De nieuwe manier van security testing

Onze samenwerking met WhiteHats

De PTI Planning Suite beschikt over veel persoonsgevoelige informatie van klanten. Security is essentieel, dus zorgen wij voor een hackerproof beveiligingssysteem. Het risico dat een hacker bij onze data kan komen is in de afgelopen vijf jaar significant afgenomen. Hoe? Door te investeren in security trainingen en testing.

 

Dit doen wij samen met WhiteHats! Al vijf jaar lang test WhiteHats structureel onze software. Hiermee zijn zij een belangrijk onderdeel geworden van ons ontwikkelproces. En sinds kort op een vernieuwende wijze. Thijs Schoonbrood – directeur van WhiteHats – vertelt hier meer over.

Wat doen jullie precies voor PTI?

‘’Wij cross-checken maandelijks of de software en de nieuwe software ontwikkelingen kwalitatief volstaan en of het adequaat beveiligd is. PTI wilt zeker weten of de toepassingen die gebouwd zijn, wel veilig en hackerproof zijn. Dus onderzoeken wij alle mogelijke security aanvallen en potentiële kwetsbaarheden, nog voor dat de functionaliteiten naar productie gaan.’’

 

Je hebt het over maandelijks testen. Is dat gebruikelijk?

‘’Eigenlijk niet! We deden altijd veel eenmalige onderzoeken, maar Ron Tuinenburg (directeur IT en Innovatie) wilde dat we meer betrokken zouden worden bij het ontwikkelproces. Daarom hebben we samen het Continu-Model opgezet. Wanneer er nieuwe functionaliteiten ontwikkelt zijn, kunnen we deze direct op afroep controleren. We testen dus kleinere brokjes voordat het naar productie gaat, maar wel frequenter.’’

 

Wat maakt het Continu-Model, of te wel het frequent testen, zo voordelig?

‘’De security optimalisatie van de PTI Planning Suite is van het hoogste niveau. Doordat we niet eens per jaar maar telkens bij nieuwe functionaliteiten de applicatie testen, hebben ze veel sneller feedback en kunnen ze alles veel sneller controleren in hun ontwikkelproces. Als wij eens per jaar een onderzoek doen en er komt een week na het onderzoek een nieuwe functionaliteit uit, dan kan het zijn dat het een jaar live staat voordat er iemand naar gekeken heeft. Met het Continu-Model proberen we dat te ondervangen. Daarnaast gaat de kwaliteit van je code veel sneller omhoog net als de kwaliteit van je developers. En de financiële investering is hierdoor vooraf duidelijk en verspreid. Je weet altijd wat je ieder jaar kwijt bent aan security.’’

 

Hoe gaat het testen van de software features in zijn werking?

‘’Het begint bij de broncode. Omdat we hier toegang tot hebben, kunnen we permanent meekijken met alle wijzigingen in de software. We spreken periodiek met de developers van PTI af welke bundel functionaliteiten we gaan testen. Eerst kijken we hoe het is opgebouwd en hoe het werkt. Vervolgens testen we op twee manieren. We neuzen in de code en hebben zoekopdrachten klaar staan, zodat we heel makkelijk de potentiële hotspots in de code naar boven kunnen krijgen. Onze analist bekijkt wat hier mis zou kunnen gaan. En als tweede testen we de applicatie door. Alle code die we gezien hebben, gaan we in de applicatie cross-checken.’’

 

En? Vinden jullie vaak wat?

‘’We proberen altijd iéts te vinden. Bij PTI hoeven we ze inmiddels niks nieuws meer te vertellen. Ze weten nu wel van de hoed en de rand. Het testen heeft meer het karakter van nabandcontrole. Is er niet ergens een slordigheidsfoutje gemaakt? Is er niks vergeten? Het is een beetje de sport om toch altijd iets te vinden. Ook al weten we dat het onbegonnen werk is. De developers van PTI doen er namelijk alles aan om een waterdichte software te bouwen. En wij doen er dan weer alles aan om iets te vinden. Zo houd je elkaar scherp en dit komt de kwaliteit van de software ook ten goede.’’

 

Mochten jullie iets vinden, wat wordt daar dan mee gedaan?

‘’We koppelen de testresultaten terug middels een rapport maar we kunnen ook rechtstreeks tickets aanmaken via Jira. Dat is het ticketsysteem waar de developers van PTI mee werken. Zo zijn we echt onderdeel van het software ontwikkelproces.’’

 

Jullie werken al heel lang samen. Hoe heb je PTI zien groeien de afgelopen jaren?

‘’In 2016 zijn we voor het eerst gaan samenwerken. We hebben toen de mogelijke security aanvallen van de applicatie gedemonstreerd en een security trainingspartner geadviseerd om de basiskennis te vergroten. Sindsdien is de awareness voor security verhoogd en is de samenwerking steeds verder geïntensiveerd. Nu, vijf jaar later, ligt het technisch niveau erg hoog. Er is nu veel meer focus op security. Op alle vlakken is het sterk verbeterd. Sterker nog, ik denk dat PTI up to standard is. Ze zijn er serieus mee bezig en stellen hier de hoogste prioriteit aan. Meer dan de meeste bedrijven.’’

 

Hoe verloopt de samenwerking?

‘’Heel goed! We zijn zeker blij met de samenwerking. Ze zijn een prettige sparringpartner voor ons. PTI denkt namelijk echt met je mee. Ze kwamen zelf met idee van het Continu-Model. De pilot was zeer succesvol, dus gebruiken we het nu bij veel meer opdrachtgevers. En we kunnen ontzettend goed met ze schakelen. Het niveau van het ontwikkelteam van PTI is bijzonder hoog.’’

 

Als allerlaatste nog even.. zijn jullie hetzelfde als hackers?

‘’Wij vinden onszelf hackers in de positieve zin van het woord. Wij zijn hackers met goede bedoelingen. En daarnaast werken wij anders dan hackers omdat we toegang hebben tot de broncode. Ons doel is om zoveel mogelijk potentiële aanvalsscenario’s en kwetsbaarheden te vinden zodat ze preventief opgelost kunnen worden. Dan helpt het als je aan de achterkant kan kijken hoe het in elkaar zit. Een normale hacker heeft geen toegang tot de broncode. Zie het als een inbreker bij een bank. Wij hebben als inbreker al een plattegrond van de bank. Zo werken wij veel efficiënter en kunnen we meer problemen boven tafel halen. Een hacker werkt blind en moet dingen proberen.’’

Door middel van het frequent testen en de betrokkenheid van de beveiligingsonderzoekers van WhiteHats, is de PTI Planning Suite altijd goed beveiligd. Ook na nieuwe software functionaliteiten. Op deze manier hoef jij je geen moment zorgen te maken over de veiligheid van jouw data.

Over WhiteHats

WhiteHats is gespecialiseerd in het uitvoeren van beveiligingsonderzoeken van software.Ze brengen potentiële kwetsbaarheden en mogelijke scenario’s in kaart. Veelal gericht op maatwerk software maar ook op de infrastructuur. Met als specialisatie de beveiliging van webapplicaties.

WhiteHats weet precies wat er speelt, ondersteunt jouw ontwikkelteam en integreert met het software ontwikkelproces. Zodat jouw beveiliging altijd up-to-standards is.

Meer over WhiteHats