Pen-Pagsubok Web at Mobile Apps na may High-Tech Bridge


Matapos ang limang taon ng pananaliksik sa seguridad ng aplikasyon at pag-aaral ng makina, suportado ng isang patuloy na kasanayan ng pagsubok sa seguridad ng aplikasyon, ang High-Tech Bridge ay bumuo ng isang natatanging Application Security Testing (AST) Platform na tinatawag na ImmuniWeb®.

Ang award-winning na Platform na ito ay nagbibigay ng mga kumpanya, gobyerno at mga multinational na organisasyon, sa buong higit sa 40 mga bansa, na may dinamikong, static at interactive na pagsubok sa seguridad ng aplikasyon, patuloy na pagsubaybay at pagsunod sa seguridad. Ang ImmuniWeb ay isang bahagi ng PwC TVM Framework, na pinagkakatiwalaan ng mga pandaigdigang kumpanya sa higit sa 158 na mga bansa.

Si Ilia Kolochenko, High-Tech Bridge’s CEO, ay parehong dalubhasa sa pagsasanay sa cybersecurity, pati na rin ang isang nagsisimula na jurist na hinahabol ang kanyang master’s degree in law sa Washington University sa St Louis.

Background ng kumpanya

Inilarawan ni Kolochenko ang pag-unlad na humahantong sa pagbagsak ng High-Tech Bridge sa teknolohiya ng AST. Sa panahon ng paunang pagtatatag nito noong 2007, ang kumpanya ay nagbigay ng independiyenteng mga serbisyo sa pagkonsulta sa pag-konsulta at pag-awdit, at nakakuha ng mahusay na karanasan sa mga serbisyo ng pagsubok sa pen, higit sa lahat para sa mga pinansiyal na institusyong pinansyal, mga internasyonal na samahan at mga kumpanya ng luho. Ang mga resulta ay natitirang. Gayunpaman, inamin ng Kolochenko na walang pagbuo ng sarili nitong teknolohiya ang isang kumpanya ng cybersecurity ay alinman ay palaguin nang marahan o kakailanganing ibenta ang mga produkto ng third-party. Ang pagbebenta ay isang madulas na dalisdis, sapagkat ang mga madalas na kumpanya ay nag-aalok ng hindi pinakamahusay na solusyon para sa customer, ngunit ang pinaka kumikita sa mga tuntunin ng komisyon na binayaran.

Batay sa hindi matitinag na motto ng kumpanya ng consulting-independent consulting, ang firm na pagtanggi ng “reselling” ay humantong sa mataas na hangarin ng pagbuo ng sariling natatanging teknolohiya ng kumpanya, sa pakikipagtulungan sa mga pakikipagtulungan sa teknolohiya sa San Francisco, London at ilang pagkakaroon sa Singapore. Ang kumpanya ay na-accredited ng CREST, na nagpapahintulot sa High-Tech Bridge na magsagawa ng pagtatasa ng seguridad para sa mga nilalang ng gobyerno sa UK.

Unti-unti, umunlad ang kumpanya Ang ImmuniWeb®, isang Platform ng Pagsubok sa Security Security na gumagamit ng teknolohiya sa pag-aaral ng makina para sa intelektwal na automation ng kahinaan sa pag-scan ng application. Pinapayagan ng Platform ang sinuman sa anumang lokasyon upang mai-configure at simulan ang pagsubok sa seguridad ng aplikasyon sa ilang mga pag-click mula sa isang computer o mobile phone. Sa sariling mga salita ni Ilia, pinagsama ang mga pakinabang nito:

  1. Isang diskarte sa Pagsubok ng Hybrid Security – na kung saan ay nagwawasto at nag-synchronize ng manu-mano sa awtomatikong pagsubok sa real time. Gamit ang pinakamalakas na tampok ng bawat isa, lumikha kami ng isang teknolohiya ng hybrid na binabawasan ang oras ng pagsubok, habang pinapataas ang pagiging maaasahan at kahinaan ng saklaw; at ito ay magastos para sa mga customer.
  1. Ang pag-aaral ng makina, hindi malito sa AI hype, ay isang napakalaking hakbang patungo sa ebolusyon ng teknolohiya ng AST. Ang automation, tulad ng alam natin, ay karaniwang nagbubunga ng nabubuong kalidad. Habang ang matalinong automation sa pamamagitan ng pag-aaral ng makina ay hindi binabawasan ang kalidad, binabawasan ang oras ng tao na kinakailangan para sa advanced na pagsubok at kinahinatnan na pinuputol ang mga gastos..
  2. Siyempre, ang isang tao ay hindi maaaring ganap na palitan ang isip ng tao, dahil ang ilang mga gawain ay napaka-nakakalito. Halimbawa, kapag bumili ka ng mga tiket sa paglipad sa isang website, maaari mong piliin ang iyong numero ng upuan at sa kabila ng iyong tiket sa klase ng ekonomiya, ngunit sa pamamagitan ng ilang simpleng pagmamanipula ng mga kahilingan sa HTTP, makaupo sa klase ng negosyo. Ito ay malinaw na tunog tulad ng isang kapintasan sa lohika ng application. Gayunpaman, paano kung ang isang first-class na pasahero ay maaaring makaupo sa klase ng negosyo? Ang ganitong mga katanungan ay karaniwang masasagot lamang ng isang tao na pamilyar sa mga proseso ng negosyo ng customer. Ito ang dahilan kung bakit ang ImmuniWeb ay hindi naglalayong palitan ang pagsubok ng tao, ngunit sa halip na mabawasan at ma-optimize ang paglahok ng tao kahit saan posible.

Inilalagay namin ang aming sarili bilang isang pang-agham na kumpanya, namumuhunan sa pananaliksik, ngunit kritikal, ang aming platform ay madaling gamitin para sa sinuman, may o walang kaalamang teknikal.

Sino ang iyong Karaniwang client?

Kasama sa aming mga customer ang parehong malaki at multinasyunal na kumpanya at SME, na gumagamit ng aming platform upang subukan at matiyak ang kanilang mga website ng e-commerce at mobile apps. Ang aming mga pakikipagtulungan ng teknolohiya sa pinakamalaking kumpanya ng Web Application Firewall ay nagbibigay ng aming mga customer ng instant at maaasahang virtual na kahinaan sa patching pasilidad.

Sinabi ni Gartner na “Ang mga aplikasyon, hindi imprastraktura, ay kumakatawan sa pangunahing pag-atake ng vector para sa pagkalugi ng data.” Maaari mo bang ipaliwanag?

Karamihan sa mga kahinaan ay naninirahan sa gilid ng application, higit sa lahat sa web at mobile apps. Napakakaunting mga kumpanya ang nagpasya na magtayo ng kanilang sariling web, VPN o email server mula sa simula, at kakaunti ang kasalukuyang umiiral. Karamihan sa mga kahinaan sa iyong email server ay malamang na natagpuan at naka-patch na mga taon na ang nakalilipas, habang ang mga natitira ay maaaring tumagal ng mga taon upang makita dahil sa sobrang pagiging kumplikado. Habang ang isang labis na karamihan ng mga kumpanya ay nagtatayo ng mga pasadyang web at mobile na apps na nakaligtas sa mga peligrosong kahinaan, ang kanilang pagsasamantala ay madalas na walang halaga at madaling gawin kahit na sa pamamagitan ng mga nagsisimula.

Ano ang mga pinaka-karaniwang bagay na hinahanap mo, kapag sumusubok ng mga app para sa seguridad?

Maraming iba’t ibang mga kahinaan at ang kanilang mga pagkakaiba-iba, kaya mahirap ituro ang anumang bagay sa partikular. Ang isa ay maaaring magkaroon ng isang pagtingin sa OWASP Nangungunang 10 pag-uuri para sa pinaka madalas na mga kahinaan sa web application. Ang mga malalaking kumpanya ay madalas na nakakagawa ng mga simpleng pagkakamali. Ang pagiging lumalaban sa mga klasikong kahinaan tulad ng XSS, CSRF o iba’t ibang mga iniksyon, nakalimutan nilang i-verify at patigasin ang lohika ng aplikasyon. Ito ay maaaring humantong sa walang hanggan na paggamit ng mga code ng diskwento, libreng paghahatid ng mga kalakal o kahit na hindi dapat na bayad. Ang ilang mga kahinaan ay mahirap na samantalahin, ngunit mahirap din nilang makita. Nakakagulat, maraming mga malalaking (at maliit) na mga kumpanya ang gumagamit ng default o mahina na mga password para sa mga admin account, na nakapipinsala sa kanilang pangkalahatang seguridad.

Ano ang mga pinaka-karaniwang isyu sa seguridad na nakatagpo mo sa web at mobile apps?

Ang OWASP Nangungunang 10 mga bahid ay tiyak na ang pinaka maraming, gayunpaman ang mga pinaka-kagiliw-giliw na inilalagay sa lohika ng aplikasyon o nakulong na pagsasamantala ng maraming mga kahinaan. Dapat ding tandaan na ang OWASP Top 10 ay maaaring maging mahirap hawakan – ang isang simpleng XSS ay maaaring napansin kahit na may isang open source scanner. Gayunpaman, ang isang XSS na nakabase sa DOM sa isang solong Pahina na Application na nangangailangan ng wastong input ng tao (hal. Umiiral na customer ID at numero ng bank account) ay maaaring maging kumplikado upang makita. Dito nakapasok ang laro ng aming hybrid na diskarte at teknolohiya sa pag-aaral ng machine.

Ano ang mga insentibo para sa mga developer ng app upang ma-secure ang kanilang mga app? At kung anong mga regulasyon ang nagbubuklod sa kanila upang gawin ito?

Hindi lamang ito tungkol sa mga aplikasyon, ngunit tungkol sa pangkalahatang pamamahala ng cybersecurity. Ngayon, mayroong apat na pangunahing, kritikal na mga prinsipyo ng seguridad na dapat sundin ng lahat ng mga kumpanya:

  • Kailangan mong magkaroon ng isang kumpleto at up-to-date na imbentaryo ng iyong mga digital assets (kabilang ang software, hardware, data, mga account sa gumagamit at mga lisensya). Kung wala ka nito, walang mga solusyon sa cybersecurity na makakatulong, dahil ang mga umaatake ay makakahanap ng isang nakalimutan na aparato o aplikasyon, masira ito at simulan ang pagkalat ng pag-atake.
  • Kailangan mong magsagawa ng isang komprehensibong pagtatasa ng peligro upang matukoy at suriin ang mga panganib na maaaring mayroon ka at malamang na haharapin. Ang diskarte sa Cybersecurity ay dapat na nakabatay sa panganib at pinagtibay sa iyong partikular na mga panganib, pagbabanta at panloob na proseso
  • Ang estratehiya ng Cybersecurity ay dapat na malinaw na tinukoy at batay sa mahusay na naisip na mga proseso at pamamaraan. Malinaw na alam ng mga tao ang kanilang mga tungkulin at responsibilidad at magkaroon ng sapat na kapangyarihan upang makagawa ng mga pagpapasya at mapagkukunan upang maipatupad ang mga ito.
  • Kapag tapos na, ipatupad ang tuluy-tuloy na pagsubaybay sa seguridad para sa mga bagong panganib, pagbabanta at kahinaan, pati na rin ang pagiging epektibo ng ipinatupad na mga kontrol sa seguridad. Napakalaki ng paksa na ito, subalit siguraduhin na agad mong makita at tumugon sa anumang anomalya o di-pangkaraniwang pag-uugali, nawawalang mga patch at lipas na software, at mga bagong aparato at aplikasyon.

Paano magagamit ang AI upang higpitan ang seguridad ng mga mobile application?

Sa palagay ko mas angkop na magsalita tungkol sa pag-aaral ng makina at matalinong automation, sa halip na AI. Ang malakas na AI, na may kakayahang palitan ang isang tao, ay hindi umiiral at hindi malamang na lilitaw sa loob ng susunod na sampung taon.

Ang paggamit ng mga teknolohiya sa pag-aaral ng makina ay maaaring makabuluhang bawasan ang oras ng tao, gupitin ang mga gastos at maihatid ang mas mahusay na halaga sa mga customer.

Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map