Галузь: ІТ та телекомунікації
Компанія: Sumeru Solutions
Місцезнаходження: Бангалор, Карнатака, Індія
Розмір компанії: 201-500 співробітників
Продукт: Invicti Enterprise
“Нам подобається Invicti не лише тому, що його можна оперативно налаштувати, але й тому, що саме сканування виконується швидко, надійно та без зайвих хибних спрацьовувань (що саме по собі значно економить час).”
Сканування вебдодатків у великих масштабах, мабуть, є одним із найскладніших завдань для будь-якого фахівця з веббезпеки. Це інтерв’ю з провідним пентестером Sumeru пояснює, чому він обрав Invicti серед інших рішень для керування, автоматизації та прискорення сканування безпеки вебсайтів своїх клієнтів.
Чи можете ви трохи розповісти нам про Sumeru Solutions та вашу роль у компанії?
“Звичайно, я аналітик з інформаційної безпеки в Sumeru. Ми працюємо у сфері інформаційно-технологічних послуг вже понад десять років. Насправді ми починали з декількох людей – лише 3-4 особи, які створювали чудове програмне забезпечення.
Зараз у нас є клієнти по всьому світу (точніше, з 22 країн) які покладаються на нас щодо своїх вебдодатків, інформаційної безпеки та управління бізнес-процесами.
Наші клієнти включають підприємців, банки, готелі, авіакомпанії, політичні партії та багато інших галузей. Ми дуже захоплені тим, що робимо, і маємо сильне почуття мети.
Наразі у нас є три офіси: один у США, один у Великій Британії та один в Індії. Також у нас є підприємство в Африці.
Що стосується сертифікацій, ми є золотим сертифікованим партнером Microsoft, CERT-In, а також компанією, сертифікованою за стандартом ISO 27001.”
Чи можете ви поділитися інформацією про ваше рішення використовувати Invicti?
“Ми почали використовувати Invicti у 2013 році з метою автоматизації та пришвидшення нашого процесу вебсканування. Відтоді ми зробили автоматизоване тестування на вразливості частиною нашого регулярного процесу пентесту.
До використання Invicti ми проводили ручне тестування на критичні недоліки та впроваджували веббрандмауери. Однак, оскільки ми керуємо величезною кількістю критично важливих даних клієнтів та конфіденційної інформації, пошук способу зробити наш процес сканування максимально послідовним та надійним був головним пріоритетом.
Ми витратили деякий час на тестування інших сканерів безпеки вебдодатків і виявили, що час налаштування та надійність не зрівнялися з Invicti.”
Що ви можете розповісти нам про ваше поточне використання Invicti?
“Зрозуміло, що після 10 років роботи ми розробили дуже послідовні практики та процедури.
Наразі ми використовуємо Invicti п’ять днів на тиждень і скануємо чотири вебдодатки на мінливій основі. Це складається як з цивільних, так і з урядових застосунків, побудованих на різних вебфреймворках, що працюють на різних типах серверів. Invicti легко справляється з цим різноманіттям.”
Чи виявив Invicti якісь вразливості, про які ви можете розповісти?
“Так! У кількох критичних додатках Invicti зміг знайти як вразливості SQL-ін’єкцій, так і виконання коду – два типи недоліків безпеки, які він дуже добре виявляє.”
Чи мали ви можливість або потребу зателефонувати до служби підтримки клієнтів або відділу продажів? Як вам цей досвід?
“Так, мали, і ми завжди вважали, що обслуговування клієнтів було цілком задовільним – саме те, чого ми очікуємо від такої критично важливої частини нашого бізнесу.”
Якби вам довелося описати Invicti одним реченням, що б ви сказали?
“Invicti – наш улюблений інструмент для сканування великих вебзастосунків, і він чудово знаходить вразливості SQL-ін’єкцій.”
