Wie security pas achteraf inbouwt, betaalt tot vijftien keer de originele kostprijs. Daarom zijn een strikte ‘Security by Design’-aanpak en een hechte wisselwerking tussen blue en red teaming cruciaal. Ook dient er een scherp oog voor de risico’s van open-sourcecomponenten te zijn. Deze keuzes hoeven geen belemmering te zijn voor innovatie en zijn simpelweg de enige rationele keuzes. We spraken erover met Klarrio, dat als platform engineeringpartij complete teams heeft om Security by Design naar de praktijk te vertalen.

Security is een kostenpost die bedrijven maar al te vaak liever uitstellen, totdat uitstel opeens geen optie meer is. Klarrio, dat foundational dataplatformen bouwt op basis van open-sourcetechnologie, ziet dit patroon met grote regelmaat terug in de markt. En de rekening van dat uitstel is elke keer fors. Wie beveiliging direct in het ontwerp van een nieuw systeem meeneemt via de principes van Security by Design, betaalt ruwweg tien procent extra op de initiële productontwikkeling. Wie die stap overslaat en systemen later moet retrofitten met securitymaatregelen, betaalt tien tot vijftien keer zoveel. Hoewel dit geen exacte wiskunde is, benadrukt R&D Director Werner Vermeylen dat de orde van grootte zonder twijfel klopt. Brede sectoronderzoeken tonen zelfs aan dat herstelkosten na een incident of bij complexe aanpassingen in extremere gevallen tot honderd keer hoger kunnen uitvallen.

Daar stopt de schade voor organisaties overigens niet. Naast de gigantische directe herstelkosten dreigen er zware boetes voor het niet naleven van regelgeving als de GDPR en de nieuwe NIS2-richtlijn. Bovenop de financiële klap komt de reputatieschade die klanten onvermijdelijk wegjaagt. Tegelijkertijd raken interne ontwikkelteams langzaam maar zeker uitgeput, omdat ze continu bezig zijn met het dichten van onverwachte gaten in plaats van met het bouwen van innovatieve, nieuwe functionaliteiten. Information Security Officer Roel Van Nyen noemt dit fenomeen ‘securityvermoeidheid’. Het is een kritieke toestand waarbij de wendbaarheid en de innovatiekracht van een complete organisatie volledig vastlopen. Om dit doemscenario te voorkomen, heeft Klarrio een robuust framework ontwikkeld dat beveiliging verweeft in het DNA van elke ontwikkelfase.

Blauw bouwen, rood denken

De fundamenten van de succesvolle aanpak van Klarrio rusten op de dynamiek tussen drie abstracte rollen: het blue team, het red team en het purple team. Deze rollen zorgen ervoor dat security van een platform vanuit elke mogelijke invalshoek wordt benaderd en uitgedaagd. Het proactieve werk begint bij het blue team, direct op het moment dat een platform of een nieuwe feature voor het allereerst op de tekentafel ligt. Staff Security Architect Joris Gorinsek legt uit dat je pas echt kunt beveiligen als je diepgaand begrijpt wat je precies aan het bouwen bent. Dat proces start steevast met threat modeling. Hierbij verplaatst het team zich in de schoenen van een hacker: wat zijn de meest interessante doelwitten en waar bevinden zich de zwakke plekken om in te grijpen? Vanuit deze analyse worden de verdedigingsmechanismen gedefinieerd en onmiddellijk in het basisontwerp verwerkt. Security is daardoor geen sluitpost, maar onlosmakelijk aanwezig vanaf de allereerste schets.

Toch denkt een ontwerper of programmeur van nature niet als een kwaadwillende hacker. Een ontwikkelaar focust zich logischerwijs op de manier waarop het systeem onder ideale omstandigheden hoort te werken. Een aanvaller zoekt daarentegen doelbewust naar alle afwijkende paden en onverwachte openingen in de code. Om deze kritische denkwijze intern te borgen, zet Klarrio actief een red team in. Deze experts krijgen de expliciete opdracht om te denken en te handelen als hackers, maar zij bezitten tegelijkertijd diepgaande interne kennis van de architectuur van het platform. Deze white box-benadering stelt hen in staat om veel gerichter en efficiënter naar kwetsbaarheden te zoeken dan een externe partij die zonder die specifieke achtergrondkennis moet opereren.

Hierbinnen is ook paars als derde kleur te vermelden. Het purple team is binnen deze methodiek geen aparte, fysieke afdeling op de kantoorvloer, maar het directe resultaat van het samenspel van rood en blauw. Aanvallers en verdedigers werken continu hand in hand om een veiliger eindproduct te smeden. Volgens Vermeylen is deze manier van werken bij Klarrio een absolute vanzelfsprekendheid. Omdat het blue en red team intern al zo nauw samenwerken, vormt purple eigenlijk de natuurlijke, automatische zone waarin het dagelijks opereert. Dit interne proces maakt onafhankelijke externe pentests zeker niet overbodig. Integendeel, Klarrio beschouwt de eigen red team-exercities als een uiterst strenge check vooraf. Klanten schakelen vervolgens nog steeds externe partijen in voor een objectieve en onafhankelijke audit om het uiteindelijke platform te certificeren.

Deze versturen we 3-4x per jaar.