Zephyrnet-logo

Interview met Nuno Loureiro - Waarschijnlijk

Datum:

Aviva Zacks of Safety Detectives kreeg de kans om met Nuno Loureiro, CEO en mede-oprichter van Probely, om de tafel te zitten om hem alles te vragen naar zijn motivaties om zijn bedrijf te starten.

Veiligheidsdetectives: wat motiveerde u om te beginnen Waarschijnlijk?

Nuno Loureiro: In mijn vorige professionele leven heb ik ongeveer zes jaar een APSEC-team geleid bij een telecomoperator, en we hadden moeite met het opschalen van applicatiebeveiliging. Ik creëerde dat team bij de telecomoperator in 2010 samen met Tiago (nu de CTO van Probely), en ik leidde het team tot 2016 toen we vertrokken om Probely op te richten.

Het probleem dat we hadden was dat er in het begin maar twee mensen in het APSEC-team zaten. Aan de andere kant van de tafel waren er meer dan honderd ontwikkelaars en werden meer dan honderd webapplicaties actief onderhouden. Sommige teams begonnen agile ontwikkelingsmethodologieën te volgen, wat resulteerde in frequente releases van nieuwe versies van de applicaties. Daarom hadden we moeite met het uitvoeren van beveiligingstests, omdat het voor slechts twee mensen moeilijk was om alle wijzigingen te testen die door 20, 30 of 40 ontwikkelteams waren aangebracht. Als er frequente releases van de apps zijn, moeten we deze vóór elke release regelmatig testen. En hoewel we geautomatiseerde tools gebruikten om ons bij die taak te helpen, waren het nog steeds twee mensen die de tools gebruikten om de beveiliging van meer dan honderd webapplicaties te testen.

Destijds, in 2011 of 2012, konden we dit alleen opschalen als we een aantal geautomatiseerde beveiligingstests rechtstreeks naar de ontwikkelteams konden verschuiven.

Tegenwoordig praten mensen veel over de verschuiving van beveiliging naar links, wat het verschuiven van de beveiligingstests naar een eerdere ontwikkelingsfase - die tests rechtstreeks naar de ontwikkelaars verschuift. Maar toen was daar geen mooie naam voor.

Het probleem was dat de meeste tools die toen op de markt waren, werden gebouwd om te worden gebruikt door beveiligingsprofessionals, niet door ontwikkelaars, dus ontwikkelden ontwikkelaars een beetje moeite met het gebruik van die tools. Veel van de tools moesten worden verfijnd in termen van configuratie om ervoor te zorgen dat de hele applicatie, de tests of de dekking van de tests goed waren. Die tools gaven niet echt goede uitleg over wat de kwetsbaarheden waren of hoe ze te verhelpen.

Uit die ervaring ontstond het idee om Probely te creëren. Mijn applicatiebeveiligingsteam en ik besloten Probely op te richten, zodat het gemakkelijker zou zijn om een ​​aantal beveiligingstests rechtstreeks aan ontwikkelingsteams over te dragen. Met dat in gedachten hebben we Probely gebouwd.

SD: Wat doet Probely precies?

NL: Tegenwoordig hebben we twee producten: een standaardeditie en een enterprise-editie. De kern van het product, van beide versies, is hetzelfde. De motor om de kwetsbaarheden te vinden is dezelfde. Eén product is alleen gericht op bedrijven met een klein aantal doelen: een klein aantal websites, webapplicaties of API's. En de enterprise-editie is bedoeld voor bedrijven die veel websites, applicaties of API's hebben en een aanvullende set functies nodig hebben.

De manier waarop Probely werkt, is dat u een webapplicatie heeft, en u geeft de URL van die webapplicatie op. Scant waarschijnlijk de webapplicatie, en tijdens het scannen, omdat het kwetsbaarheden en beveiligingsproblemen op die sites vindt, rapporteert het deze. Het biedt volledige details over wat kwetsbaar is, de impact van die kwetsbaarheid en het bewijs dat de kwetsbaarheid reëel is. Het bevat ook instructies voor het oplossen van het probleem, het probleem of de kwetsbaarheid.

Voor sommige technologieën bieden we zelfs instructies op maat om deze problemen op te lossen. Stel je voor dat je applicatie in PHP is gemaakt, zodat je een stukje code in PHP krijgt over hoe je die specifieke kwetsbaarheid kunt oplossen.

Werkt waarschijnlijk als een hacker. De klant hoeft geen code op te geven. In plaats daarvan zal Probely gewoon naar de website of de webapplicatie gaan en de applicatie testen zoals een hacker zou doen en proberen kwetsbaarheden te vinden.

SD: Hoe blijft uw bedrijf de concurrentie voor?

NL: Er zijn veel concurrenten in deze ruimte, maar ik denk dat wat ons onderscheidt van onze concurrenten in de details zit. Vanaf het begin wilden we dat beveiligingsteams beveiligingstests konden verschuiven naar ontwikkelaars, dus hebben we het product helemaal opnieuw gemaakt om op die use-case te richten.

Om u een voorbeeld te geven: we volgen een API-first ontwikkelingsaanpak. Dus voor elke nieuwe functie van Probely voegen we deze eerst toe aan de API en vervolgens aan de interface. Dit is een goede zaak voor ontwikkelteams. Als ze Probely willen integreren in hun bestaande tools en workflows, kunnen ze onze API gebruiken, en ze weten zeker dat alles wat ze zoeken in termen van functionaliteit beschikbaar zal zijn op de API.

Onze concurrenten creëerden eerst hun product en vervolgens, om ontwikkelaars te targeten, bouwden ze een API bovenop hun product met de functionaliteit waarvan zij denken dat het belangrijk is om te bieden. En soms is wat zij belangrijk vinden niet wat de cliënt belangrijk vindt. Maar met Probely weten ze dat ze alles op de API hebben.

Een ander voorbeeld is dat we jarenlang gebruikers waren van tools zoals Probely in het verleden, en we weten dat deze tools meestal veel false positives rapporteren. Dus een van de dingen die we hebben gedaan om valse positieven te voorkomen, was om de kwetsbaarheid veilig te misbruiken om bewijs te verzamelen dat de kwetsbaarheid echt is.

Een ander ding is dat we op maat gemaakte instructies geven voor het oplossen van de kwetsbaarheden op basis van de technologie die op de site wordt gebruikt.

En we kunnen doorgaan. Dit zijn slechts enkele voorbeelden.

SD: Wat is er volgens u veranderd in cyberbeveiliging sinds het begin van deze pandemie?

NL: We hebben zeker een piek in aanvallen gezien sinds de pandemie begon. Veel bedrijven moesten een aantal beveiligingscontroles versoepelen omdat werknemers van de ene op de andere dag thuis gingen werken. Het idee van de veiligheidsperimeter was dus ook versoepeld, zo niet vervaagd. Dit creëerde nieuwe mogelijkheden voor verschillende beveiligingsgebieden, zoals netwerkbeveiliging, identiteitsbeheer en toegangscontrole.

Op het gebied van applicatiebeveiliging zagen we een toename van het aantal aanvallen, vooral aan het begin van de pandemie. Een mogelijke verklaring is dat veel mensen thuis waren, aan het werk of niets aan het doen (minder controle over je activiteiten en / of meer vrije tijd), waardoor de ideale omgeving ontstond om te beginnen met hacken.

Coinsmart. Beste Bitcoin-beurs in Europa
Bron: https://www.safetydetectives.com/blog/interview-nuno-loureiro-probely/

spot_img

Laatste intelligentie

spot_img