaan door de afhankelijkheden van code elders in de keten, zoals in third party libraries. “Bij veel hacks en datalekken lijkt het inmiddels te draaien om supply chain-achtige zaken”, zegt Valentijn. “In de devops-wereld maken we veelvuldig gebruik van opensource-libraries en -frameworks waar veel vulnerabilities in zitten. Afgelopen maand zagen we dat nog bij het Spring-framework en in december bij Log4J.” Behalve infiltreren via vulnerabilities proberen hackers ook op andere manieren binnen te komen. “Neem bijvoorbeeld de recente hack op Okta, een grote single sign-on-provider waarbij aanvallers via social engineering accounts probeerden over te nemen. Dit zie je steeds vaker gebeuren en ook hier is de vraag: hoe wapen je jezelf ertegen?”
“Alles wat we doen, is maatwerk. Dat levert uitdagingen op waar je ontzettend veel van leert”
Valentijn Scholten, Security Architect bij iO Campus Eindhoven
Het is cruciaal om als bureau inzicht te creëren in de mogelijke kwetsbaarheden. “Daarom brengen we precies in kaart welke projecten we hebben en welke dependencies daarin zitten. Als er vervolgens een melding binnenkomt van een lek in een framework, weet je precies welke projecten je moet patchen. Daarbij kun je tevens gebruikmaken van tooling die helpt bij het bijhouden van library-lijsten en vulnerabilities.” Dat laatste is overigens iets dat weer andere problemen met zich mee kan brengen. “Zo kun je van alles scannen en checken: je framework, je webserver, libraries, AWS infrastructure as code-files en of je niet ergens secrets hebt gelekt. Het risico is dat je op een gegeven moment zo ontzettend veel scans hebt draaien en zo ontzettend veel rapporten en alerts krijgt, dat je door de bomen het bos niet meer ziet. Er zitten dan ook nog een hoop false positives tussen, iets dat sowieso een thema is binnen de wereld van security. Zeker momenteel, tegen de achtergrond van de aanval van Rusland op Oekraïne, proberen vendors je zoveel mogelijk security-producten te verkopen en vliegen de waarschuwingen je links en rechts om de oren. Een deel daarvan is bangmakerij en je moet de onzin er wel uit weten te filteren.”
JavaScript-injection en credential stuffing
Het is een belangrijke taak voor Valentijn om het kaf van het koren te scheiden en bezig te zijn met de juiste zaken. “Gelukkig heb ik mensen met een technische achtergrond in mijn team, die de juiste afwegingen kunnen maken. Het is leuk als je een beleidsstuk kunt schrijven of weet hoe een ISO-certificering werkt, maar uiteindelijk gaat het bij security ook gewoon om de basics. Denk daarbij aan zaken zoals JavaScript-injection, iets wat aanvallers toepassen als je voor je website kwetsbare plug-ins gebruikt, of credential stuffing, waarbij scriptkiddies met lijsten vol buitgemaakte wachtwoorden en gebruikersnamen proberen accounts over te nemen. Het zijn bekende dreigingen die je voor het grootste deel kunt voorkomen door je systemen up-to-date te houden. Daarnaast zien we bij het ontwikkelen van oplossingen dat training en codereviews goed werken. Dit zijn dan ook belangrijke onderdelen van onze sdlc (secure development life cycle, red). Codereviews kosten misschien tijd, maar leveren je veel op aan kwaliteit en security. Bij deze reviews kijken bovendien altijd minimaal twee developers naar een code. Dat levert veel kennisdeling op waarmee je elkaar helpt om beter te worden.”
Op het gebied van training doet iO Campus Eindhoven veel met het materiaal van Owasp, het Open Web Applications Security Project. “Dat is een community van security-specialisten die opensource en vendor-neutraal kennis promoten onder developers. Van hen gebruiken we onder meer trainingsmaterialen en checklists. Sowieso kan ik aanraden om Owasp’s top-10 van proactieve controles toe te passen bij softwaredevelopment; hiermee voorkom je veel kwetsbaarheden.” Valentijn is zelf ook moderator van de vulnerability-managementtool Owasp Defect Dojo. “Het is een soort JIRA voor vulnerabilities, waarmee je scanresultaten kunt analyseren, ontdubbelen en prioriteren, en taken toe kunt wijzen. Ik vind het geweldig om te doen, vooral omdat het vroeger een soort droom van mij was om zelf aan een bugtracker mee te kunnen schrijven.”
Enthousiast over security?
“Alles wat we doen, is maatwerk. Dat levert uitdagingen op waar je ontzettend veel van leert”, stelt Valentijn. Als bureau is iO aangesloten bij Dutch Digital Agencies, de organisatie die de beste digitale bureaus van Nederland bij elkaar brengt en verenigt. Wat het werken voor een bureau extra leuk maakt, is volgens Valentijn de variatie in opdrachten. “Omdat we zelf geen standaard producten verkopen, is alles wat we voor een klant doen maatwerk. Daarnaast werk je altijd aan vraagstukken waar je opdrachtgever zelf geen antwoord kan geven. Het levert uitdagingen op waar je veel van leert en waarbij er vaak ruimte is om te experimenteren.” Voor developers die ‘meer met security willen doen’ heeft Valentijn een advies. “Veel mensen deinzen terug omdat ze denken dat security ontzettend complex is. Het belangrijkste is dat je het werk en de uitdagingen leuk vindt. Daarnaast hoef je niet alles alleen te doen. We werken bij iO met ‘security champions’ binnen de verschillende teams en campussen. Dat zijn mensen in uiteenlopende functies die enthousiast zijn over security en elkaar met van alles helpen: van het actief uitdragen van het onderwerp tot het signaleren van issues en het invoeren van nieuwe maatregelen. Die eigenschap, dat enthousiasme, heb je echt nodig om security op een zorgvuldige manier op de kaart te zetten en er te houden. Daar begint en eindigt alles mee.”
Benieuwd geworden naar werken bij een digitaal bureau en wil je graag weten of er vacatures openstaan die passen bij jouw profiel? Check het hier.