DevOps-i turvalisus: kaasasutaja Michael Borohovski arutleb selle üle, kuidas Tinfoili turvalisus muudab Interneti turvalisemaks, üks äri korraga

TL; DR: Tinfoil Security pakub ettevõtetele turvaala kaitset arendajasõbralike tööriistade kaudu, mis on loodud sujuvalt DevOps-protsessi integreerumiseks. Teenus aitab suurendada tõhusust, hoida kliendiandmeid turvalisena ja muuta turvaspetsialistide töö tasuvamaks. Uue skänneriga, mis on loodud maast üles, et tuvastada mis tahes API turvaauke, aitab Tinfoil Security kujundada veebiturvalisuse tulevikku.


Kui leiate end kiiresti populaarsetelt turvanõuetelt, näiteks DEF CON või RSA, siis ärge muretsege, kui satute sõbralikku seltskonda, kes spordib läikivaid tinafooliumist mütse. Paranoiast vaevatud vandenõuteoreetikute asemel on nad tõenäoliselt Tinfoil Security töötajad ja fännid.

Ettevõtet – mis võimaldab arendajatel skannida saite haavatavusi ja leida kiirelt lahendusi – nimetatakse sobivalt oma võimeks kaitsta kasutajaid veebiohtude eest. Ja nii nagu alumiiniummütsid pakuvad konverentside ajal veidrat veidrust, avab Tinfoil Security oma veebiturbe leevendamise lahendused avatud ja abivalmis teenuskäsitlusega.

Michael Borohovski, Tinfoil Security kaasasutaja ja tehniline juht ning Tinfoil Security logo

Michael Borohovski, kaasasutaja & CTO andis meile ülevaate sellest, kuidas Tinfoil Security aitab veebiohte ohjata.

“Püüame olla võimalikult arendajasõbralikud, mitte hirmutav, häkkerite rünnakul tegutsev ettevõte, kes müüb hirmu läbi,” ütles Michael Borohovski, asutaja. & CTO at Tinfoil Security. “Selle asemel keskendume lihtsate, kasutatavate toodete loomisele ja turul parima turvalisuse tagamisele.”

Mitmete organisatsioonide laiaulatusliku turbetaustaga ekspertide meeskonna toel pakub ettevõte arendajatele esimest turvakaitset, kasutades tööriistu, mis sujuvalt integreeruvad DevOps-i ja arendusprotsessidesse. Idee on suurendada tõhusust, et hoida kliendiandmeid turvalisena ja sisejulgeoleku talent keskenduda olulistele küsimustele. Äsja välja antud uue tööriistaga, mis on spetsiaalselt loodud API-de turvaaukude tuvastamiseks, aitab Tinfoil nii arendajatel kui ka turvaspetsialistidel sammu pidada pidevalt muutuva riskimaastikuga.

Esimene turbeliin arendusprotsessis

Michael rääkis meile, et arendas Tinfoil Security välja koos asutaja ja tegevjuhi Ainsley Brauniga. Sel ajal töötas duo, mõlemad hiljuti MIT-i lõpetanud, D.C. piirkonnas. Michael keskendus luurekogukonna tarkvara turvalisusele haavatavuste avastamise, arendamise ja relvastamise valdkonnas; Ainsley töötas Booz Allen Hamiltoni juures, pakkudes UI / UX disaini ja julgeolekukonsultatsioone USA kaitseministeeriumile ja armeele.

“Me ei olnud võib-olla kõige tavalisemad veebisaitide või rakenduste kasutajad ning seetõttu leidsime pidevalt haavatavusi ettevõtetes, kellega iga päev töötasime,” sõnas Michael. “Ja iga kord, kui me need avalikustame, oli paratamatult edasi-tagasi minemine, kus ettevõtted ütlesid” OK, me arvame, et me parandasime selle ära “ja tegelikult nad seda ei teinud.”

Lõpuks ütles Michael, et tema ja Ainsley oskuste tulemuseks on mitu tööpakkumist. Duo asutas Tinfoil Security 2011. aastal pärast seda, kui see muster jätkus, näidates selget turuvõimalust.

Michaeli sõnul keskendus Tinfoil Security oma esimese viie aasta jooksul väikestele ja keskmise suurusega ettevõtetele. Umbes kolm aastat tagasi nihutas ettevõte oma tähelepanu äriklientidele, sealhulgas paljudele Fortune 100 ja Fortune 500. Siiski teenindab see endiselt iga kuu umbes 30 000 SMB klienti, kas tasuta või suhteliselt madala hinnaga..

Michael ja Ainsley tegid teadliku valiku mitte loobuda oma väikeste ja keskmise suurusega ettevõtete tegevusest. Nende pardal hoidmine tähendab, et ettevõttel on haavatavuste tuvastamiseks palju laiem rakenduste testimisbaas – see teeb kõik turvalisemaks. Samuti aitab see ettevõttel säilitada kogukonnakesksust.

“Meie moto on” Interneti turvalisemaks muutmine, üks ettevõte korraga “, olenemata sellest, kas olete väikeettevõte või tohutu ettevõte,” ütles Michael.

Tinfoil Security API skanneri abil saate tuvastada mis tahes API haavatavused

Tinfoil Security lipulaev Veebirakenduste skanner vaatab üle 60 turvaauke käsitleva veebirakenduse, sealhulgas avatud veebirakenduste turbeprojekti esikümnesse, kõige kriitilisemate veebirakenduste turvariskide loendisse (vastavalt ülemaailmsete turbeekspertide paneeli kokkuleppele).

Lisaks veebirakenduste skannerile tutvustas Tinfoil Security hiljuti oma uut API-skannerit, mis on võimeline tuvastama mis tahes API turvaauke, alates veebiühendusega seadmetest nagu mobiilsidetausta serverid ja IoT-seadmed kuni RESTful API-deni.

Tinfoil Security meeskonna liikmed konverentsil

Tinfoil Turvalisuse meeskonda võib sageli leida oma kaubamärgi peakatteid sportivatel üritustel.

Michael ütles, et rakendusliidesega seotud turvaprobleemid erinevad suuresti veebirakenduste muredest. “Meie API-skanner otsib haavatavusi konkreetselt API-des, olgu see siis Interneti-Interneti-seade, veebirakendus, mobiilirakendus või mis tahes Interneti-põhine seade, millel pole veebiliidest,” ütles ta. “See oli nullist üles ehitatud, et keskenduda API-dele ja API-spetsiifilistele haavatavustele – me ei teinud žürii jaoks veebirakenduste skannerit, et hallata API-sid poolikult – just seda teeb meie võistlustel suur osa,” ütles Michael..

Sel eesmärgil on Tinfoil Security üks väheseid ettevõtteid, kes suudab praegu tuvastada turvaauke, mis keskenduvad autoriseerimise ja juurdepääsu kontrollimisega seotud probleemidele. Teine eristaja, Michael ütles, on toote sujuv integreerimine arendajate olemasolevatesse protsessidesse. Protsess on kiire – keskmiselt vähem kui minut -, mis hõlbustab arendustöösse integreerimist.

“Peame end DevOpsi turvalisuseks”, ütles ta. „Me tagame, et arendaja suudab haavatavusi leida ja parandada, ilma et peaksite olemasolevast töövoodist välja puhkema. Neil on juba ühikatsetused, integratsioonitestid ja nii edasi – pole mingit põhjust, miks neil ei peaks pideva integratsiooniprotsessi osana olema ka turvateste. Siit tuleb Tinfoil Security. ”

Säilitage turvatalent, suurendage tõhusust ja hoidke kliente turvalisena

Üldiselt ütles Michaeli sõnul paljudes ettevõtetes tohutuid arendajate meeskondi, keda toetavad märkimisväärselt väiksemad turvameeskonnad, kes võitlevad üha kiireneva tehnoloogilise arenguga.

“Peaaegu kõik on liikunud kasutuselevõtmisele üks kord päevas, mõnikord mitu korda päevas – kui olete Netflix, on see üks kord iga paari minuti tagant,” ütles ta. „Käsitsiprotsessidest ajendatud turvameeskonnad lihtsalt ei suuda sammu pidada. Meie eesmärk on automatiseerida võimalikult suur osa turbeprotsessist ja anda see arendajate kätte, et turbemeeskonnad saaksid keskenduda suurele pildile. ”

Automatiseerimine aitab ka ettevõtetel tooteid kiiremini turule tuua. Näiteks ütles Michael meile, et Tinfoil Security on aidanud ühel nende kliendil lühendada juurutamise ajakava üheksa kuult kolmele kuule. See vähendab rakenduse väljatöötamise ja klientideni jõudmise vahelist aega 66%.

“Tavaliselt ehitavad arendajad rakenduse, lasevad selle üle turbemeeskonnale ja turbemeeskonnal kulub selle hindamiseks umbes nädal,” sõnas ta. „Siis tulevad nad tagasi hulga haavatavustega, selleks ajaks on arendajad juba uued funktsioonid ehitanud. Nad parandavad mõned neist haavatavustest, loovad teised ja lähevad edasi-tagasi. ”

Tinfoil Security eesmärk on seda tagasisidet lühendada automatiseerimise kaudu. Selle eesmärk ei ole inimeste tehtud töö kõrvaldamine, vaid selle tagamiseks, et rakenduse turbemeeskonda jõudmiseni oleks vähem turvaauke. “Ma ei väida kunagi, et meie automatiseeritud süsteem saab olema sama täiuslik kui inimene,” ütles Michael. “Kui keegi seda teeb, peaksite jooksma kaugele, kaugele. Inimestel on leidlikkust, mida arvutitel veel pole – veel ”.

Päeva lõpus võib süsteem aidata töötajate hoidmise määra parandada. Selle asemel, et keskenduda korduvalt levinumatele ohtudele, vabastab Tinfoil Security lahendused haavatavuse analüütikud, et nad keskenduksid keerukamatele, tasustatavamatele ülesannetele.

Vaadates edasi: julgeoleku tuleviku ümbermõtestamine

Lõpuks näeb Michael ette tulevikku, kus arendajatel on volitused turvaaukude tuvastamiseks ja parandamiseks täpselt nagu mis tahes muu turvavea korral. “Lõpuks on haavatavus viga, millel on tõsisemad tagajärjed,” ütles ta. “Ma näen, et turbemeelsed spetsialistid on manustatud igasse arendusmeeskonda – arenguprotsessi osana, mitte pärast valmimist.”

Samuti ennustab ta, et 2019. aasta saab olema API haavatavuste keskpunkt. Ehkki on esinenud mitmeid suure mõjuga veebirakenduste rikkumisi, pole suuremad API rikkumised muutunud tavaliseks. “Ma kahtlustan, et see on aasta,” ütles Michael ja lisas, et ettevõtte API-skanner on valmis revolutsiooniliselt muutma seda, kuidas inimesed mõtlevad turvalisusele.

2005. aastal uuris rühm MIT-i teadlasi alumiiniumkiivrite tõhusust invasiivsete raadiosignaalide blokeerimisel. Nagu selgub, ei kaitse läikivad mütsid kandjaid signaalide eest – tegelikult võimendavad nad tegelikult teatud sagedusi. Õnneks on sellised ettevõtted nagu Tinfoil Security olemas praktiliste ja tõhusate alternatiividena peakatte vahetusele.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me