Галузь: ІТ та телекомунікації
Компанія: RPM Software
Місцезнаходження: Альберта, Канада
Розмір компанії: 11-50 співробітників
Продукт: Invicti Enterprise
“Invicti – це не просто черговий постачальник, у якого ми купуємо програмне забезпечення, вони як бізнес-партнери. Ми довіряємо їхнім продуктам, які добре справляються з підтримкою безпеки наших хмарних платформ, інакше репутація нашого бізнесу могла б бути поставлена під загрозу. І Invicti заслужив таку довіру.”
Jade Ohlhauser
CTO в RPM Software
Про RPM Software
RPM Software розробляє хмарне програмне забезпечення для управління процесами для підприємств, що працюють у таких галузях, як телекомунікації, будівництво, нафтогазові послуги та уряд. Компанія працює з 2001 року та базується в Калгарі, Канада.
Проблеми веббезпеки, з якими зіткнулися RPM Software
Безпека хмарного програмного забезпечення
Як розробник і постачальник хмарного програмного забезпечення, RPM Software відповідає за конфіденційні дані, які їхні клієнти зберігають у своїх рішеннях, тому вони не можуть дозволити собі легковажно ставитися до безпеки вебдодатків, як пояснює Jade Ohlhauser, CTO в RPM Software:
“Весь наш бізнес – це наша платформа, яка залежить від нашої репутації, що базується на надійному зберіганні даних. Якщо ми втратимо довіру наших клієнтів, вся наша здатність працювати буде під загрозою.”
Хіба кожен бізнес не повинен серйозно ставитися до безпеки вебдодатків? Звичайно, хоча виклик для розробників і постачальників хмарного програмного забезпечення набагато більший, ніж здається. Хмарне ПЗ, або, як його також називають, програмне забезпечення як послуга (SaaS), – це набір складних вебдодатків, які доступні клієнтам цілодобово. Тож завдання не таке просте, як сканування одного вебсайту. Потрібне рішення, яке може легко масштабуватися, виявляти всі можливі поверхні атаки та максимально автоматизувати процеси.
Підтримка темпів розробки та зниження витрат
На початку роботи команда RPM Software проводила ручні аудити веббезпеки, а також наймала сторонніх фахівців. Однак, зі зростанням бізнесу, додаванням нових функцій та ускладненням рішень, ситуація легко виходила з-під контролю.
“Ми не могли продовжувати покладатися виключно на ручне тестування на проникнення через нові функції та часті оновлення продуктів. Тому нам потрібне було автоматизоване рішення, яке не стримує розвиток продуктів, але водночас дозволяє нам належним чином тестувати нові функції та вдосконалення, гарантуючи, що вони не матимуть жодних небажаних наслідків для безпеки. Нам також потрібно було почати самостійно проводити аудити веббезпеки. Ми більше не могли покладатися на допомогу сторонніх компаній, оскільки це дорого, і у них є інші клієнти, тому вони не завжди доступні.”
Jade Ohlhauser
CTO в RPM Software
Рішення: масштабований хмарний сканер вебвразливостей
Після оцінки кількох рішень RPM Software зупинилися на Invicti. Спочатку вони використовували Invicti Standard, але згодом перейшли на Invicti Enterprise, оскільки, як пояснює CTO RPM Software: “хмарний акаунт можна використовувати з будь-якої машини та не потрібно керувати локальним програмним забезпеченням”.
Однак не лише простота використання привабила команду RPM Software в Invicti Enterprise.
“Ранжування та детальна інформація про вразливості від Invicti роблять виправлення ефективнішим. Наприклад, Invicti знаходить різні речі в нашій програмі, які позначені як найнижчий рівень загрози. На більшість із них ми не реагуємо, але добре знати, що вони перевіряються, і це знайомить нас з тим, про що ми могли не знати. Коли є серйозніша вразливість, детальні результати тестування та посилання на додаткову інформацію спрощують розв’язання проблем.”
Invicti Enterprise рятує становище
Команда RPM Software використовує найкращі практики розробки та операцій, тому їм ніколи не доводилося мати справу з критичною проблемою. Однак Invicti одного разу виявила вразливість міжсайтового скриптингу на одній зі сторінок у середовищі тестування.
RPM Software показують гарний приклад, адже завжди роблять перевірки як у тестовому середовищі, так і в продакшні. Якби така вразливість потрапила в реальний сервіс, наслідки могли б бути іншими. Краще запобігти, ніж лікувати, і саме це робить RPM Software; сканує свої вебдодатки на наявність вразливостей і підтримує їхню безпеку перед переходом у продакшн, а не має справу з успішною хакерською атакою.
Майбутнє за Invicti Enterprise
RPM Software довіряє точній технології сканування Invicti з 2010 року, і вони не мають наміру змінювати рішення, тому що постачальник заслужив їхню довіру.
