Grip op de security van jouw tech partners
Jij doet er alles aan om je platform veilig te bouwen. Maar hoe zit dit met je partner ecosysteem? Bouwen zij net zo veilig als jij als platformeigenaar dit doet? Wanneer je werkt met partners die hun add-on koppelen aan jouw platform of systeem, dan is het van belang dat ook zij, net als jij, goed presteren op het gebied van security. De data die je klanten aan jou toevertrouwen, vloeit via API-koppelingen naar de systemen van je partners. En jij bent uiteindelijk verantwoordelijk voor de data van jouw klanten.
In 2 dagen de security status van een tech partner
Computest heeft een 2-daagse quickscan ontwikkeld die in één oogopslag een globale indruk geeft van het securityniveau van de development van een tech partner. Een overzichtelijk eindrapport laat zien waar zij staan op het gebied van security in hun development proces, wat hun grootste risico's zijn, en wat ze daaraan kunnen doen.
Je kunt deze scan zien als een second opinion, of gewoon een manier om de security thermometer eens in je partner ecosysteem te stoppen. Resultaat is een indicatie van de staat van de security op basis waarvan je als platformeigenaar kunt bepalen of er actie nodig is. De tech partner krijgt het complete eindrapport en jij als platformeigenaar krijgt enkel de samenvatting hiervan.
De partner security quickscan – de aanpak
Een senior Computest Security Consultant zal in twee dagen globaal de security in kaart brengen van de de add-on(s) in scope. De consultant combineert voor deze Quickscan een drietal werkwijzen/technieken: interviews, code reviewing en security testing. Onze ervaring heeft geleerd dat deze drie aandachtsgebieden goede graadmeters zijn voor de volwassenheid van een organisatie op het gebied van secure development.
De 3 aandachtsgebieden in meer detail:
1 . Security in code
De Computest security consultant zal samen met een ontwikkelaar de broncode van de te onderzoeken applicatie(s) doornemen. Hierbij wordt specifiek gelet op de kwetsbaarheden die op de Certified Secure checklist “Secure Development Checklist” genoemd worden. Deze kwetsbaarheden zijn gegroepeerd per thema.
De Quickscan heeft niet als doel om alle mogelijke kwetsbaarheden te vinden, maar geeft een indruk per thema. Thema’s die zo worden geadresseerd zijn bijvoorbeeld:
- User Input handling
- Authentication & Authorization
- Logging & Auditability
- Session handling
- Separation of Concerns & Isolation
- Security in network transmission
2. Security in het ontwikkelproces
Het tweede aandachtsgebied betreft het ontwikkelproces van de add-on. Middels een aantal interviews met leden van het ontwikkelteam kan de security consultant conclusies trekken over de mate waarin security is geborgd in het ontwikkelproces.
Denk hierbij aan de volgende thema’s:
- Peer reviews van code
- Coding guidelines voor security
- Versiebeheer van broncode
- Beheer van third-party libraries
- Securitybeleid voor inrichting en beheer van infrastructuur
3. Security in de praktijk
Het laatste aandachtsgebied is de software in productie. De security consultant zal een aantal oppervlakkige controles op de productieomgeving uitvoeren. Hier zal, deels middels automatische scans en deels handmatig, worden gezocht naar een aantal typen kwetsbaarheden die niet aan de code kunnen worden afgeleid of zich meer lenen voor testing dan code reviewing.
Het eindresultaat: het Quickscan rapport
Na afloop van een Quickscan levert Computest een document op dat gestructureerd is aan de hand van de eerdergenoemde aandachtsgebieden binnen de drie pijlers code, proces en praktijk. Voor elk van de aandachtsgebieden beschrijft de consultant kort wat de conclusie is voor dat aandachtsgebied. Aan elk van de drie pijlers wordt vervolgens een score verbonden in de vorm van een kleur: Rood, Oranje of Groen. Deze kleuren symboliseren respectievelijk “groot risico”, “verbetering wenselijk” of “in control”.
Let op: het quickscan rapport is geen vervanging van een security test, maar het is zeker voldoende om een gefundeerde indruk te krijgen van het globale securityniveau. Hiermee kun je enerzijds als platform eigenaar beslissen of je partner(s) aansluiten bij jouw visie op security, en krijgen anderzijds je partners de expertise en ervaring van een senior security consultant.