Sumeru Solutions – кейс Invicti

Отрасль: IT и телекоммуникации

Компания: Sumeru Solutions

Местонахождение: Бангалор, Карнатака, Индия

Размер компании: 201-500 сотрудников

“Нам нравится Invicti не только потому, что его можно оперативно настроить, но и потому, что само сканирование выполняется быстро, надежно и без лишних ошибочных срабатываний (что само по себе значительно экономит время).”

Сканирование веб-приложений в больших масштабах, пожалуй, является одной из самых сложных задач для любого специалиста по безопасности. Это интервью с ведущим пентестером Sumeru объясняет, почему он выбрал Invicti среди других решений для управления, автоматизации и ускорения сканирования безопасности веб-сайтов своих клиентов.

Можете ли вы немного рассказать нам о Sumeru Solutions и вашей роли в компании?

“Конечно, я аналитик по информационной безопасности в Sumeru. Мы работаем в сфере информационно-технологических услуг более десяти лет. На самом деле мы начинали с малого количества людей – всего 3-4 человека, которые создавали отличное программное обеспечение.

Сейчас у нас есть клиенты по всему миру (точнее, из 22 стран) которые полагаются на нас относительно своих веб-приложений, информационной безопасности и управления бизнес-процессами.

Наши клиенты включают предпринимателей, банки, гостиницы, авиакомпании, политические партии и многие другие отрасли. Мы очень увлечены тем, что делаем и имеем сильное чувство цели.

Сейчас у нас есть три офиса: один в США, один в Великобритании и один в Индии. Также у нас есть предприятие в Африке.

Что касается сертификаций, мы являемся золотым сертифицированным партнером Microsoft, CERT-In, а также компанией, сертифицированной по стандарту ISO 27001.”

Можете ли вы поделиться информацией о вашем решении использовать Invicti?

“Мы начали использовать Invicti в 2013 году для автоматизации и ускорения нашего процесса веб-сканирования. С тех пор мы сделали автоматизированное тестирование на уязвимости частью нашего регулярного процесса пентеста.”

Перед использованием Invicti мы проводили ручное тестирование на критические недостатки и внедряли веб-брандмауэры. Однако поскольку мы управляем огромным количеством критически важных данных клиентов и конфиденциальной информации, поиск способа сделать наш процесс сканирования максимально последовательным и надежным был главным приоритетом.

Мы потратили некоторое время на тестирование других сканеров безопасности веб-приложений и обнаружили, что время настройки и надежность не сравнились с Invicti.”

Что вы можете рассказать нам о вашем текущем использовании Invicti?

“Понятно, что после 10 лет работы мы разработали очень последовательные практики и процедуры.

Сейчас мы используем Invicti пять дней в неделю и сканируем четыре веб-приложения на изменчивой основе. Это состоит как из гражданских, так и из правительственных приложений, построенных на разных вебфреймворках, работающих на разных типах серверов. Invicti легко справляется с этим разнообразием.”

Обнаружил ли Invicti какие-нибудь уязвимости, о которых вы можете рассказать?

“Да! В нескольких критических приложениях Invicti смог найти как уязвимости SQL-инъекций, так и выполнение кода – два типа недостатков безопасности, которые он очень хорошо обнаруживает.”

Имели ли вы возможность или потребность позвонить в службу поддержки клиентов или отдел продаж? Как вам этот опыт?

“Да, имели, и мы всегда считали, что обслуживание клиентов было вполне удовлетворительным – именно то, чего мы ожидаем от такой критически важной части нашего бизнеса.”