Agile Security

Miles hjelper deg å oppnå sikkerhet og smidighet samtidig ved å integrere sikkerhetsaktiviteter i ditt firmas valgte utviklingsmetodikk. Sikkerhet blir ikke en ettertanke, men er heller med på verdiskapning.

Sikkerhet kan ofte ses på som i konflikt med andre prioriteter som for eksempel “time to market”, og i verste fall kommer sikkerhet i andre rekke. I smidige organisasjoner kan det oppstå utfordringer med å adressere sikkerhet som del av produktutvikling; med tradisjonelle kontroll-baserte prosesser som er inkompatible med smidig, og krav som kommer i feil format til feil tid.

Det kan være lett for en bedrift å tenke at de enten kan levere ny funksjonalitet, eller bruke tid og ressurser for å forsikre seg at løsningen er sikker. Historisk har mange fokusert på sikkerhetsproblemer sent i prosessen istedenfor å hjelpe å forebygge tidlig. Dermed blir sikkerhet sett på som et hinder, ikke som en del av løsningen.

Sikkerhet er ikke en feature, men kvalitet og konkurransekraft

Setter man sikkerhet i andre rekke, vil det innebære ekstra kostnader: når svakheter blir identifisert må løsningen endres for å redusere risiko for angrep. Men sikkerhet kan også være et konkurransefortrinn, og da trengs ofte en kulturendring. Smidig sikkerhet muliggjør at man proaktivt diskuterer sikkerhet når man definerer konsept og krav, istedenfor å se etter problemer i etterkant når løsningene er på vei ut til brukeren. Med fokus på sikkerhet som del av arkitektur og implementasjon kan bedrifter spare tid og ressurser som ellers blir brukt på å identifisere og adressere svakheter senere.

I Miles hjelper vi kunder å oppnå sikre løsninger som del av smidig produktutvikling. Med fokus på proaktive tjenester rundt coaching, kultur, sikkerhetsarkitektur, sikker programmering og DevSecOps kan Miles hjelpe firmaet ditt utvikle løsninger som har rik funksjonalitet, skaper verdi for kunder, og har gode sikkerhetsegenskaper.

Våre konsulenter har erfaring i å utvikle og adressere sikkerhetskrav, definere sikkerhetsarkitektur, implementere løsninger hvor sikkerhet har vært en kritisk egenskap og validere at krav er oppfylt som del av en Secure Development Lifecycle (SDL). Dette inkluderer strengt regulerte bransjer som f.eks. finans, telekommunikasjon og energi, samt offentlig sektor.

Våre sikkerhetstjenester

Security Champions / Coaching

Alle som deltar i utvikling burde være obs på sikkerhet, men en kan ikke forvente at alle er eksperter!

Våre arkitekter, utviklere og testere kan bidra med spisskompetanse og fungere som “security champions” på teams. Våre konsulenter er produktive medlemmer av gruppen som bidrar direkte til utviklingen av løsningen i tillegg til å fungere som interne rådgivere og sparringspartnere.

Sikkerhetskultur

Å oppnå smidig sikkerhet krever ofte en endring i tankegang, både for produktteam og for sikkerhetsteam, og det er en iterativ og kontinuerlig reise. I tillegg kommer tilpasning av prosesser og organisasjonsstruktur med mere. Miles har lang erfaring i endringsledelse og forretningsrådgivning som kan benyttes for en slik transformasjon.

Du kan lese mer om våre forretningsrådgivning under Om Oss.

Trusselmodellering

Det kan ofte være vanskelig å vite hvor en skal begynne å håndtere sikkerhet som del av utvikling. Trusselmodellering kan være en god start for å finne potensielle arkitektoniske svakheter og manglende sikkerhetskrav, men også for å involvere hele teamet i å finne potensielle løsninger. Aktiviteten bidrar ikke bare til å bygge en sikrere løsning, men øker kunnskap hos hele teamet.

Trusselmodellering innebærer å se på en løsning fra et arkitektonisk høydepunkt og med et “hacker”-perspektiv. Aktivitetens mål er å svare på spørsmålene “hvordan kan noen angripe denne løsningen” og “hvordan kan vi designe løsningen slik at slike angrep er mindre mulig”.

Våre konsulenter kan lede trusselmodellering, enten som en teknisk sikkerhetsekspert, eller for å fasilitere diskusjon hos et team som allerede har erfaring med å tenke som angripere. Vi anbefaler å kjøre trusselmodellering på et iterativt vis, for å oppdage nye trusler og justere ettersom løsningen går gjennom funksjonelle iterasjoner.

Automatisering for DevSecOps

DevOps teams tar hyppig bruk av automatisering for alle steg i utvikling og testing, og det samme bør gjelde for sikkerhetsaktiviteter. Manuelle prosesser som står utenfor den ordinære flyten blir fort satt til side for å unngå friksjon.

Våre konsulenter hjelper med å identifisere behov for automatisering av sikkerhetsaktiviterer, rådgive om aktuelle verktøy (SCA, SAST, DAST, osv.), og assistere med integrasjonen av aktuelle verktøy og annet som del av kontinuerlig leveranse (CI/CD).

Fokuset ligger rundt kultur og hvordan å best bruke automatisering for å oppnå smidig sikkerhet og bli kvitt friksjon. Det er viktig å gjenkjenne at automatisering alene kan ikke skape et fullstendig DevSecOps miljø, men er en viktig komponent i kulturendring.

Workshops og kurs

Miles kan tilby trening og workshops rundt en rekke emner innenfor applikasjonssikkerhet, blant annet:

  • Smidig sikkerhet
  • Trusselmodellering
  • DevSecOps
  • Sikker programmering