Erwin Geirnaert, zaakvoerder van Shift Left Security

Cloud security architect Shift Left Security sloot destijds een exclusief partnership voor België met de start-up Orca Security, die in oktober van dit jaar nog ruim 500 miljoen dollar kapitaal ophaalde. Dat partnership was een straffe prestatie van zaakvoerder Erwin Geirnaert, maar vooral een broodnodige stap richting meer bewustwording bij ondernemers: software security mag geen kwestie zijn van eenmalige opname, maar vereist een continue en constante controle en monitoring.

Shift Left Security, opgericht in 2019 door Erwin Geirnaert en Jessica Nieuwdorp na de verkoop van hun vorig security bedrijf ZIONSECURITY aan Orange, focust op alles wat met software security te maken heeft bij start-ups en scale-ups. “De meeste van die bedrijven zijn namelijk cloud native en hebben dus een softwareapplicatie ontwikkeld die op een cloudomgeving als Microsoft Azure, Google Cloud of Amazon Web Services draait”, vertelt zaakvoerder Erwin Geirnaert, die twintig jaar ervaring heeft in web security. “Softwarebedrijven willen dat hun applicatie beveiligd wordt tegen cyberaanvallen en hacks – en die vinden door het succes van cryptomunten en geanonimiseerde geldstromen meer dan ooit plaats. Maar eigenlijk moet niet alleen de applicatie, maar ook de cloud errond helemaal beveiligd worden. Alleen beseffen de ontwikkelaars dat vaak niet.”

One time foto-opname

“Vanuit die insteek hebben we Shift Left Security gelanceerd: we willen de security-kwetsbaarheden van cloudplatformen in kaart brengen en bij klanten de nodige beveiligingstools integreren die non-stop de veiligheid van hun softwaretoepassingen checken en monitoren. Het voordeel van de cloud is namelijk dat je gemakkelijk kan schalen en automatiseren. Op die manier krijgt de klant een ononderbroken beeld van mogelijke issues. Dat moet ook, want eenmalige penetration tests garanderen al lang geen software security meer. Dit zijn eenvoudigweg one time foto-opnames, terwijl de cloudomgeving van start-ups en scale-ups dynamisch is, niet statisch en voortdurend uitgebreid wordt met API’s, nieuwe klanten, enzovoort.

Een externe partner kan een grote meerwaarde bieden. Want het is niet omdat je een IT’er in jouw bedrijf hebt, dat die automatisch alles van cyber security weet

“Het idee leeft echter nog bij veel start-ups en scale-ups dat een eenmalige check-up afdoende is om hacks van hun applicatie te voorkomen. Die is sowieso verplicht door de Nationale Bank, maar daar blijft het ook bij, omdat security niet tot hun topprioriteit behoort. Dat heeft vreemd genoeg ook met een zekere security-moeheid te maken: je leest wel elke dag iets over een breach of hack, dus redeneren bedrijven dat ze ooit zelf onvermijdelijk slachtoffer zullen worden en dat ze dus beter gewoon een verzekering nemen in plaats van afdoende beveiligingsmaatregelen te treffen. Bedrijven die er wél mee bezig zijn, stellen dan weer vast dat security vaak zo complex geworden is dat er voor elke cloudomgeving – Microsoft Azure, Amazon Web Services – een andere software engineer nodig is. Met als gevolg dat niemand ownership wil nemen. Een externe partner kan daarom een grote meerwaarde bieden. Want het is niet omdat je een IT’er in jouw bedrijf hebt, dat die automatisch alles van cyber security weet. Daar is expertise voor nodig die tegenwoordig zo snel evolueert dat een bedrijf zich beter beroept op externe bedrijven die high-level security oplossingen aanbieden.

Recurrente phishing-campagnes

“Voor alle duidelijkheid: wij lossen de veiligheidsproblemen van de klant niet zelf op, we helpen hem, als partner, met kennis van zaken om die problemen efficiënt te detecteren, zodat de klant ermee aan de slag kan gaan en zelf bepaalt wat de hoogste prioriteit heeft. Uiteraard kunnen wij aangeven dat een bepaalde kwetsbaarheid kan worden aangepakt door bijvoorbeeld een systeem dat niet meer operationeel is gewoon uit te schakelen. Click. Enable. Stop. Zo eenvoudig is het vaak. Maar we gaan niet inloggen op de omgeving van de klant en alles voor hem oplossen – het operationele blijft zijn eigen verantwoordelijkheid. Wij adviseren hoe dat operationele op veiligheidsniveau best aangepakt wordt met onze oplossingen en best practices. En we helpen klanten ook om recurrente phishing-campagnes op te stellen en alertheid te genereren bij elk bedrijf dat ook maar iets met cybersecurity te maken heeft. In hun eigen voordeel, want steeds meer venture capitalists stellen daar in het kader van een due diligence vragen over aan de start-ups waarin ze mogelijk gaan investeren.

Bressen dicht timmeren

“Wat we de klant ook duidelijk willen maken, is dat security niet iets is dat op het einde, maar aan het begin van het ontwikkelingsproces komt. Vandaar onze bedrijfsnaam Shift Left Security. Bedrijven willen tegenwoordig wel een dure security-verzekering afsluiten terwijl ze de problemen ook kunnen voorkomen door een prioriteit te maken van security en hier volop op in te zetten. Preventief handelen is nog niet ingebed als het gaat om cybersecurity, en dat is een jammere zaak. Nu is het soms dweilen met de kraan open of alleen maar kunnen reageren wanneer een hack is gebeurd die vermeden had kunnen worden.

Wil je waarde creëren binnen jouw bedrijf en groeien, dan moet de security vanaf de start op punt staan. Je kan enorm veel problemen vermijden als je ervoor kiest om de meest optimale veiligheid meteen in jouw applicatie of cloudomgeving in te bouwen. Daarom zijn er nu al start-ups die bij ons komen aankloppen omdat ze iets gaan bouwen en ze nog niet eens begonnen zijn met de architectuur uit te tekenen. Dan kunnen wij hen adviseren waar het noodzakelijk is om een extra beveiligingslaag aan te brengen, of mogelijke risico's aanwezig kunnen zijn, omdat er nog lacunes zijn in hun architectuur. Hierdoor zal de vereiste penetration test op het einde van het bouwproces letterlijk geen enkel risico aangeven. Nogmaals, die test mag niet eenmalig zijn, want zo'n omgeving is dynamisch en onderhevig aan continue verandering, maar zo heb je wel al een stevige basis, een fundament voor jouw cloud-huis.”

Ik daag je uit om, de mission statements en strategieën van de databedrijven van Bloovi-lezers door te nemen: in hoeveel daarvan zal iets over cybersecurity staan?

“Door op die manier met onze klant te werken, kunnen we een partnership uitbouwen, waarbij wij Managed Security Service aanbieden in een abonnementsformule, die uniek is in België. Volledig op maat van de klant zelf: wil die alleen maar een eenmalige penetration test en het bijhorende rapport? Dan doen wij dat uiteraard ook. Maar wij verkiezen non-stop veiligheid monitoring, zodat die een business enabler wordt, in plaats van een issue waardoor je alleen maar geld verliest doordat de problemen en uitdagingen zich cumuleren. Nog te veel bedrijven hechten niet voldoende aandacht aan hun bedrijfssecurity. Ik daag je uit om, bij wijze van spreken, de mission statements en strategieën van de databedrijven van Bloovi-lezers door te nemen: in hoeveel daarvan zal iets over cybersecurity staan? Verrassend weinig, denk ik.”

Inventaris van alles in de cloud

Orca Security ontwikkelde een oplossing die het securityniveau van cloudplatformen als Microsoft Azure, Google Cloud en Amazon Web Services in kaart brengt. De start-up haalde recentelijk nog meer dan 500 miljoen dollar kapitaal op om die technologie verder uit te werken. “De sterkte van Orca Security is dat hun oplossing connecteert met de API van de cloud provider”, legt Erwin Geirnaert uit. “Daarmee bedoel ik dat de klant zelf niets moet installeren, maar dat er automatisch een inventaris wordt gemaakt van alles wat op die cloud draait: virtuele machines, containers, rechten, policies …”

Vervolgens wordt daarin naar kwetsbaarheden gezocht, bijvoorbeeld mailadressen van klanten die niet geëncrypteerd zijn. Dat wordt allemaal in kaart gebracht, zodat er alerts op kunnen geconfigureerd worden. Door de integratie met mail, Slack, Teams, sms … kan bovendien de juiste persoon of het team meteen op de hoogte gebracht worden van zo’n kwetsbaarheid. Daarmee vermijden we dat iemand de hele dag op een dashboard moet kijken tot een groen lampje rood wordt. Zo heeft Orca Security bij de Log4Shell-aanvallen direct een alert aangemaakt voor de gebruikers als ze kwetsbaar waren en kon men ook een zoekopdracht doen in de cloud assets om te weten waar die Log4j2 allemaal werd gebruikt. Verschillende klanten werden geïmpacteerd en hebben onmiddellijk het probleem kunnen oplossen.“Bijkomende troef is dat Orca Security op basis van checklists compliance-rapporten voor de klant genereert: hoe staat het eigenlijk met de settings van het bedrijf?”

We hadden al een goede reputatie en de nodige connecties om Orca Security op de juiste manier op de markt te positioneren

Shift Left Security werkt nu al zo’n twee jaar samen met Orca Security en heeft vandaag vijf klanten in België die ermee werken. Het gaat om een exclusief partnership, dus de vraag is hoe Erwin Geirnaert en co. dat hebben bewerkstelligd. “We hadden al een goede reputatie en de nodige connecties om Orca Security op de juiste manier op de markt te positioneren”, legt hij uit. “Plus: in onze pricing hebben wij een model opgebouwd dat specifiek aan start-ups en scale-ups tegemoetkomt, terwijl Orca Security zich tot voor kort vooral op heel grote bedrijven richtte. Van hun kant was het heel interessant om in zee te gaan met een partner die op kleine en middelgrote organisaties focust: een win-winsituatie tussen Shift Left Security en Orca Security.”