‘Radical shift left’: een essentiële security-aanpak in het AI-tijdperk
De ontwikkelingen binnen de IT gaan razendsnel en AI brengt alles nog meer in een stroomversnelling. Hierdoor staan organisaties meer dan ooit voor de uitdaging om hun verdedigingsstrategieën voortdurend te verbeteren. Niet gek dus, dat de ‘(radical) shift left’-aanpak als essentiële strategie gezien wordt. Maar wat levert deze aanpak precies op en hoe verhoudt het zich tot AI? Wij zetten alles wat je moet weten over deze innovatieve strategie voor je op een rij.
(Radical) shift left: wat is het?
De ‘shift left’-aanpak in IT-beveiliging verwijst naar een benadering waarbij de nadruk ligt op het voorkomen van beveiligingsproblemen in een vroeg stadium van de Software Development Life Cycle (SDLC). De ‘shift left’-aanpak streeft ernaar dit te veranderen door beveiliging een integraal onderdeel te maken van elke fase van de SDLC. Dit staat in contrast met de traditionele aanpak waarbij beveiliging vaak als een secundair proces wordt beschouwd en pas wordt overwogen nadat een systeem is gebouwd of geïmplementeerd.
‘Radical shift left’ gaat een stap verder:
- Het omvat een gehele verandering van de ontwikkelingsprocessen en de cultuur binnen een organisatie.
- Het kan bijvoorbeeld inhouden dat beveiligingsprincipes niet alleen vroeger in het ontwikkelingsproces worden toegepast, maar ook dat beveiliging een integraal onderdeel wordt van de organisatiecultuur.
- Het doel is niet alleen om specifieke activiteiten naar voren te verplaatsen, maar ook om een fundamentele verandering teweeg te brengen in hoe een organisatie denkt over en omgaat met beveiliging, kwaliteit en samenwerking.
De 7 kerncomponenten
De radical shift left-aanpak is een veelomvattende werkwijze. De belangrijkste componenten zijn:
1. Vroege integratie
Beveiliging wordt meegenomen vanaf de eerste stappen van het ontwikkelingsproces, inclusief de plannings- en ontwerpfase.
2. Security by design
Beveiliging wordt beschouwd als een integraal onderdeel van het ontwerp- en ontwikkelingsproces. Dit betekent dat beveiligingsvereisten worden vastgesteld en geïmplementeerd vanaf het begin. Dimitri van Zantvliet, directeur Cyber Security bij de Nederlandse Spoorwegen, vertelt: “Radical shift left is één van de vier pijlers van onze securitystrategie. Het uitgangspunt hierbij is security by design en default. We nemen veiligheid dus vanaf het begin mee bij het bouwen van software en applicaties, in plaats van het later toe te voegen of te zien als een reactieve maatregel.”
3. Automatisering van beveiligingstests
Door gebruik te maken van tools zoals Static Application Security Testing (SAST) en Dynamic Application Security Testing (DAST), kunnen kwetsbaarheden vroegtijdig worden geïdentificeerd en aangepakt.
4. DevSecOps
Integratie van beveiliging binnen DevOps, waarbij de samenwerking tussen ontwikkelings-, operationele en beveiligingsteams wordt versterkt om beveiliging naadloos in het ontwikkelingsproces op te nemen.
5. Secure coding
Bij veilig coderen worden maatregelen genomen om kwetsbaarheden in de code te voorkomen, zoals buffer overflows, SQL-injectie, en cross-site scripting (XSS). Dit wordt bereikt door best practices te volgen, zoals het valideren van invoer, het veilig omgaan met gebruikersgegevens, en het gebruik van up-to-date en veilige bibliotheken en frameworks.
6. Security awareness voor de makers
Het opleiden van ontwikkelaars en IT-personeel over beveiliging best practices, zodat ze beter in staat zijn om potentiële beveiligingsrisico’s te herkennen en aan te pakken.
7. Cultuurverandering
Een verschuiving naar een cultuur waarin elke stakeholder, van ontwikkelaars tot business analisten, zich bewust is van het belang van beveiliging.
De voordelen van de radical shift left-aanpak
De radical shift left-aanpak markeert een significante verschuiving in de manier waarop organisaties denken over en omgaan met cybersecurity. Door beveiliging vanaf de beginfase van de softwareontwikkeling te integreren, kunnen bedrijven niet alleen de veiligheid van hun producten verbeteren en risico’s te verminderen, maar ook de efficiëntie en effectiviteit van hun ontwikkelingsprocessen. Het is een aanpak die vraagt om een grondige heroverweging van bestaande processen en een diepgaande technische inzet, maar de voordelen voor zowel beveiliging als bedrijfsvoering zijn aanzienlijk.
Radical shift left & AI
Wanneer er steeds meer aanvallen worden uitgevoerd door AI, is de verwachting dat monitoring en response complexer zullen worden. Aanvallers kunnen AI gebruiken om hun aanvallen te automatiseren, te verfijnen en zich aan te passen aan beveiligingsmaatregelen. Met de radical shift left-aanpak zit je dicht(er) op de bal door een vroege en voortdurende focus op beveiligingsaspecten tijdens het ontwikkelingsproces. Het implementeren van beveiligings- en penetratietests als integraal onderdeel van het ontwikkelingsproces helpt bij het identificeren van mogelijke zwakheden in de beveiliging van AI-systemen.
Zo bieden ze bij Securify agile code reviews aan waarbij na elke sprint de code wordt gereviewd op onvolkomenheden. Op die manier worden risico’s verminderd. “Dit gebeurt met behulp van algoritmen die helpen te bepalen waar focus nodig is. Op basis daarvan wordt het risico, de workload en de gevoeligheid van de code bepaald. Hiermee stel je de klant in staat om de softwareontwikkeling door te laten lopen en daarnaast direct kleine veranderingen te laten reviewen”, vertelt Erik de Jong, Strategy Director van Securify.
Kortom, door juist proactief, bij het ontwikkelen van applicaties en systemen, rekening te houden met geavanceerde aanvallen is het mogelijk risico’s te mitigeren. Nu en in de toekomst.
Verder lezen?
Lees de verhalen van 20 koplopers uit het securitydomein in één boek. Ze schijnen hun licht op innovatie in de sector en vertellen hoe ze zélf innoveren voor een veiligere samenleving. Je bestelt ‘m hier.