ITchannelPRO spreekt met Field CISO Wade Lance van Synack, een bedrijf dat is gespecialiseerd in continuous security testing. Hij legt uit wat dit begrip inhoudt en vertelt voor welke bedrijven deze manier van werken interessant is.
Synack richt zich niet op één bepaalde sector of specifieke bedrijven. “Dat heeft voor ons geen zin, want voor ons is het enige criterium of een bedrijf zwaar leunt op zijn IT”, zegt Wade. “Dat is tegenwoordig bijna overal het geval en daarom zijn wij in theorie interessant voor bedrijven vanaf twee medewerkers. Maar eerlijk is eerlijk, we bedienen vooral en vaker klanten met veel werkplekken en een omvangrijke IT-omgeving.”
Continu in plaats van periodiek
Synack biedt testing van applicaties en netwerken. Er zijn tientallen bedrijven in de Benelux met een soortgelijk aanbod. Synack onderscheidt zich volgens Wade door het aanbieden van continuous security testing. “De snelheid waarmee applicaties worden gewijzigd en kwetsbaarheden opduiken, is veel te hoog om te kunnen vertrouwen op een manier van testen die tien jaar oud is. Toen kon nog worden volstaan met een periodieke test. Nu moet dat continu gebeuren.”
Internationale focus
Om continuous security testing te kunnen aanbieden, heeft Synack een team van 1.500 testers uit meer dan 90 landen om zich heen verzameld. Die internationale focus heeft volgens Wade twee redenen. “Om te beginnen heb je erg veel mensen nodig om grondig en continu te testen. Daardoor kijk je al snel buiten de landsgrenzen naar geschikt personeel. De andere reden is dat aanvallers, de bad guys, uit meerdere landen komen. Per land of regio zie je verschillen in de aanvallen. Dat kun je het beste identificeren en pareren als je teams een goede afspiegeling zijn van alle landen waar ook de aanvallers vandaan komen.”
Lat ligt hoog
Voor deelname aan de onderzoeksteams van Synack ligt de lat hoog. In tegenstelling tot andere securitybedrijven is de doorlooptijd ook behoorlijk lang. “Het duurt tot wel zes maanden voor we iemand volledig hebben getest op vaardigheden en de achtergronden hebben gecontroleerd. Het aantal afwijzingen is bij ons ook veel hoger dan elders, maar dat leidt er wel toe dat we ons positief onderscheiden door de kwaliteit die wij leveren”, verzekert Wade.
Wat is continuous security testing?
Maar wat is dat continuous security testing van Synack precies? De onderzoekers van Synack krijgen een periode om fouten te vinden in de applicatie of het netwerk van een klant. Dit is dus totaal anders dan een standaard OWASP-lijst afvinken of een pentest doorvoeren. De onderzoekers van Synack zoeken gericht naar bekende en nog onbekende kwetsbaarheden en afhankelijkheden.
Alle bevindingen worden via het eigen Synack-platform met de klant gedeeld. “Dit doen we snel en op een overzichtelijke wijze, en dat geeft de developers van de klant de gelegenheid het probleem te fixen. Zodra ze dat hebben gedaan, gaan onze teams direct controleren of het ook daadwerkelijk is gefixt. Vervolgens spitten ze verder, op zoek naar andere kwetsbaarheden en ook gericht naar kwetsbaarheden die zijn ontstaan omdat er iets anders is gefixt.”
Fixed fee
Synack werkt op basis van een fixed fee abonnement. Wade: “Iedereen kan via zijn website een bug bounty-programma en meldpunt voor het doorgeven van fouten communiceren. Daardoor wordt een onvoorstelbare hoeveelheid informatie en vooral ruis op organisaties losgelaten. Dat is niet te managen en de kosten kunnen compleet uit de hand lopen. Bedrijven zien de noodzaak van foutdetectie, maar een open-end regeling is te riskant. Synack biedt dubbele zekerheid: we vinden de kwetsbaarheden tegen voorspelbare kosten.”
Wereldwijd maken meer dan 400 bedrijven en overheidsinstellingen gebruik van de diensten van Synack. Ook in Nederland en België zijn er tientallen klanten. Wie dat zijn, houdt Wade voor zich. “Waar we wel over kunnen vertellen, is de centrale rol van ons platform. De onderzoekers werken met dat platform en ook de klanten hebben toegang. De voordelen daarvan kunnen mijn collega’s in Nederland uitstekend uitleggen. Laat me volstaan met de opmerking dat elke CISO of CTO altijd zeer onder de indruk is van de hoeveelheid nuttige en overzichtelijke informatie op ons platform. Het is voor hen een onmisbare tool. De snelheid waarmee we dit voorjaar de Log4J-problemen in kaart hebben gebracht, heeft evenzoveel indruk gemaakt. Al onze klanten wisten binnen 72 uur wat ze moesten doen. En dat was allemaal goed gedocumenteerd en werd via het platform beschikbaar gesteld.”
Meer weten over continuous security testing van Synack? Neem dan contact op met Partner Manager Rob Rentenaar via 06 519 871 54 of mail naar rrentenaar@synack.com.
(dit artikel verscheen eerder in ITchannelPRO magazine 01-2023)
