Safety Detectives의 Aviva Zacks는 Probely의 CEO이자 공동 창립자 인 Nuno Loureiro와 함께 회사를 시작하려는 동기에 대해 질문 할 기회를 얻었습니다.
안전 수사관 : 시작하게 된 동기 아마도?
누노 루 레이로 : 지난 직장 생활에서 저는 통신 사업자에서 APSEC 팀을 약 2010 년 동안 이끌었고 우리는 애플리케이션 보안 확장에 어려움을 겪었습니다. 저는 2016 년에 Tiago (오늘날 Probely의 CTO)와 함께 통신 사업자에서 팀을 만들었고, Probely를 만들기 위해 떠난 XNUMX 년까지 팀을 이끌었습니다.
우리가 가진 문제는 처음에는 APSEC 팀에 두 사람 만 있었다는 것입니다. 다른쪽에는 20 명이 넘는 개발자와 30 개가 넘는 웹 애플리케이션이 활발하게 유지되고 있습니다. 일부 팀은 애자일 개발 방법론을 따르기 시작했으며 이로 인해 새로운 버전의 애플리케이션이 자주 출시되었습니다. 이 때문에 40, XNUMX, XNUMX 개의 개발팀이 생성 한 모든 변경 사항을 두 사람 만 테스트하기가 어려웠 기 때문에 보안 테스트를 수행하는 데 어려움을 겪었습니다. 앱이 자주 출시되는 경우 출시 전에 자주 테스트해야합니다. 그 작업을 돕기 위해 자동화 된 도구를 사용했지만 XNUMX 개가 넘는 웹 애플리케이션의 보안을 테스트하기 위해 도구를 운영하는 사람은 여전히 두 사람이었습니다.
그 당시 2011 년 또는 2012 년에이를 확장하기 위해 본 유일한 방법은 자동화 된 보안 테스트 중 일부를 개발자 팀으로 직접 전환하는 것뿐이었습니다.
오늘날 사람들은 보안 테스트를 개발의 초기 단계로 전환하는 보안 왼쪽 전환에 대해 많이 이야기합니다. 이러한 테스트는 개발자에게 직접 전달됩니다. 그러나 그 당시에는 그것에 대한 멋진 이름이 없었습니다.
문제는 당시 시장에 출시 된 대부분의 도구가 개발자가 아닌 보안 전문가가 사용하도록 만들어 졌기 때문에 개발자는 이러한 도구를 사용하는 데 어려움을 겪었습니다. 많은 도구에서 전체 애플리케이션, 테스트 또는 테스트 범위가 양호한 지 확인하기 위해 구성 측면에서 미세 조정이 필요했습니다. 이러한 도구는 취약점이 무엇인지 또는 해결 방법에 대한 좋은 설명을 제공하지 못했습니다.
Probely를 만드는 아이디어는 그 경험에서 탄생했습니다. 제 애플리케이션 보안 팀과 저는 일부 보안 테스트를 개발 팀에 직접 오프로드하는 것이 더 쉽도록 Probely를 만들기로 결정했습니다. 우리는이를 염두에두고 Probely를 구축했습니다.
SD : Probely는 정확히 무엇을하나요?
NL : 오늘날 우리는 표준 에디션과 엔터프라이즈 에디션의 두 가지 제품을 가지고 있습니다. 두 버전의 제품 핵심은 동일합니다. 취약점을 찾는 엔진은 동일합니다. 단지 하나의 제품이 적은 수의 웹 사이트, 웹 애플리케이션 또는 API와 같이 적은 수의 대상을 가진 회사를 대상으로하는 것입니다. 엔터프라이즈 에디션은 웹 사이트, 애플리케이션 또는 API가 많고 보완 기능이 필요한 회사를 대상으로합니다.
Probely가 작동하는 방식은 웹 애플리케이션이 있고 해당 웹 애플리케이션의 URL을 제공하는 것입니다. 웹 애플리케이션을 Probely 스캔하고 스캔하는 동안 해당 사이트에서 취약점과 보안 문제를 발견하면이를보고합니다. 취약한 항목, 해당 취약성의 영향 및 취약성이 실제적이라는 증거에 대한 자세한 정보를 제공합니다. 또한 문제, 문제 또는 취약성을 수정하는 방법에 대한 지침도 제공합니다.
일부 기술의 경우 이러한 문제를 해결하는 방법에 대한 맞춤형 지침도 제공합니다. 예를 들어 애플리케이션이 PHP로 만들어져 특정 취약점을 수정하는 방법에 대한 코드를 PHP로 제공한다고 상상해보십시오.
Probely는 해커처럼 작동합니다. 클라이언트는 코드를 제공 할 필요가 없습니다. 대신 Probely는 웹 사이트 나 웹 애플리케이션으로 이동하여 해커처럼 애플리케이션을 테스트하고 취약점을 찾으려고합니다.
SD : 귀사가 경쟁에서 앞서 나가는 이유는 무엇입니까?
NL : 이 공간에는 많은 경쟁자가 있지만 우리를 경쟁자와 차별화하는 것은 세부 사항에 있다고 생각합니다. 처음부터 우리는 보안 팀이 보안 테스트를 개발자로 전환 할 수 있기를 원했기 때문에 처음부터 해당 사용 사례를 대상으로 제품을 만들었습니다.
예를 들어 API 우선 개발 방식을 따릅니다. 따라서 Probely의 모든 새로운 기능에 대해 먼저 API에 추가 한 다음 인터페이스에 추가합니다. 이것은 개발 팀에게 좋은 것입니다. Probely를 기존 도구 및 워크 플로에 통합하려는 경우 API를 사용할 수 있으며 기능 측면에서 찾고있는 것이 무엇이든 API에서 사용할 수 있다는 것을 알고 있습니다.
경쟁 업체는 먼저 제품을 만든 다음 개발자를 대상으로하기 위해 제공하는 것이 중요하다고 생각하는 기능을 제품 위에 API를 구축했습니다. 그리고 때로는 그들이 중요하다고 생각하는 것이 고객이 중요하다고 생각하는 것이 아닙니다. 그러나 Probely를 사용하면 API에 모든 것이 있다는 것을 알고 있습니다.
또 다른 예는 우리가 과거에 Probely와 같은 도구의 사용자였으며 이러한 도구가 일반적으로 많은 오탐을보고한다는 것을 알고 있습니다. 따라서 오탐을 피하기 위해 우리가 한 일 중 하나는 취약점이 실제로 존재한다는 증거를 수집하기 위해 취약점을 안전하게 악용하는 것이 었습니다.
또 다른 한 가지는 사이트에서 사용되는 기술을 기반으로 취약성을 수정하는 방법에 대한 맞춤형 지침을 제공한다는 것입니다.
그리고 우리는 계속할 수 있습니다. 이는 몇 가지 예일뿐입니다.
SD :이 전염병이 시작된 이후 사이버 보안에서 어떤 변화가 있었다고 생각하십니까?
NL : 전염병이 시작된 이후로 공격이 급증했습니다. 직원들이 하루 종일 집에서 일하기 시작했기 때문에 많은 회사에서 일부 보안 제어를 완화해야했습니다. 따라서 보안 경계의 개념도 사라지지 않았더라도 느슨해졌습니다. 이는 네트워크 보안, ID 관리 및 액세스 제어와 같은 다양한 보안 영역에 대한 새로운 기회를 창출했습니다.
애플리케이션 보안 측면에서 특히 대유행 초기에 공격이 증가했습니다. 한 가지 가능한 설명은 많은 사람들이 집에서 일하거나 아무것도하지 않았기 때문에 (활동 제어가 적고 / 또는 더 많은 자유 시간) 해킹을 시작하기에 이상적인 환경을 만들었습니다.
코인 스마트. 유로파 최고의 비트 코인-보르 스
출처 : https://www.safetydetectives.com/blog/interview-nuno-loureiro-probely/
