Bij softwareontwikkeling zijn er risico's – meestal bugs of fouten in de codering – die kunnen leiden tot beveiligingslekken die bij een aanval kunnen worden misbruikt. Hoewel het in de branche zeldzaam is dat software volledig foutloos wordt uitgebracht, moeten bugs en andere onjuiste implementaties die veiligheidsrisico's opleveren, worden opgespoord en verholpen. Als het beveiligingswerk echter beperkt blijft tot het oplossen van problemen die pas na het testen van volledig ontwikkelde software worden ontdekt, zijn dergelijke oplossingen – hoewel belangrijk – wellicht slechts cosmetisch, omdat ze de onderliggende problemen mogelijk niet adequaat aanpakken.
Bij Axis zijn we van mening dat beveiligingsoverwegingen vanaf het begin en gedurende het hele ontwikkelingsproces moeten worden meegenomen – niet alleen aan het einde. Dit komt omdat er in verschillende fasen van de softwareontwikkeling meerdere beslissingen worden genomen, van het vaststellen van de applicatie-eisen en de ontwerp- en implementatiefasen tot de verificatie en implementatie. In elke fase nemen ontwikkelaars, architecten en producteigenaren beslissingen die moeilijk te wijzigen zijn als de software eenmaal volledig is gebouwd.
Axis Security Development Model
Om cyberbeveiliging effectief aan te pakken en ervoor te zorgen dat deze wordt geïntegreerd in de levenscyclus van softwareontwikkeling, heeft Axis een methodologie geïmplementeerd die het Axis Security Development Model (ASDM) wordt genoemd. Deze methodologie beschrijft de verschillende beveiligingsactiviteiten waarmee rekening moet worden gehouden tijdens de verschillende fasen van softwareontwikkeling. Het doel is om kwetsbaarheden – en ontwikkelingskosten – te verminderen door een basisnorm voor cyberbeveiliging vast te stellen en richtlijnen te geven. Dit maakt het voor ontwikkelingsteams gemakkelijker om te weten wat er van hen verwacht wordt en om beslissingen op het gebied van beveiliging te communiceren.
De ASDM-toolbox schrijft een reeks activiteiten voor, risicobeoordeling, dreigingsmodellering, dreigingsmodeltesten, statische codeanalyse, kwetsbaarheidsscans en leveranciersbeoordeling, waarmee verschillende beveiligingsproblemen kunnen worden aangepakt. Ontwikkelingsteams kunnen al dan niet bepaalde activiteiten uitvoeren, afhankelijk van het soort software dat wordt ontwikkeld. ASDM biedt een risicogebaseerde aanpak en is ideaal omdat het ervoor zorgt dat beveiligingsgerelateerde activiteiten worden uitgevoerd wanneer dat het belangrijkst is. Het doel is om cyberbeveiliging te realiseren in plaats van de naleving van een proces.
Alle ASDM-werkzaamheden beginnen met een beoordeling of een nieuwe functie of toepassing een beveiligingsrisico vormt. In de meeste gevallen wordt een risicobeoordeling gevolgd door onder andere dreigingsmodellering en het testen van dreigingsmodellen. Het systeem, de gebruiksscenario's, dreigingen en tegenmaatregelen worden bepaald. De code wordt beoordeeld en geanalyseerd, en er wordt een verificatie uitgevoerd.
Penetration tests (gesimuleerde cyberaanvallen) op verschillende Axis-software worden jaarlijks uitgevoerd door gespecialiseerde externe bedrijven. De tests, die worden geïnitieerd door Axis en onze partners, bieden een onafhankelijke beoordeling van onze software en dragen bij aan de inspanningen van het bedrijf op het gebied van softwarebeveiliging. De testresultaten worden door de Axis Software Security Group gebruikt om het werk dat via ASDM is verricht te evalueren en om te beoordelen of ASDM verbeterd moet worden. Hetzelfde geldt voor bevindingen van nieuw ontdekte kwetsbaarheden die door externe beveiligingsonderzoekers aan het Axis Product Security Team worden gemeld. De bevindingen van zowel externe beveiligingsonderzoekers als penetratietests door externe bedrijven helpen ons om onze producten en werkwijze te verbeteren. Het is belangrijk op te merken dat het Axis Security Development Model een continu proces is.
Een belangrijk onderdeel van het Axis Security Development Model is de teamgerichte aanpak. Het ontwikkelingsteam dat de software maakt, is ook verantwoordelijk voor de beveiliging van de software. Meer dan 1500 ontwikkelaars bij Axis passen ASDM toe in hun dagelijkse werk. Ze worden ondersteund door beveiligingscoaches in de Software Security Group (SSG) en door meer dan 70 ontwikkelaars die ook wel SSG-satellieten worden genoemd. De SSG is verantwoordelijk voor het verzorgen van trainingen en het leveren van de beveiligingstoolbox, evenals voor het opvolgen van de verschillende teams en het doorvoeren van verbeteringen aan ASDM wanneer dat nodig is. De SSG-satellieten helpen ondertussen bij het afstemmen van ASDM op de behoeften van elk team, aangezien er veel verschillende technologiestacks en manieren van werken zijn. Managers en directeuren van de softwareteams zijn vervolgens verantwoordelijk voor het opvolgen van het ASDM-werk van de teams en voor de beveiliging van de software.
De oprichting van ASDM
ASDM werd opgericht in 2015 en werd in 2017 verplicht voor de softwareontwikkelingsteams van Axis. Vóór de introductie ervan volgden de ontwikkelingsteams van Axis verschillende best practices voor softwareontwikkeling, geïnspireerd door de gemeenschappelijke cultuur van Axis die eigenaarschap, technische trots, transparantie en peer review aanmoedigt. Hoewel de teams hoogwaardige code produceerden, had Axis geen gemeenschappelijke manier om de voorkeursmethode voor het integreren van beveiligingsoverwegingen in het ontwikkelingsproces te definiëren. Het toenemende belang van cyberbeveiliging en de zich ontwikkelende best practices maakten ook verbeterde werkwijzen noodzakelijk.
Om een gemeenschappelijke en werkbare aanpak te vinden, heeft Axis bestaande cyberbeveiligingsnormen en -kaders – zoals ISO 27001, IEC 62443, NIST, BSIMM en CMMC – die direct of indirect betrekking hebben op beveiliging in de ontwikkeling, geëvalueerd. De rode draad in deze normen en kaders is dat beveiliging in verschillende fasen van de ontwikkeling moet worden geïntegreerd.
ASDM is echter geen eenvoudige implementatie van een bestaande standaard of raamwerk. Het maakt gebruik van veel voordelen van verschillende standaarden en raamwerken en is afgestemd op de bedrijfscultuur en ontwikkelingspraktijken van Axis. Dankzij dit op maat gemaakte model is het geschikt voor verschillende soorten software. En in een omgeving waarin cyberdreigingen en tegenmaatregelen voortdurend in ontwikkeling zijn, kan het ook worden aangepast aan nieuwe best practices.
