De term ‘shift left’ is een verwijzing naar de Software Development Lifecycle (SDLC) die de fasen beschrijft van het proces dat ontwikkelaars volgen om een applicatie te maken. Vaak wordt deze levenscyclus afgebeeld als een horizontale tijdlijn met de concept- en coderingsfasen die aan de linkerkant van de cyclus ‘beginnen’. Een proces in de creatie van een applicatie naar voren schuiven in de cyclus betekent dus dat deze in feite ‘naar links verschoven wordt’. ‘Shift-left security’ omschrijft dus het concept dat securitymaatregelen, aandachtsgebieden en implicaties verder naar links – of eerder – in de levenscyclus moeten voorkomen dan de typische fasen die vroeger het startpunt vormden voor het testen en beschermen van de security.
Hoe is de term shift-left security ontstaan?
Shift-left security is voortgekomen uit een breder aandachtsgebied dat bekend staat als ‘shift-left testing’. De term werd voor het eerst gebruikt door Larry Smith in 2001. Sindsdien is het concept van shift-left security steeds populairder geworden naarmate organisaties meer gebruik maken van de cloud en naarmate hoogwaardige cyberaanvallen steeds vaker gericht zijn op ontwikkelingstools en pipelines voor apps die in de cloud en/of als SaaS worden geleverd.
Waarom is shift-left security belangrijk in cybersecurity?
Eenvoudig gezegd heeft de ontwikkeling van clouddiensten voor ontwikkelaars en productteams een ongelooflijke snelheid en breedte mogelijk gemaakt bij het leveren van applicaties, maar ook heeft het geleid tot een aantal extreme uitdagingen bij het handhaven van regelgeving en controle. Security moet gelijke tred houden met de snelle groei en flexibiliteit van de ontwikkelingscycli en flexibel genoeg zijn om een breed scala aan cloudgeleverde oplossingen te ondersteunen. De overeenkomst in deze nieuwe ontwikkelworkflows is dat de code die aan alles ten grondslag ligt, van applicatie tot infrastructuur, open en manipuleerbaar is voor de ontwikkelteams. Door security helemaal naar de ‘linkerkant’ van de codeerfase te brengen, wordt de security om de bron heen gebouwd van wat kwaadwillenden proberen aan te vallen. Dit zorgt voor de best mogelijke security tegen het risico van uitbuiting.
Wat is de hype rond shift-left security?
Zoals veel cybersecurity modewoorden, behandelen veel leveranciers shift-left security als ‘het enige wat je nodig hebt om veilig te zijn’, alsof het een wondermiddel is voor securityproblemen. In werkelijkheid doorbreekt dit het principe van Zero Trust, omdat je impliciet de ontwikkelaar(s) en hun coderingscapaciteiten zou vertrouwen. Ook is er een duidelijk gebrek aan consistent begrip en gestandaardiseerde werkmethoden voor hoe applicatieontwikkeling zou moeten werken in een moderne DevOps-afdeling, zoals de supply chain van code (open source pakketten en drift) of integratietools (Git, CI/CD, enz.). Dit creëert risico’s. Als een organisatie bijvoorbeeld gelooft: “Onze data-opslag is vrij toegankelijk voor iedereen op het internet, maar dat is geen probleem omdat alle data in een versleuteld formaat is opgeslagen”, dan stelt deze overtuiging aanvallers in staat om simpelweg een kopie van de data te maken en vervolgens met ‘brute kracht’ de data te ontsleutelen, of te zoeken naar de toegangscodes in welke opslagplaats dan ook.
Wat leidinggevenden in overweging moeten nemen bij het invoeren van shift-left security
Security naar links verschuiven in je SDLC-programma is een prioriteit waar leidinggevenden zich op zouden moeten richten. Ontwikkelteams krijgen voor een afdeling die zich uitsluitend op security richt, nog vaak een buitengewone hoeveelheid controle en invloed. Niet alleen creëren zij bedrijfskritische toepassingen via code, maar ook handelen zij elke stap in dit proces af: van het coderen van de toepassing tot het compileren, testen en het voldoen aan de infrastructuurbehoeften van de toepassing met aanvullende code.
Security uitbreiden naar alle workflows waar ontwikkelteams zich in begeven is de kernideologie van shift-left security. Het zou echter buitengewoon riskant zijn om de securityprogramma’s die in de latere of ‘rechtse’ fasen van de levenscyclus blijven, op te geven of af te schrijven. Security moet de hele levenscyclus dekken, van het bouwen van de code tot en met de implementatie eromheen en uiteindelijk de toepassing en de omgeving die ermee omgaat.
Hier zijn enkele vragen die je je team moet stellen voor een succesvolle invoering van shift-left security:
- Hoe kun je alle fasen van onze SDLC in ons securityprogramma opnemen zonder een enorme toevoeging aan nieuwe tools die je voor elke stap opnieuw moet leren te gebruiken?
- Hoe kun je ontwikkelteams in staat stellen eenvoudige securityfouten te corrigeren zonder hun vermogen om cruciale applicaties en updates uit te brengen te vertragen of te blokkeren?
- Security moet geïntegreerd worden in de tools en workflows die je ontwikkelingsteam gebruikt om te coderen, verzamelen, testen en implementeren. Hoe kun je dit bereiken en toch aan de bovenstaande behoeften voldoen?
- Stel dat iets onveilig wordt ingezet. Hoe stuur je dan een verzoek voor een nodige aanpassing terug in de workflow die je ontwikkelaars gebruiken met de daadwerkelijke coderingswijzigingen automatisch inbegrepen?
- Zijn er platforms die kunnen omgaan met je behoefte om naar links te schuiven, je runtime-omgeving kunnen beschermen en tegelijk bij kunnen dragen aan je securityoperaties, governance en compliance? En kan het platform daarnaast workflows voor data-architecten voorzien van zichtbaarheid, security en controle voor je hele applicatielandschap?
Dit is een ingezonden bijdrage van Palo Alto Networks. Via deze link vind je meer informatie over de mogelijkheden van het bedrijf.
17 uur geleden
