“U beveiligt de infrastructuur … En uw toepassingen?”

“Niet alleen moet u de kwetsbaarheden van uw toepassingen opsporen, maar u moet ze ook wegwerken en waakzaam blijven tijdens de hele levenscyclus, van de specificatiefase tot en met de inbedrijfstelling.”

Jerry Saelemakers, Technical Consultant, HP Software BeLux


Meteen denkt men aan firewalls, aan al die systemen voor perifere beveiliging. Volgens Jerry Saelemakers zijn ze weliswaar nuttig, maar ontoereikend. Ze beschermen de toepassingen immers niet tegen “SQL injection” of “cross site scripting” aanvallen via dewelke hackers straffeloos gevoelige gegevens van de onderneming kunnen binnenhalen of door een gebruiker verstuurde informatie kunnen onderscheppen. Het risico bestaat daarbij dat vertrouwelijke bedrijfsdata -over klanten, werknemers …- toegankelijk worden of dat verkoopsites volledig onbeschikbaar worden.

Het lijdt geen twijfel dat de impact van het web toeneemt. Terwijl het aantal webapplicaties van bedrijf tot bedrijf verschilt, schat men het voor alle sectoren samen op gemiddeld 45 tot 55% van het globale bedrijfsvermogen. Binnenkort zal dat aantal nog veel hoger liggen door de opkomst van oplossingen in SaaS-modus en van Web 2.0. Meer nog dan de financiële kostprijs van het verlies of de diefstal van gegevens situeert de grootste bedreiging zich dus op het niveau van de bedrijfsactiviteit, om nog te zwijgen over de integriteit en de reputatie van de onderneming. Het wordt dus van vitaal belang over aangepaste tools te beschikken om de veiligheid van software te analyseren, te testen en te valideren.

“De beveiliging van toepassingen is een ontzettend complex en veranderlijk proces dat veel meer inhoudt dan het doorvoeren van technische controlepunten, zegt Jerry Saelemakers. Ook al wordt men zich terdege bewust van de risico’s van cybercriminaliteit, toch hebben nog niet alle bedrijven de maturiteit bereikt om dat soort aanvallen doeltreffend op te sporen.” Dat is ook de zienswijze van Gartner, dat stelt dat 80% van de bedrijven tegen 2009 zal worden geconfronteerd met incidenten in verband met de veiligheid van hun webtoepassingen!

De veiligheid van webtoepassingen moet worden ingecalculeerd vanaf de ontwikkelingsfase, oordeelt men bij HP. Concreet gezien komt het erop aan te voorzien in een echt beheer van de levenscyclus van de beveiliging dat het stadium van de ontwikkeling, de kwaliteitsborging, de “go-live” en het toezicht tijdens de productie omvat. “Niet alleen moet u de kwetsbaarheden van uw toepassingen opsporen, u moet ze ook wegwerken en waakzaam blijven tijdens de hele levenscyclus, vanaf de functionele specificatie tot de inbedrijfstelling, over de ontwikkeling en de tests”, beklemtoont Jerry Saelemakers.

Dat inzicht moet nog worden ingeprent. Een recent onderzoek toont aan dat 80% van de bedrijven verklaart dat de verantwoordelijkheid voor de veiligheid van de toepassingen ligt bij hun beveiligings- of exploitatieteams; nog geen 27% bevestigt dat hun teams voor ontwikkeling of kwaliteitsborging die verantwoordelijkheid delen. Bij ons, met uitzondering van de financiële sector, vooral in Luxemburg, zijn de resultaten nog teleurstellender. “Het verband tussen kwaliteit, prestaties en veiligheid is nog minder duidelijk, betreurt Jerry Saelemakers. Alleen door nieuwe functionaliteiten aan te bieden die de samenwerking tussen de teams voor ontwikkeling, kwaliteitsborging en exploitatie binnen de IT-afdeling verbeteren, kan de situatie worden verholpen. Dat is precies wat wij voorstellen.”

De kwetsbaarheden van webtoepassingen aan het licht brengen, wegwerken en voorkomen. Die rol is weggelegd voor HP Application Security Center. De opzet is de samenwerking te verbeteren tussen de teams voor ontwikkeling, kwaliteitsborging en exploitatie binnen de IT-afdeling.

HP Application Security Center omvat HP Assessment Management Platform als grondslag van de oplossing en werd aangevuld met HP Devinspect voor de ontwikkelaars, HP QAinspect voor de teams voor kwaliteitsborging en HP Webinspect voor de experts inzake beveiliging en exploitatie.

HP Devinspect koppelt statische analyses aan dynamische analyses om de kwetsbaarheden op te sporen. De correctieve acties zijn toegespitst op de meest kritieke kwetsbaarheden. De tool begeleidt de ontwikkelaars bij de aanmaak van een gezonde code binnen hun ontwikkelomgeving. De oplossing is compatibel met Visual Studio 2008, Visual Studio 2005 en Eclipse.

HP QAinspect omvat de eerste functie voor het beheer van veiligheidsanomalieën die in de HP Quality Center-software geïntegreerd is. Dankzij die functies voor de scripting van gebreken en de consolidatie van resultaten kunnen de IT-teams de tekortkomingen filteren, volgens prioriteit indelen en oplijsten in functie van de risico’s waaraan het bedrijf is blootgesteld. Informatie over veiligheidsgebreken is beschikbaar tijdens de volledige levenscyclus van de applicatie: ontwikkeling, kwaliteitsborging, exploitatie en beveiliging. Op die manier worden veiligheidsproblemen snel opgespoord en verholpen.

HP Webinspect werd voorzien van snellere “runtimes” en een nauwkeuriger scanner van de kwetsbaarheden die hackers het vaakst misbruiken. Daartoe behoren “cross-site scripting” en “SQL injection”. Die moeten de exploitatie- en veiligheidsteams helpen om de veiligheidslekken efficiënter op te sporen en te dichten.

1- De gevolgen op lange termijn van een ontoereikend beveiligingsproces onderschatten

Veiligheidsproblemen zijn niet altijd gemakkelijk te verhelpen. Soms zijn meerdere iteraties bij de analyse van de code nodig om ze op te sporen. Daardoor blijven er veel latent aanwezig en duiken ze pas enkele versies of jaren later op. Onderschat dus het beveiligingsproces tijdens de ontwikkelingscyclus niet, anders zou het verschijnsel na verloop van tijd wel eens kunnen toenemen.

2- De beveiliging verwaarlozen omwille van de functionele rijkdom

Door tijdsgebrek worden de aspecten met betrekking tot de veiligheid wel eens verwaarloosd. Dat blijkt duidelijk tijdens activiteitspieken, waarbij bijna uitsluitend aandacht wordt besteed aan de businessbehoeften en aan het ter beschikking stellen van zoveel mogelijk functionaliteiten op vraag van de gebruikers. De functionele rijkdom van applicaties wordt onterecht benadrukt ten koste van de veiligheid.

3- Onvoldoende inzicht hebben in de veiligheidsvoorziening

Applicatieverantwoordelijken, ontwikkelaars en gebruikers zijn zich niet altijd bewust van de potentiële of vastgestelde veiligheidsproblemen. Het doorvoeren van firewalls, toegangsrechten en authenticatie volstaat niet. De veiligheid van toepassingen is geen kwestie van reactieve controlesystemen alleen. De veiligheidsvereisten moeten in een zo vroeg mogelijk stadium in overweging worden genomen.

4- De veiligheid niet in de ontwikkelingsfase integreren

Zodra de functionele specificaties zijn vastgelegd en de projecten op kruissnelheid komen, wordt voorrang gegeven aan het schrijven van de code … en worden de veiligheidsvereisten verwaarloosd. Al is het van het allergrootste belang om de ontwikkelaars op te voeden en op te leiden over de veiligheidsaspecten, toch heeft ook de projectleider de plicht om de veiligheidsvereisten in zijn toepassingsproject centraal te stellen.

5- De beveiliging in de testfase afhaspelen

Gebreken komen meestal aan het licht bij het uittesten van de units, dus heel vroeg in de cyclus van de kwaliteitsborging. Toch worden de veiligheidstests ofwel uitgesteld, ofwel ingepland aan het eind van de testfases, bijvoorbeeld op het moment van de integratietests of zelfs in het kader van het toezicht na productie. Daardoor dreigt men belangrijke veiligheidslekken over het hoofd te zien.

6- Geen gebruik maken van tools voor veiligheidstests

Ontwikkelen met de veiligheid voor ogen is één zaak, gebruik maken van aangepaste tools tijdens de ontwikkelingscyclus om gebreken aan het licht te brengen die op het eerste gezicht niet waar te nemen waren is nog iets anders. Het is absoluut noodzakelijk te beschikken over tools voor het uittesten van de veiligheid die tijdens de threat modeling, de codering, de kwaliteitsborging en de doorlichting van de veiligheid in de productiefase kunnen worden benut …