Veilig vanaf het begin: de grootste uitdagingen bij het implementeren van een cyberbeveiligingsaanpak die naar links verschuift

David Ulloa ziet waarde in de shift-linkse strategie, die beveiliging integreert in de vroegste stadia van softwareontwikkeling. Net als andere beveiligingschefs is Ulloa van mening dat deze aanpak de beveiliging van de organisatie effectief en efficiënt kan verbeteren.

Maar hij geeft toe: niet iedereen deelde zijn mening toen hij de strategie voor het eerst voorstelde.

Dus begon Ulloa, CISO bij het Amerikaanse transportbedrijf IMC Companies, sceptici te bekeren door de strategie te promoten als een manier om vanaf het begin veiligere code te maken en het te benadrukken als een praktijk waarvan studies hebben aangetoond dat het die verhoogde beveiliging goedkoper kan creëren dan beveiligingsbehoeften in latere stadia aan te pakken.

Ulloa demonstreerde ook de noodzaak om over te stappen, door een niet-kritieke applicatie te hacken om te illustreren dat de code niet zo veilig was als het zou kunnen zijn. “Ik liet zien wat ik had kunnen doen als ik een kwaadwillende was. Het hielp om het belang van beveiliging als onderdeel van ontwikkeling aan te tonen,” voegt hij eraan toe.

De tactiek werkte en hielp Ulloa over de aanvankelijke weerstand tegen een linkse aanpak heen. De beveiligings- en IT-teams van het bedrijf gingen over op DevSecOps, waarbij meer beveiligingscontroles werden geautomatiseerd in de CI/CD-pijplijn van de ontwikkelaars, werknemers werden getraind in de principes van ‘shift-left’ en beveiligingsprofessionals aan het ontwikkelproces werden toegevoegd.

“Het heeft zijn vruchten afgeworpen. Het is dag en nacht”, zegt hij. Maar zelfs met deze stappen op zijn plaats blijft Ulloa de waarde van shift-links verkopen om het succes ervan te verzekeren.

Een vroegtijdige beveiliging bespaart stress

“Er is een boodschap die ik meestal naar voren breng als ik vergaderingen heb met ontwikkelgroepen: Breng ons vroeg in en bespaar jezelf een hoop stress; breng ons laat in het proces en je zult alles opnieuw moeten doen. Want we moeten ervoor zorgen dat alles wat we doen veilig is,” zegt hij.

Ulloa’s ervaring illustreert slechts enkele van de uitdagingen waarmee organisaties te maken krijgen bij het invoeren en zelfs bevorderen van een linksverschuivende beveiligingsstrategie.

CISO’s, onderzoekers en beveiligingsconsultants zeggen dat beveiligingsteams van bedrijven te maken krijgen met meerdere obstakels bij het invoeren en ontwikkelen van een linksgestuurde beveiligingsstrategie. Maar diezelfde beveiligingsexperts zeggen dat de obstakels niet onoverkomelijk zijn – en dat ze de moeite waard zijn om te overwinnen omdat de winst van een succesvolle links-strategie aanzienlijk kan zijn.

“In de wereld van beveiliging is vroeger in het proces beter”, zegt Melinda Marks, praktijkdirecteur voor cyberbeveiliging bij Enterprise Strategy Group (ESG), een onderzoeks- en adviesbureau.

Groeiende adoptie en de ‘last’ voor ontwikkelaars

Beveiliging verplaatst zich al jaren naar eerdere stadia van het ontwikkelproces, waarbij steeds meer ontwikkelteams beveiliging in hun vizier nemen.

GitLab’s 2023 Global DevSecOps Report, dat meer dan 5.000 IT-leiders, CISO’s en ontwikkelaars in verschillende branches ondervroeg, bevestigde dat “DevSecOps-teams zich steeds meer bewust worden van beveiliging als een gedeelde verantwoordelijkheid.”

Volgens het onderzoek gaf 38% van de beveiligingsprofessionals aan deel uit te maken van een cross-functioneel team dat zich richt op beveiliging. Dat is een aanzienlijke stijging ten opzichte van de 29% die aangaf deel uit te maken van een cross-functioneel team in 2022.

In een andere stap in de goede richting zei 71% van de beveiligingsprofessionals dat een kwart of meer van alle beveiligingskwetsbaarheden wordt opgevangen door ontwikkelaars, tegenover 53% van de respondenten in 2022.

Voorstanders van shift-links wijzen op meerdere onderzoeken waaruit blijkt dat de strategie resultaten oplevert.

Een shift-linkse benadering vermindert kwetsbaarheden

Russell Jones, een partner bij professioneel dienstverlener Deloitte, zegt dat hij organisaties heeft geholpen bij het implementeren van de aanpak en dat hij tot 90% minder geïdentificeerde kwetsbaarheden heeft gezien gedurende de levenscyclus van een product in vergelijking met software die later in het ontwikkelingsproces een beveiligingsbeoordeling ondergaat.

Anderen merken op dat beveiligingskosten ook lager zijn in winkels die shift left hebben geïmplementeerd, waarbij ze opmerken dat het goedkoper en sneller is om beveiligingsproblemen eerder aan te pakken dan later.

Ondanks deze bevindingen en de groeiende toepassing van de shift-links strategie, blijven er uitdagingen bestaan.

Denk bijvoorbeeld aan enkele van deze cijfers uit het 2022 Global C-Suite Security Survey Report van CloudBees, een maker van een DevSecOps-platform: 83% van de ondervraagde C-suite executives was het erover eens dat links verschuiven belangrijk was voor hen als organisatie, maar 58% zei dat de aanpak een last was voor hun ontwikkelaars. Die ervaring, samen met andere uitdagingen, kan de adoptie vertragen en de waarde die de strategie van linksverschuiving kan opleveren, beperken, aldus beveiligingsdeskundigen.

“Shift-links is vandaag de dag meer in de praktijk dan het was, maar is het zo diep als het zou kunnen zijn? Waarschijnlijk niet”, zegt Jon France, CISO van ISC2, een non-profit trainings- en certificeringsorganisatie.

Implementatie is een grote uitdaging

Beveiliging eerder inbedden in softwareontwikkeling is makkelijker gezegd dan gedaan; toch zeggen beveiligingsadviseurs en -onderzoekers dat ze hebben gezien dat sommige organisaties die verschuiving proberen te maken zonder voldoende planning of adequate ondersteuning voor hun teams.

“Het is moeilijk voor organisaties om te slagen als ze shift-links niet programmatisch hebben geïmplementeerd,” zegt Jones. “Je moet doelbewuste werkwijzen, richtlijnen en playbooks hebben voor je hele team, omdat je je ontwikkel- en operationele teams samenvoegt met beveiliging en als ze niet aan boord zijn met dingen als dreigingsmodellering en beveiligingstesten, zal het niet zomaar op magische wijze gebeuren – zelfs niet als er tools beschikbaar zijn.”

Hij adviseert beveiligingsleiders om een “roadmap te maken die de bouwstenen schetst die op hun plaats moeten zijn” – een roadmap die bijvoorbeeld de DevSecOps-architectuur en het beleid behandelt dat teams nodig hebben om beveiliging in een vroeg stadium effectief aan te pakken en die herhaalbare werkwijzen creëert.

Jones raadt organisaties ook aan een iteratieve aanpak te hanteren voor hun programma voor shift-links, te beginnen met een pilot, vervolgens het aantal teams en software dat het proces doorloopt uit te breiden en de processen aan te passen naarmate teams leren van hun shift-links werk.

Een andere uitdaging: beveiliging dumpen bij ontwikkelaars

William Dupre, een senior director analist bij onderzoeksbureau Gartner, zegt dat hij de term meestal niet gebruikt naar links verschuiven omdat het “het idee kan creëren dat je beveiliging naar de ontwikkelteams verschuift, wat niet is wat je echt probeert te doen. Je wilt dat het ontwikkelteam zijn rol speelt, maar je schuift de verantwoordelijkheid voor beveiliging niet op hen af.”

Het is niet alleen dat de term die indruk achterlaat bij ontwikkelaars: Dupre zegt dat hij gevallen heeft gezien waarin het shift-linksprogramma van de onderneming de beveiliging inderdaad op de ontwikkelaars afschuift.

“Ontwikkelaars [are told], ‘Nu neem je de verantwoordelijkheid voor de beveiliging,'” zegt Dupre. “Dus als je die term ‘shift-links’ gebruikt, krijg je misschien wat culturele onenigheid.”

Dupre geeft de voorkeur aan de term DevSecOps, die volgens hem niet alleen uitwisselbaar is met shift-left, maar ook een betere weergave is van wat het concept probeert te bereiken – namelijk om ontwikkelaars en operationele teams samen te laten werken met beveiliging om veilige softwareproducten van hoge kwaliteit te garanderen.

Hij voegt eraan toe: “Het gaat er meer om beveiliging in het proces te stoppen.”

Angst dat linksverschuiving de ontwikkeling zal vertragen

Een andere zorg die de invoering van een effectieve links-strategie kan belemmeren, is de angst dat beveiliging het maken en uitbrengen van softwareproducten, nieuwe mogelijkheden en functie-upgrades zal vertragen.

Het zijn niet alleen ontwikkelaars die zo denken, zeggen experts; de zakelijke leiders die schreeuwen om softwareproducten delen dat gevoel vaak ook.

France zegt dat hun zorgen geworteld zijn in ervaringen uit het verleden, waar code aan het eind van de ontwikkeling door beveiligingsbeoordelingen moest – een schema dat in feite voor vertragingen kan zorgen. Zoals France opmerkt: “Beveiliging achteraan laten vertraagt de dingen omdat beveiliging dan achteraf moet worden aangepast. Dus als je beveiliging altijd op het laatste moment hebt zien komen, dan wordt beveiliging natuurlijk gezien als iets dat het proces vertraagt. Dat is een doorleefde ervaringsles voor velen. En het is een vastgeroeste positie die we moeten overwinnen.”

France zegt dat CISO’s moeten bewijzen dat een shift-linkse aanpak zowel beveiliging als snelheid kan ondersteunen. Hij heeft CISO’s zien samenwerken met CIO’s om elementen van de aanpak te introduceren en met die kleine successen het potentieel te laten zien dat een grootschalige shift-linkse strategie zou kunnen bieden.

“Het is werken in een lage en langzame aanpak en dan de voordelen laten zien,” zegt France.

Geen prikkels voor deze verschuiving

Ontwikkelaars, beveiligingsbeoefenaars en hun managers moeten niet alleen hun zorgen over snelheid overwinnen; ze moeten ook vastgeroeste manieren van werken overwinnen.

“Dit is een grote mentaliteitsverandering voor teams,” zegt Marks, die uitlegt dat ze nieuwe processen en tools moeten aannemen als ze overstappen op DevSecOps.

Marks en anderen zeggen dat leidinggevenden deze teams de juiste prikkels moeten geven om anders te gaan werken en beveiliging zo vroeg mogelijk in het ontwikkelproces in te bedden.

Beveiliging moet worden gestimuleerd om “op te schalen en gelijke tred te houden”, zegt Marks.

Tegelijkertijd zouden ontwikkelaars KPI’s rond beveiliging moeten hebben – iets wat ze traditioneel niet hebben.

“Ontwikkelaars hebben geen KPI’s rond beveiliging, omdat het niet hun hoofdverantwoordelijkheid is. Maar als je als ontwikkelaar niet wordt gestimuleerd om meer tijd aan beveiliging te besteden, zal dat de bereidheid om tijd aan beveiliging te besteden beperken,” zegt Ankit Gupta, practice director bij onderzoeksbureau Everest Group.

Gupta zegt dat hij organisaties adviseert om na te denken over “geïntegreerde KPI’s”, zodat alle leden van productteams en DevSecOps-teams en alle andere belanghebbenden verantwoordelijkheid delen voor het voldoen aan de verwachtingen rond de snelheid waarmee een softwareproduct op de markt komt, de prestaties en de beveiliging.

Een gebrek aan het juiste talent, training

Het juiste talent op de juiste plaats krijgen is een ander essentieel onderdeel om DevSecOps/shift-left succesvol te laten zijn.

Dat wordt echter niet altijd gedaan, zegt Keatron Evans, vicepresident van portfolio- en productstrategie bij cybersecurityopleidingsbedrijf Infosec, onderdeel van Cengage Group.

Hoewel ontwikkelaars geen eigenaar moeten zijn van beveiliging als onderdeel van een shift-linkse aanpak, zegt Evans dat ze toch moeten begrijpen wat de risico’s zijn en hoe code wordt misbruikt, zodat ze effectief kunnen samenwerken met beveiligingsbeoefenaars tijdens de hele ontwikkelingscyclus.

Hij en anderen zeggen dat de oplossing eenvoudig is: beloof om adequate training te geven.

Dupre pleit er ook voor dat CISO’s op zoek gaan naar beveiligingskampioenen – “een tester, ontwikkelaar, analist, projectmanager, iedereen die de vraag ‘Denk je aan beveiliging?’ stelt, en deze in staat stellen dit te doen” – en een manier vinden om die beveiligingsmentaliteit en -evangelisatie te cultiveren, te koesteren en te belonen.

Tegelijkertijd zegt Evans dat organisaties beveiligingsbeoefenaars moeten betrekken bij het proces – anders is het gewoon DevOps. “DevSecOps werkt het beste als je een beveiligingsprofessional hebt, niet alleen een ontwikkelaar met een beetje kennis van beveiliging. Dat is niet hetzelfde als een beveiligingsmedewerker in het team hebben,” voegt hij eraan toe.

Zonder deze aandacht voor talent, zeggen experts dat ontwikkeling, beveiliging en operations waarschijnlijk weer in hun eigen silo’s gaan werken.

CISO’s beschikken over een groeiende lijst technologieën die een shift-linkse aanpak kunnen ondersteunen, met tools voor dreigingsmodellering, statische applicatiebeveiligingstests, dynamische applicatiebeveiligingstests en allerlei soorten scans.

Dergelijke technologieën, samen met automatisering, maken het zeker gemakkelijker voor DevOps-teams om met succes beveiliging binnen te halen.

Maar het is niet genoeg om zulke technologieën te implementeren, zeggen experts. In plaats daarvan moet de beveiligingsfunctie tools selecteren die goed werken met de platforms die ontwikkelaars al gebruiken – of er zelfs voor kiezen om de beveiligingsfuncties te gebruiken die al in die ontwikkelplatforms zijn ingebouwd.

De beveiligingsfunctie moet ook het gebruik van deze tools in het ontwikkelproces soepel laten verlopen, vooral om te beginnen, omdat waarschuwingen DevSecOps-teams snel zouden kunnen overspoelen en sommigen daardoor van het shift-link-proces zouden kunnen weerhouden.

“Soms gooien organisaties gewoon tools naar het team en zeggen: ‘Handel jij het maar af'”, zegt Dupre. “En als je het voor de eerste keer doet, zullen de scantools veel kwetsbaarheden rapporteren; vooral als producten al tientallen jaren bestaan, krijg je bergen kwetsbaarheden en dat kan onrust veroorzaken in teams.”

Om dat tegen te gaan, moeten beveiligingsleiders die DevSecOps richting geven, zodat ze weten hoe ze de kwetsbaarheden moeten triagen op basis van bedrijfsrisicofactoren, zegt Dupre. Leiders moeten er ook voor zorgen dat de teams duidelijk begrijpen dat beveiliging verantwoordelijk is voor het prioriteren van te verhelpen kwetsbaarheden en dat ontwikkelaars verantwoordelijk zijn voor het verhelpen ervan.

Alleen shift-links denken en niet de hele levenscyclus

Nu steeds meer enterprise ontwikkelteams een shift-linkse strategie aannemen, pleiten security leaders ervoor om de beveiliging nog verder uit te breiden.

“Nu is het niet alleen shift-links. Het is ook shift rechts”, zegt Gupta. “Dus als het testen klaar is en de applicatie in productie is, hoe kun je dan overgaan op continu testen en observeerbaarheid? In principe [it’s about] hoe uitgebreid kun je zijn om ervoor te zorgen dat de productkwaliteit in de loop van de tijd verbetert en om ervoor te zorgen dat mijn product robuust is na implementatie.”

Marks deelt dat perspectief en pleit er op dezelfde manier voor dat CISO’s en hun teams niet linksom of rechtsom denken, maar in plaats daarvan beveiliging zien als “oneindig, continu, meer als een cirkel.” Ze voegt eraan toe: “Ontwikkelaars haasten zich om apps te maken en te implementeren en dan is het updaten, updaten, updaten. Dus hoe houdt beveiliging dat bij? Daarvoor heb je een strategieprogramma nodig dat de hele levenscyclus omvat.”