Отрасль: IТ и телекоммуникации
Компания: RPM Software
Местонахождение: Альберта, Канада
Размер компании: 11-50 сотрудников
Продукт: Invicti Enterprise
“Invicti – это не просто очередной поставщик, у которого мы покупаем программное обеспечение, они как бизнес-партнеры. Мы доверяем их продуктам, которые хорошо справляются с обеспечением безопасности наших облачных платформ, иначе репутация нашего бизнеса могла бы быть поставлена под угрозу. И Invicti заслужил такое доверие.”
Jade Ohlhauser
CTO в RPM Software
Про RPM Software
RPM Software разрабатывает облачное программное обеспечение для управления процессами для предприятий, работающих в таких индустриях, как телекоммуникации, строительство, нефтегазовые услуги и правительство. Компания работает с 2001 года и базируется в Калгари, Канада.
Проблемы веб-безопасности, с которыми столкнулись RPM Software
Безопасность облачного программного обеспечения
Как разработчик и поставщик облачного программного обеспечения, RPM Software отвечает за конфиденциальные данные их клиентов, поэтому они не могут позволить себе легкомысленно относиться к безопасности веб-приложений, как объясняет Jade Ohlhauser, CTO в RPM Software:
“Весь наш бизнес – это наша платформа, которая зависит от нашей репутации, основанной на надежном хранении данных. Если мы потеряем доверие наших клиентов, вся наша способность работать будет под угрозой.”
Разве не каждый бизнес должен серьезно относиться к безопасности веб-приложений? Конечно, хотя вызов для разработчиков и поставщиков облачного программного обеспечения гораздо больше, чем кажется. Облачное ПО, или, как его называют, программное обеспечение как услуга (SaaS), – это набор сложных веб-приложений, которые доступны клиентам круглосуточно. Поэтому задача не так проста, как сканирование одного веб-сайта. Необходимо решение, которое может легко масштабироваться, выявлять все возможные поверхности атаки и максимально автоматизировать процессы.
Поддержка темпов разработки и уменьшение трат
В начале работы команда RPM Software проводила ручные аудиты веб-безопасности, а также нанимала сторонних специалистов. Однако с ростом бизнеса, добавлением новых функций и усложнением решений ситуация легко выходила из-под контроля.
“Мы не могли продолжать полагаться исключительно на ручное тестирование на проникновение из-за новых функций и частых обновлений продуктов. Поэтому нам потребовалось автоматизированное решение, которое не сдерживает развитие продуктов, и в то же время позволяет нам должным образом тестировать новые функции и усовершенствования, гарантируя, что они не будут иметь никаких нежелательных последствий для безопасности. Нам также нужно было начать самостоятельно проводить аудиты безопасности. Мы больше не могли полагаться на помощь сторонних компаний, поскольку это дорого, и у них есть другие клиенты, поэтому они не всегда доступны.”
Jade Ohlhauser
CTO в RPM Software
Решение: масштабируемый облачный сканер веб-уязвимостей
После оценки нескольких решений RPM Software остановились на Invicti. Сначала они использовали Invicti Standard, но впоследствии перешли на Invicti Enterprise, поскольку, как объясняет CTO RPM Software: “облачный аккаунт можно использовать с любой машины и не нужно управлять локальным программным обеспечением”.
Однако не только простота использования привлекла команду RPM Software в Invicti Enterprise.
“Ранжировка и подробная информация о найденных уязвимостях от Invicti делают исправления более эффективными. Например, Invicti находит разные вещи в нашей программе, которые обозначены как самый низкий уровень угрозы. На большинство из них мы не реагируем, но хорошо знать, что они проверяются, и это знакомит нас с тем, о чем мы могли не знать. Когда находится более серьезная уязвимость, детальные результаты тестирования и ссылки на дополнительную информацию упрощают решение проблем.”
Invicti Enterprise спасает положение
Команда RPM Software использует лучшие практики разработки и операций, поэтому им никогда не приходилось сталкиваться с критической проблемой. Однако Invicti однажды обнаружила уязвимость межсайтового скриптинга на одной из страниц в среде тестирования.
RPM Software показывают пример, так как всегда проводят проверки как в тестовой среде, так и в продакшне. Если бы такая уязвимость попала в реальный сервис, последствия могли бы быть другими. Лучше предотвратить, чем лечить, и именно это делает RPM Software; сканирует свои веб-приложения на наличие уязвимостей и обеспечивает их безопасность перед переходом в продакшн, а не имеет дело с успешной атакой хакеров.
Будущее за Invicti Enterprise
RPM Software доверяет точной технологии сканирования Invicti с 2010 года, и они не намерены менять решение, потому что поставщик заслужил их доверие.
