SafetyDetectivesのAvivaZacksは、ProbelyのCEO兼共同創設者であるNuno Loureiroと一緒に座り、会社を始める動機についてすべて尋ねる機会を得ました。
安全探偵:あなたが始めた動機は何ですか プローブリー?
ヌノ・ルーレイロ: 私の過去の職業生活では、電話会社のAPSECチームを約2010年間率いており、アプリケーションのセキュリティのスケーリングに苦労していました。 私は2016年にTiago(現在のProbelyのCTO)と一緒に電話会社でそのチームを作成し、XNUMX年にProbelyの作成に向けて出発するまでチームを率いていました。
私たちが抱えていた問題は、最初はAPSECチームに20人しかいなかったということでした。 表の反対側には、30人を超える開発者と40を超えるWebアプリケーションが積極的に保守されていました。 一部のチームはアジャイル開発手法に従い始め、その結果、アプリケーションの新しいバージョンが頻繁にリリースされました。 そのため、XNUMX、XNUMX、またはXNUMXの開発チームによって生成されたすべての変更をXNUMX人だけでテストすることは困難であったため、セキュリティテストの実行に苦労しました。 アプリが頻繁にリリースされる場合は、各リリースの前に頻繁にテストする必要があります。 また、自動化されたツールを使用してそのタスクを支援しましたが、XNUMXを超えるWebアプリケーションのセキュリティをテストするためにツールを操作したのはXNUMX人でした。
当時、2011年または2012年に、これを拡張するために私たちが見た唯一の方法は、自動化されたセキュリティテストの一部を開発者チームに直接シフトできるかどうかでした。
今日、人々はセキュリティを左にシフトすることについて多くのことを話します。これは、セキュリティテストを開発の初期段階にシフトし、それらのテストを開発者に直接シフトします。 しかし、当時、そのための派手な名前はありませんでした。
問題は、当時市場に出回っていたツールのほとんどが、開発者ではなくセキュリティの専門家が使用するように構築されていたため、開発者がこれらのツールを使用するのに少し苦労したことでした。 多くのツールでは、アプリケーション全体、テスト、またはテストの対象範囲が適切であることを確認するために、構成に関して微調整が必要でした。 これらのツールは、脆弱性とは何か、またはそれらを修正する方法について、実際には適切な説明を提供していませんでした。
Probelyを作成するというアイデアは、その経験から生まれました。 私のアプリケーションセキュリティチームと私は、セキュリティテストの一部を開発チームに直接オフロードするのが簡単になるようにProbelyを作成することにしました。 それを念頭に置いてProbelyを構築しました。
SD:Probelyは正確に何をしますか?
NL: 現在、スタンダードエディションとエンタープライズエディションのXNUMXつの製品があります。 両方のバージョンの製品のコアは同じです。 脆弱性を見つけるためのエンジンは同じです。 XNUMXつの製品が、ターゲットの数が少ない企業(Webサイト、Webアプリケーション、またはAPIの数が少ない)をターゲットにしているだけです。 また、エンタープライズエディションは、多くのWebサイト、アプリケーション、またはAPIを持ち、補完的な機能セットを必要とする企業を対象としています。
Probelyが機能する方法は、Webアプリケーションがあり、そのWebアプリケーションのURLを提供することです。 Webアプリケーションをプローブでスキャンし、スキャン中にそれらのサイトの脆弱性とセキュリティの問題を検出すると、それらを報告します。 脆弱性の詳細、その脆弱性の影響、および脆弱性が実際に存在することの証明を提供します。 また、問題、問題、または脆弱性を修正する方法についても説明します。
一部のテクノロジーでは、これらの問題を修正する方法について、カスタマイズされた指示も提供します。 たとえば、アプリケーションがPHPで作成されているとすると、その特定の脆弱性を修正する方法に関するコードのスニペットがPHPで取得されます。
Probelyはハッカーのように機能します。 クライアントはコードを提供する必要はありません。 代わりに、ProbelyはWebサイトまたはWebアプリケーションにアクセスし、ハッカーのようにアプリケーションをテストして、脆弱性を見つけようとします。
SD:あなたの会社が競合他社に先んじている理由は何ですか?
NL: この分野には多くの競合他社がありますが、私たちと競合他社との違いは細部にあると思います。 当初から、セキュリティチームがセキュリティテストを開発者にシフトできるようにしたかったので、製品をゼロから作成して、そのユースケースをターゲットにしました。
例を挙げると、APIファーストの開発アプローチに従います。 そのため、Probelyのすべての新機能について、最初にAPIに追加し、次にインターフェースに追加します。 これは開発チームにとって良いことです。 Probelyを既存のツールやワークフローに統合したい場合は、APIを使用でき、機能の観点から探しているものがAPIで利用できるようになることを確信しています。
競合他社は最初に製品を作成し、次に開発者をターゲットにするために、提供することが重要であると考える機能を備えたAPIを製品の上に構築しました。 そして時々、彼らが重要だと思うことは、クライアントが重要だと思うことではありません。 しかし、Probelyを使用すると、APIにすべてが含まれていることがわかります。
もうXNUMXつの例は、過去何年にもわたってProbelyのようなツールを使用していたことです。これらのツールは通常、多くの誤検知を報告します。 したがって、誤検知を回避するために行ったことのXNUMXつは、脆弱性を安全に悪用して、脆弱性が本物であるという証拠を収集することでした。
もうXNUMXつは、サイトで使用されているテクノロジーに基づいて脆弱性を修正する方法について、カスタマイズされた指示を提供することです。
そして、私たちは何度も続けることができました。 これらはほんの一例です。
SD:このパンデミックが始まってから、サイバーセキュリティはどのように変化したと思いますか?
NL: パンデミックが始まって以来、私たちは間違いなく攻撃の急増を見ました。 多くの企業は、従業員がある日から別の日に自宅で仕事を始めて以来、いくつかのセキュリティ管理を緩めなければなりませんでした。 したがって、セキュリティ境界の概念も、消えていないとしても、緩んでいました。 これにより、ネットワークセキュリティ、ID管理、アクセス制御など、セキュリティのさまざまな領域に新しい機会が生まれました。
アプリケーションのセキュリティに関しては、特にパンデミックの初期に攻撃が増加しました。 考えられる理由のXNUMXつは、多くの人が家にいて、仕事をしている、または何もしていない(活動の制御が不十分である、および/または自由時間が多い)ことです。
コインスマート。 BesteBitcoin-ヨーロッパのBörse
出典:https://www.safetydetectives.com/blog/interview-nuno-loureiro-probely/
