Cobalt提供快速的应用程序安全性渗透测试,以实时提供可操作的结果

TL; DR: 与传统解决方案相比,Cobalt提供了更快,更轻松,更实惠的应用程序安全性渗透测试。它的Pentest即服务(PtaaS)平台与Jira和GitHub工作流集成在一起,使客户能够实时(而不是通过时间点快照)查明,跟踪和修复软件漏洞。经过认证的白帽渗透测试人员可以执行按需测试,因此客户可以在其开发周期中构建可靠的,防黑客攻击的协议。根据应用规模和测试频率,Cobalt以固定价格保持低成本.


对于软件公司而言,安全性渗透测试可能是一个缓慢且通常昂贵的过程。结果经常显示产品在某个时刻的位置,而不是动态实体.

传统上,公司采用两种方式进行渗透测试。首先是聘请内部渗透测试人员,大型银行通常会选择这种方法。但这可能具有挑战性,因为渗透测试人员的需求量很大,而且并不总是可用。第二种方法是使用传统的管理机构或安全顾问。尽管每个咨询项目可能都是高度定制的,但由于所有利益相关者都需要在细节上达成一致,因此它们通常需要很长时间才能整合在一起,这可能意味着测试需要数周才能开始.

“无论构建内部测试还是将单个项目外包,这两种模型都不适合当前的软件开发实践,” PentaS作为服务(PtaaS)平台Cobalt的首席战略官Caroline Wong说。 “由于当今的软件开发是迭代的,所以一切发展都快得多。”

Cobalt提供的安全渗透测试比传统产品更快,更容易且更实惠。 Cobalt可以提供实时,可操作的结果,使客户能够迅速查明,跟踪和修复软件漏洞。 Cobalt平台不是生成时间点快照,而是一种数据驱动的应用程序安全性引擎,旨在简化第三方渗透测试过程.

钴社交媒体横幅

Cobalt提供了遍布全球的测试人员网络,可以快速完成项目.

正如该公司在其使命声明中所说,现代组织应该可以访问快速,可靠的安全测试。但是传统的笔测和评估行业并不是为了满足现代组织的需求而建立的,因此Cobalt所提供的功能要比过时的PDF报告和简单的安全扫描程序更好.

推动这一变化的因素是当今组织开发软件的方式.

Caroline说:“整个世界正朝着更加敏捷的DevOps开发流程迈进。” “这意味着组织将更快地发布软件。”

安全就是保护价值,并且它正在随着数字化格局而变化。这意味着测试安全性的方式也需要改变.

Cobalt拥有经过审查的安全性测试人员的全球人才库,可以满足那些不断发展的需求,并且可以在24小时内组建一支定制团队。它还根据应用程序大小和测试以固定价格提供服务,以保持成本可承受.

现代安全测试可快速识别漏洞

作为支持SaaS的市场的一部分,Cobalt的Pentest即服务(PtaaS)平台可提供使客户立即采取行动的结果。它可以帮助查明,跟踪和修复软件漏洞,并使其易于设置,安排和管理测试,这通常被称为渗透测试的TurboTax.

由270多名经过认证的白帽渗透测试人员组成的团队执行按需测试,以便客户可以在其开发周期中构建类似于黑客的测试。 Cobalt社区中的大多数测试者都拥有超过10年的测试经验.

Cobalt平台支持用于组织内所有必需的渗透测试和评估的全面的“查找解决”工作流。其中包括漏洞报告,集成的消息传递和监视,智能过滤和推送通知,所有这些都可以立即解决问题.

程序启动时,用户会在专用应用程序安全收件箱Cobalt Central上收到漏洞报告。报告包括Cobalt推荐引擎的说明,屏幕截图和建议的修复程序.

用户可以根据自己喜欢的工作流程分配报告。由于用户可以直接与Cobalt Central仪表板上的渗透测试人员进行通信,因此可以快速解决问题,从而确保他们可以尽可能有效地加强安全性.

钴渗透测试还满足客户在可能需要验证其安全状况(包括合规性)的整个销售过程中可能提出的要求。报告会根据这些发现自动更新,因此始终可以获得最准确的信息。 Cobalt还可以满足大多数认证的要求,包括供应商评估,PCI,HIPAA和SOC-2.

Cobalt平台还通过两因素身份验证得到保护,并运行公司的自定义安全程序.

从小型团队到全球专家库

Cobalt于2013年成立,最初是一家名为CrowdCurity的漏洞赏金公司。当时,该公司首席执行官Jacob Hansen和其首席客户官Esben Friis Jensen正在作为顾问合作。他们认为传统的咨询模式有很大的改进空间,因此他们决定创办自己的公司.

Cobalt的所有四位创始人,包括首席产品架构师Jakob Storm和CTO Christian Hansen,都对比特币感兴趣。他们看到了山的市场需求。 Gox比特币交易所在2011年遭到黑客入侵,人们损失了很多投资.

Cobalt首席战略官黄道光

Caroline Wong是Cobalt的首席战略官.

发生这种情况时,公司从漏洞悬赏转向了全面的渗透测试.

Caroline说:“他们研究了安全行业,发现手动渗透测试还有很多改进的空间,他们还可以看到如何做得更好。”.

与通过赏金管理公司的安全漏洞相比,渗透测试具有相对可预测的优势.

Caroline说:“我们有一种方法可确保覆盖Web应用程序,移动应用程序或API。” “我们还具有相对较高的质量,因为我们使用了定制的渗透测试团队,而不是邀请整个世界来测试您的软件。”

卡罗琳(Caroline)于2016年加入该公司,当时该公司在旧金山的一个很小的办公室只有不到10名员工。现在,这个数字已经增长到全球100多个。 Cobalt计划在旧金山,柏林和波士顿设有办事处,并计划在未来几年内进行扩展.

注重透明度的方法

卡罗琳说,传统的渗透测试通常是保密的,这可能不会激发客户对最终产品的信心。.

她说:“一些渗透测试的客户在质量上存在差异,并且活动缺乏透明度。”.

缺乏开放性通常会扩展到谁来汇编结果。相比之下,Cobalt的模型是开放的:报告会告诉进行过渗透测试的客户,包括测试人员的姓名和联系信息.

Cobalt报告的屏幕截图

Cobalt生成报告,使公司可以实时评估其暴露程度.

但是,发现安全问题是解决问题的第一步-优先解决这些问题。除了进行渗透测试外,Cobalt还为开发人员提供修复支持,以修复漏洞.

尽管许多咨询公司会为此服务收取额外费用,或者如果短期内未修复漏洞可能会收取费用,但Cobalt会将这些修补程序作为其全包服务的一部分进行验证.

它的透明性以及全球渗透测试池的灵活性,使Cobalt可以简化启动过程,迅速为每个客户项目组建合适的团队.

如果公司雇用自己的团队或与传统咨询公司合作,那么这种能力几乎是无法实现的.

“提速质量”是Cobalt的核心价值观之一。开发人员从一开始就参与Cobalt渗透测试,而不必等待咨询公司启动和完成渗透测试项目的几周时间,而是再花一周左右的时间让管理层查看报告并通过电子邮件发送PDF,就不必再等待了。.

当Cobalt渗透测试开始时,渗透测试人员会在发现问题时与开发人员合作.

“毕竟,谁在开发软件?开发人员。”卡罗琳说。 “因此,他们需要了解该软件中发现了哪些安全漏洞。”

吸引客户的另一个重要的友好因素是解决方案的易用性,这就是平台的所在。渗透测试者一旦发现漏洞,便将票单推入开发人员可以看到的错误跟踪系统。这就是平台与Jira和GitHub工作流程集成的原因.

Cobalt:添加集成和灵活的定价计划

与通过按需渗透测试为客户提供快速,可操作的情报的价值相一致,Cobalt具有一些新功能。其中包括灵活的定价模型和Jira双向集成.

作为构建现代PtaaS平台的一部分,Cobalt引入了Cobalt Credits。客户可以预先购买信用额度,以便以后使用,而不必每次都进行渗透测试时分别支付费用。.

Caroline说,许多软件开发人员都使用敏捷或DevOps软件开发方法,这就是为什么他们可能不知道他们需要多少笔测试或何时需要它的原因。.

“想法是,您预测要进行多少次透支,购买积分,然后在需要时,需要时使用它们。这是第一个通过工作单元将成本标准化的交付模型,并且对传统的咨询模型具有极大的破坏性。”

6月,Cobalt计划添加Jira双向集成,这将加快修复速度并提高效率。然后,安全和开发团队可以通过Jira在平台上和在线进行通信,而无需手动将发现上传到软件中.

“通过该功能,安全渗透测试人员不仅可以将安全漏洞发送给开发人员,而且,当开发人员修复漏洞时,他们可以在其错误跟踪系统中将其关闭。然后我们可以将这些信息填充到Cobalt中,” Caroline说.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me