Groeiende digitale beveiliging in Devops teams bij Rabobank

De Retail NL Tech Divisie van Rabobank levert en beheert applicaties waarmee klanten hun bankzaken digitaal kunnen regelen. In deze divisie werken tientallen Devops teams ieder uur van de dag aan het ontwikkelen en onderhouden van honderden diensten en applicaties. Rabobank heeft beveiliging hoog in het vaandel staan en neemt dit erg serieus. Bij één van de initiatieven die dit onderschrijft, kwam Booleans in beeld.

Over Rabobank

Rabobank is een coöperatieve bank met een missie. Samen met hun stakeholders zetten ze zich al 125 jaar in voor een toekomstbestendige samenleving en grote maatschappelijke uitdagingen. Inmiddels zijn ze met ruim 43.000 medewerkers actief in 37 landen. In Nederland bedienen ze particuliere en zakelijke klanten met een breed assortiment aan financiële producten en diensten. Wereldwijd focussen ze zich op ondernemers en ondernemingen in de food- en agrisector.

Beveiliging in de gehele levenscyclus van softwareontwikkeling

Bij Rabobank wordt er van Devops teams verwacht dat zij zo autonoom mogelijk werken en de meeste verantwoordelijkheid dragen voor het leveren van functioneel correcte, stabiele, snelle en veilige applicaties. Als het op beveiliging aankomt staan ze er niet alleen voor. Voordat nieuwe features het daglicht zien, worden deze bijvoorbeeld intensief getest door Security Specialisten binnen Rabobank.

Daarnaast streeft Rabobank ernaar om beveiliging te integreren in de gehele levenscyclus van softwareontwikkeling. Om dit voor elkaar te krijgen is een hoge mate van beveiligingsbewustzijn en draagvlak binnen Devops teams cruciaal.

Creëren van beveiligingsbewustzijn en draagvlak

In 2021 heeft Rabobank een nieuw team van specialisten samengebracht om het security bewustzijn binnen de Devops teams naar een hoger niveau te tillen. Ook een Senior Digital Security Specialist van Booleans sloot zich met zijn expertise aan bij dit team.

Het team begon met het ontwerpen van een Security Maturity Model, losjes gebaseerd op het DSOMM- model van OWASP, maar volledig op maat gemaakt voor gebruik door Rabobank. Dit model wordt gebruikt bij Devops teams om hun eigen security volwassenheid te beoordelen en verdere groei te plannen. Ook leverde het inzichten voor het team over waar ze andere teams konden ondersteunen, bijvoorbeeld in verschillende middelen voor security scans.

Intern zijn een aantal specifieke trainingen ontwikkeld om de kennis onder Engineers te vergroten op het gebied van als API security, threat modelling, hands-on hacking en nog veel meer. Dit heeft geleid tot een veel hoger bewustzijn van de best mogelijke beveiliging, wat engineers helpt om beveiligingsproblemen beter te begrijpen, door deze te adresseren in reviews met hun managers en door meer proactief beveiligingsmaatregelen te implementeren. Deze trainingen werden populair door de interactiviteit, de manier waarop er onderwezen werd en de focus op zowel offensieve als defensieve beveiliging.

Het team heeft ook alle middelen geoptimaliseerd die werden gebruikt om kwetsbaarheden te detecteren in software. Eventuele tekortkomingen of inefficiënties werden geadresseerd door deze te repareren, aan te vullen of zelfs door het vervangen van beveiligingsmiddelen.

Door de praktische aanpak en de hoge zichtbaarheid van dit nieuwe security team, wisten de engineers al snel dat dit de aangewezen plek was wanneer ze te maken hadden met nieuwe kwetsbaarheden (zoals Log4Shell), wanneer ze ondersteuning nodig hadden met hun applicatie ontwerpen of wanneer ze een extra paar ogen nodig hadden bij het implementeren van maatregelen of bij het oplossen van kwetsbaarheden.

Het opzetten van het nieuwe security team was eerst een pilot van Rabobank. Vandaag de dag is de aanwezigheid van het team gewoon een gegeven en een bewezen concept.

Door beveiliging verder binnen handbereik van de teams te brengen, wordt het leuker, interessanter om te omarmen en worden we effectiever in het leveren van veilige software!

Maarten Bovy
IT Lead Online bij Rabobank