Samenvatting
Gebruikte diensten:
Continuous Security Testing
Uitdaging: Met 800.000 gebruikers, meer dan 500.000 verstuurde berichten per maand en wekelijks nieuwe updates was er een behoefte om elke nieuwe release te pentesten binnen een beperkt budget.
Oplossing: Claranet implementeerde Continuous Security Testing, waarbij handmatige pentests, die doorlopend worden uitgevoerd door gekwalificeerde pentesters, worden gecombineerd met aanvullende geautomatiseerde securitytests.
Resultaat: Claranet's CST team wordt nu gezien als een verlengstuk van Yapster's cybersecurity medewerkers. De verkorte gemiddelde tijd tot detectie van maanden tot minuten stelde het ontwikkelaarsteam in staat om vaker release deadlines te halen. Aangezien kwetsbaarheden in real-time worden gemeld, kunnen oplossingen op elk moment worden toegepast.
Yapster is een mobiel communicatieplatform voor organisaties met veel personeel binnen bijvoorbeeld retail en horeca, die moeilijk te bereiken zijn per e-mail of consumenten-applicaties. De hoeveelheid updates en continue verbeteringen van het platform en de applicatie zorgen ervoor dat er een enorme uitdaging ligt om cybercriminelen buiten te houden. Een uitdaging die Claranet graag aanging en waarbij Claranet erin slaagde om een stabiele en robuuste security op te bouwen.
Over Yapster
Yapster, gelanceerd in 2015, runt een mobiel communicatieplatform op AWS om moeilijk bereikbare collega’s op één lijn te krijgen en te inspireren. Met 800.000 gebruikers en meer dan 500.000 verstuurde berichten per maand maakt het platform het verschil voor aangesloten organisaties.
Uitdaging
Als innovatief bedrijf werden er wekelijks nieuwe functies geïntroduceerd omdat ze wilden concurreren met marktleiders. Het cybersecurityteam stelde hoge eisen en verplichtte een pentest voor elke release.
Als onderdeel van het scopingproces analyseerde Claranet de ontwikkel-pipeline van Yapster met inschatting van het aantal benodigde pentestdagen per jaar. De eerste projecties kwamen al snel uit op een investering die ruim buiten het budget viel. Yapster zag de noodzaak in van een nieuwe aanpak van securitytesten en vroeg Claranet te adviserenbij het opstellen van een plan dat waar voor de investering zou bieden zonder hun algehele beveiliging in gevaar te brengen.
Oplossing
Hoewel penetratietests een beproefde methode zijn om kwetsbaarheden in de externe systemen van een organisatie te ontdekken, zijn ze, hoe grondig een penetratietest ook is, beperkt tot een momentopname. Een systeem of platform dat vandaag als veilig wordt beschouwd, kan morgen kwetsbaar blijken voor een kritiek securityprobleem. De Continuous Security Testing dienst is ontworpen om naast een bestaand pentestprogramma ingezet te worden, zodat beveiligingskwetsbaarheden niet ongecontroleerd blijven in de tussenliggende periode.
Continuous Security Testing combineert handmatige pentests, die doorlopend worden uitgevoerd door gekwalificeerde pentesters, met aanvullende geautomatiseerde securitytests. Dit zorgt ervoor dat online middelen voortdurend worden beoordeeld op kwetsbaarheden en dat er waarschuwingen worden gegeven wanneer er problemen worden ontdekt. Veel organisaties scannen intern op kwetsbaarheden. Bij geautomatiseerde oplossingen zijn er echter twee belangrijke uitdagingen voor een succesvol scanprogramma: het interpreteren van de resultaten en het waarborgen van de kwaliteit van de scan.
Functies:
- Analyseer de, vooraf door Yapster opgegeven, scope om omissies en systeemwijzigingen in de loop van de tijd vast te stellen, zoals nieuwe systemen, diensten en applicaties die zijn toegevoegd.
- Test blootgestelde applicaties, infrastructuur en cloud-assets op bekende kwetsbaarheden, ontbrekende patches en verkeerde configuratie van de security.
- Duik in blootgestelde applicaties om kwetsbaarheden te bepalen die zijn geïntroduceerd door op maat gemaakte systemen zoals die welke vallen onder de OWASP-Top 10. Dit omvat veilige exploitatie van complexe problemen zoals SQL Injection en Cross-site Scripting om vals-positieve bevindingen te elimineren.
- Doorlopend rapporteren van bevindingen in kwetsbaarheidswaarschuwingen om een einde te maken aan de gebruikelijke vertraging die wordt veroorzaakt doordat kwetsbaarheden alleen via standaard pentests worden ontdekt.
- Ontdek kritieke kwetsbaarheden zo snel mogelijk.
- Houd de organisatie op de hoogte door middel van maandelijkse overzichten van nieuwe kwetsbaarheden én succesvol herstelwerk.
Specifieke AWS-diensten in de scope waren onder meer:
- EC2
- EBS
- S3
- ELB
- KMS
- VPC
- Redshift
- Route53
Resultaten
Niet alleen zag Yapster een zakelijk voordeel in het 24x7 testen en rapporteren door Claranet, hun beveiligingsaanpak kwam nooit in gevaar. Claranet's CST team wordt nu gezien als een verlengstuk van Yapster's cybersecurity medewerkers. De verkorte gemiddelde tijd tot detectie van maanden tot minuten stelde het ontwikkelaarsteam in staat om vaker release deadlines te halen. Aangezien kwetsbaarheden in real-time worden gemeld, kunnen oplossingen op elk moment worden toegepast.
De beheerde dienst Continuous Security Testing pakt deze uitdagingen aan door een team van pentesters in te zetten om het testproces te beheren en kwetsbaarheden te analyseren zodra ze worden gevonden. Het team biedt beknopte en gedetailleerde waarschuwingen over kwetsbaarheden en brengt regelmatig verslag uit over de beveiligingsstatus. Continuous Security Testing zal ook waarschuwen wanneer er veranderingen in de IT-omgeving worden gedetecteerd om een maximale dekking van het aanvalsoppervlak te garanderen.