Klantcase: Aareon
- Blog
Hoe overtuig je jouw eindklanten van de veiligheid van de ERP-systemen die ze dagelijks gebruiken? En hoe zeker ben je van jouw eigen kwetsbaarhedenscans en pentests? Door een gestructureerd goed uitgewerkt DevSecOp proces in te richten, waarbij je regelmatig een externe partij uitnodigt om jouw digitale assets te testen. Daar vroegen we Michel Tentij, Manager DevOps bij Aareon, in een interview meer over.
Pionier voor digitaliseren van huisvesting
Aareon is de marktleider op het gebied van ERP-oplossingen voor voornamelijk vastgoedsector, maar ook zorginstellingen en gemeenten. De Aareon Groep heeft meer dan 8.000 klanten in Duitsland, Frankrijk, het Verenigd Koninkrijk, Nederland, Oostenrijk en Scandinavië, die in totaal ongeveer 14 miljoen eenheden beheren. Als pionier op het gebied van technologische oplossingen voor actuele zaken als huisvesting, bewandelt ze geen geijkte paden. Aareon verkent, ontwikkelt en handelt. Alles om de vastgoedmarkt te helpen op technologisch gebied.
We spraken met Michel Tentij, Manager DevOps bij Aareon. Hij beheert en ontwikkelt samen met zijn team developers de Aareon cloud applicaties voor de vastgoedsector. Een belangrijk onderdeel daarbij is natuurlijk cyber security.
Om die reden kent hij ook een interne voortrekkersrol in het testen van de veiligheid van de producten van Aareon. Een belangrijk onderdeel hiervan is pentesten. Dit doet Aareon zowel intern als extern. Vooral dat laatste is belangrijk: "Het komt veel betrouwbaarder over als je een expert partij inhuurt om bepaalde zaken na te lopen. Een extra check door een partij die niets anders doet dan pentesten en kwetsbaarheden scans is zeer waardevol”.
Veel gevoelige persoonsinformatie
In de vastgoed- en woningcorporaties wordt er veel gewerkt met gevoelige persoonlijke informatie. “Lang werd deze, vaak semi-overheidsgebonden, branche relatief goed gespaard door cybercriminelen. Nu zien we dat deze organisaties steeds meer in het vizier komen van kwaadwillende hackers”, aldus Michel Tentij.
In tijden waarin het nieuws over datalekken je om de oren vliegt, regeert -misschien wel terecht- angst over hoe we omgaan met data. We beseffen steeds meer dat we ons beter moeten wapenen tegen cybercriminelen die maar al te graag met onze data aan de haal gaan. Directeuren zullen niet voor niets soms wakker liggen van de gevolgen van datalekken bij woningcorporaties, die geen uitzondering zijn. Het is dan ook niet gek dat de vastgoedmarkt steeds meer kennis heeft over cyberveiligheid.
“We zien dat onze klanten ook volwassener worden op gebied van cybersecurity. We merken dat er steeds meer vragen over gesteld worden, alsook dat onze eindklanten meer bewijs willen van hoe wij kwetsbaarheden opsporen en welke maatregelen we nemen om deze zo goed mogelijk te dichten”, vertelt Michel.
Pentesting als onderdeel van DevSecOps
Daarom draagt Aareon veiligheid hoog in het vaandel. Zo hebben ze een grondig uitgewerkte DevSecOps procedure, waarbij zowel bij ontwikkeling als doorontwikkeling van hun applicaties security aspecten telkens meegenomen worden. “We hebben richtlijnen opgesteld voor alle development teams, waarbij cybersecurity altijd meegenomen dient te worden. Het is een continu proces”, aldus Michel, “en een belangrijk onderdeel hiervan is pentesting”.
Pentesten is zeker niet nieuw voor Aareon. Zelf pentesten ze intern met regelmaat hun eigen applicaties. Dit vullen ze regelmatig aan met expertise van externe partijen. Zo kwam ook de samenwerking met Hacksclusive tot stand.
Als we vragen waarom Michel het zo belangrijk vindt om naast hun eigen pentests ook de applicaties extern te laten testen, geeft hij aan: "Pentesten is zoeken naar bevestiging. Ook al komt er soms weinig nieuwe informatie uit, toch willen we antwoorden op vragen zoals: Zijn we goed bezig? Kloppen onze eigen resultaten wel of hebben we wat over het hoofd gezien?”.
Ook helpt het met prioriteiten stellen. Als software ontwikkelaar werkt Aareon natuurlijk graag aan nieuwe features en een betere gebruikerservaring. Toch is de veiligheid van de applicaties ook belangrijk. Met de resultaten van een pentest krijgen securityafwegingen vaak meer draagkracht binnen het development team.
Nieuwe pentesting partij = een nieuwe kijk op kwetsbaarheden
Michel is van mening dat er regelmatig nieuwe partijen uitgenodigd moeten worden voor het pentesten. "Eens in de zoveel tijd even wisselen voor een frisse blik lijkt me nodig. We zoeken naar partijen met een nieuwe visie. Als je lang dezelfde software test, krijg je automatisch oogkleppen op." Hoewel Michel de mensen achter Hacksclusive al kende van eerdere samenwerkingen, koos hij nu bewust voor Hacksclusive. Een van de doorslaggevende redenen was dat hij met Hacksclusive fysiek rond de tafel kon zitten.
“Vaak heb je digitale meetings met pentesting bedrijven. Het was erg prettig om met de mensen van Hacksclusive aan tafel te zitten. Zo kan je toch wat makkelijker sparren en merk je dat er goed met je meegedacht wordt in zowel de scoping als het risicomanagement. Mij viel vooral op hoeveel expertise over cyber security en testing de mensen van Hacksclusvie met zich meedragen. Er werd grondig met ons meegedacht en ook concrete adviezen gegeven”.
Dat Hacksclusive met een online cloudomgeving werkt waarin de pentests gerapporteerd worden, is niet nieuw voor Michel. “We hebben al eens eerder met een dergelijk portal gewerkt. Alleen beperkte zich dat erg tot black box pentesting. Dat bracht uiteindelijk niet veel meerwaarde, want dat kunnen we makkelijk zelf. Het grote verschil nu was dat ondanks dat er een handige en transparante online omgeving was, er alsnog een creatieve hacker voor je handmatig aan de slag ging met het vinden van kwetsbaarheden.”
“Het grote verschil met andere pentest platformen is dat ondanks dat er een handige en transparante online omgeving was, er alsnog een creatieve hacker voor je handmatig aan de slag ging met het vinden van kwetsbaarheden.”
Cyber security is altijd in beweging
Aareon gebruikt naast cloud-based software ook nog on-premise software. “Cloud oplossingen kunnen we zelf redelijk goed pentesten. Een uitdaging is het opzoeken van kwetsbaarheden bij on-premise software. Het is dan erg fijn om te kunnen sparren met een partij die ons hierbij kan ondersteunen met advies. Want hoe future proof zijn dergelijke assets nog? En hoe houden we het veilig? Dat zijn belangrijke vragen die we ons de komende tijd moeten stellen”, aldus Michel.
"Uit eigen ervaring weet ik dat je nooit echt klaar bent met cybersecurity. De wereld om ons heen verandert, zo ook het cyber landschap. Wij proberen ons zoveel mogelijk te laten informeren welke mogelijkheden en gevaren er zijn”. En Michel geeft aan dat hij dit ook graag als tip zou meegeven aan DevOps managers en CISO’s.
Download onze
pentest whitepaper
Leer alles over pentesten in onze whitepaper Pentest Deepdive en krijg 6 tips om de scope van jouw pentest te bepalen.