NS is een organisatie die verregaand is gedigitaliseerd. Om de reiziger optimaal te kunnen bedienen wordt wendbaarheid van de IT-organisatie steeds belangrijker. Tegelijk nemen de bedreigingen op gebied van cyber security toe. Het antwoord vanuit NS op deze conflicterende ontwikkelingen is om de IT-specialisten van NS concrete vaardigheden op het gebied van security-testen bij te brengen zodat de securityrisico’s al in de bouwfase afgedekt worden. NS laat hen daarom trainen door Computest.
Gespecialiseerde kennis
De manier om dit te realiseren, is door meer en vaker gericht op security te testen. Behalve dat dit op een directe manier bijdraagt aan de betrouwbaarheid, past het ook in het streven van NS om wendbaarder te worden als organisatie. Wierbos: “Pentesten worden aan het einde van het ontwikkeltraject uitgevoerd en dit kan potentieel voor vertraging zorgen voor de inproductiename. Als je eens per twee weken naar productie wilt, is het noodzakelijk dat je ook vroeg in het ontwikkelproces al op veiligheid test. Zo kun je sneller eventuele kwetsbaarheden vinden en oplossen. De keuze om vroeg in het proces gericht op security te gaan testen, had voor ons dus te maken met betrouwbaarheid en met wendbaarheid.”
Om zelf de regie te kunnen voeren, wil NS de gerichte en technisch inhoudelijke security-testen door haar eigen mensen laten doen. De IT-specialisten van NS moesten daarom worden opgeleid in security-testen. In de markt bleek er geen standaard training of opleiding beschikbaar die helemaal aansloot bij de behoefte van NS. Daarop besloot het Test Competence Center van NS in samenspraak met de Information Risk Management-afdeling een openbare aanbesteding uit te schrijven.
Hackers mindset
NS selecteerde uiteindelijk twee partijen; Sogeti en Computest. Eerstgenoemde om de functioneel georiënteerde IT-medewerkers te trainen. En Computest, specialist in security testing, performance testing en testautomatisering, om de technische georiënteerde IT-medewerkers binnen NS op te leiden.
Wierbos legt uit waarom NS voor Computest koos: “Computest is in de eerste plaats geen opleider, maar een security-testorganisatie. Ze zijn een echte specialist, met veel praktijkervaring en kennis over de technische aspecten en tooling. Daar komt bij dat we vanaf het eerste moment geraakt werden door het verhaal van Daan Keuper, senior security consultant bij Computest. Daan neemt je helemaal mee in de hackers mindset, met heel veel enthousiasme en gave praktijkvoorbeelden.”
Het maakt de driedaagse training Security Testing van Computest bij uitstek geschikt voor technische IT-specialisten. Dus niet alleen voor testers, maar ook voor ontwikkelaars, architecten en applicatiebeheerders. Iets wat een fijne bijkomstigheid was volgens Wierbos: “NS streeft ernaar om de verschillende disciplines uit de organisatie zoveel mogelijk samen te laten werken. Onze development-afdeling was bezig met secure development en ook geïnteresseerd in de hackers mindset. Als de verschillende technische disciplines in zo’n training dan letterlijk samenkomen en alle deelnemers zonder uitzondering enthousiast zijn, is dat een extra toegevoegde waarde voor de organisatie.”
Hands-on
Computest ontwikkelde de training in nauwe samenspraak met het Test Competence Center van NS. “Op die manier hebben we de training echt smart kunnen maken”, aldus Wierbos. De training biedt een afgewogen mix van theorie en praktijk. In het theoretisch kader komen zaken aan bod als soorten bedreigingen en risico’s, de middelen die beschikbaar zijn om deze bedreigingen het hoofd te bieden, de rol van security testing in het complete aanbod van middelen en binnen het proces van softwareontwikkeling en de verschillende vormen van security testing.
"De trainingen van Computest raken de deelnemers in het hart door de manier waarop ze meegenomen worden in de hackers mindset. Tegelijk zijn ze heel hands-on, waardoor de deelnemers direct zelf aan de slag kunnen."
- Onno Wierbos, Manager non-functional testing bij NS
De theorie vormt de basis van waaruit de deelnemers vervolgens zelf aan de slag gaan. Ze worden geacht in de huid van de hacker te kruipen en leren met behulp van tooling kwetsbaarheden in infrastructuur, web- en mobiele applicaties, en API-endpoints te vinden en te voorkomen. Tijdens de training gaan de deelnemers actief bezig met onder meer poort- en protocolscanning, het zoeken naar configuratieproblemen en verborgen diensten in een infrastructuur, het testen of gevoelige gegevens voldoende worden beschermd wanneer deze worden verstuurd tussen de client en de server, en het testen van de authenticatielaag en authorisatiecontroles. Na afloop van deze training kunnen deelnemers niet alleen securityrisico’s beoordelen, maar ook op een groot aantal onderdelen technisch inhoudelijke securitytesten uitvoeren.
Praktisch toepasbaar
De deelnemers waardeerden de training gemiddeld met een 8,8. Ze waren vooral te spreken over de hackers mindset, de technische diepgang en de hands-on benadering.
Een van de deelnemers verwoordt dit als volgt: “De challenges waar we zelf mee aan de gang moesten, waren niet alleen heel leuk om te doen, maar ook heel leerzaam. Door te denken als een hacker, ben ik me nu meer bewust van de mogelijke risico’s. En ik heb nieuwe vaardigheden opgedaan, waarmee ik in staat ben zelfstandig security-testen uit te voeren, handmatig of met behulp van tooling.”
Volgens Wierbos maken deze elementen de training van Computest bij uitstek ook geschikt voor andere organisaties. “Ik ben dan ook verheugd dat ze de training Security Testing breed in de markt gaat zetten, in de vorm van incompany en open inschrijvingen. In ieder geval heeft de training van Computest eraan bijgedragen dat de betrouwbaarheid én de wendbaarheid van de NS-organisatie nog verder zijn toegenomen.”
Meer informatie en inschrijven voor de training Introduction into Security Testing kun je hier vinden.