ProfitKeeper Web Uygulama Güvenliğini Netsparker ile Otomatize Ediyor

Invicti Security Team - 08 Ekim 2017 -

Bu yazımızda Profit Keeper’ın IT Ninja’sı olarak tanınan Tom Mallory’nin Netsparker ile tanışma hikayesine yer verdik. Mallory, neden Netsparker’ı seçti ve bu gelişmeden sonra hayatı nasıl değişti?

ProfitKeeper Web Uygulama Güvenliğini Netsparker ile Otomatize Ediyor

ProfitKeeper Logo

Profit Keeper, Franchise veren firmaların karlılık oranlarını arttırması konusunda danışmanlık hizmeti veren bir firmadır. Aşağıda yer alan röportaj Profit Keeper’ın IT Ninja’sı olarak tanınan Tom Mallory’nin Netsparker ile tanışma hikayesini barındırır. Mallory, neden Netsparker’ı seçti ve bu gelişmeden sonra hayatı nasıl değişti?


ProfitKeeper ve Şirketteki Rolünüz Hakkında Bize Neler Söyleyebilirsiniz?

Siz de eğer benim gibi birçok siber güvenlik yeteneğini temsil eden şapkayı aynı anda takıyorsanız, sanırım, kendinizi IT Ninja tabiri dışında başka bir ifadeyle tanıtmanız mümkün değil. Öyle değil mi?

Franchise veren yerlere kârlarını artırma konusunda yardım eden ProfitKeeper, 13 yıldan fazla bir süredir faaliyet göstermektedir. Çok büyük, yerleşmiş franchise’lara hizmet vermemize rağmen, boyutu ne olursa olsun tüm partnerlerimize özel bir hizmet sağlamaktan dolayı kendimizle gurur duyuyoruz.

Teknik açıdan bakacak olursak, çalıştığımız veri tipinden dolayı Finans / Mantıksal Analiz sektöründe iş yürütmekteyiz. Sadece sağladığımız verileri kullanarak gelişme sağlayan değil aynı zamanda bu verileri güvende tuttuğumuzdan ötürü bize itimat eden müşterilerimiz var. Veri güvenliği özellikle bizim işimizde gerçekten çok önemli.

Sizi Netsparker Web Uygulaması Güvenlik Tarayıcısını Denemeye İten Sebep Nedir?

Netsparker’ı yaklaşık bir yıldır kullanıyoruz. Ve şunu belirteyim, ilk kez Netsparker ile otomatize bir web uygulaması güvenlik tarayıcısı kullanmaya başladık.

Tarayıcının, çekici gelen en büyük noktası -en azından ilk başlarda- hakkında yapılan olumlu yorumlardı. Netsparker’ın hizmet verdiği müşterilerin her biri konularında uzman; ayrı dünya markaları. Ve bu markaların kapasiteleri hayran olunmayacak gibi değil. İster inanın ister inanmayın, Netsparker’ı kullanmaya başlamadan önce tüm testlerimizi manuel olarak yapıyorduk. Emin olun, Netsparker’ı deneyene kadar, otomatize bir web uygulaması güvenlik tarayıcısının emek ve zaman açısından sağladığı tasarrufu hayal bile edemezdik. Denedikten sonra ise manuel süreçlere geri dönmek hiç akılcı gelmedi.

İlk kez Netsparker’ı kullanmaya başlama fikrinde etkili olan en büyük faktör, verilerin güvende olduğundan emin olmak için elimizden gelen her şeyi yapmamız gerektiğini düşünmemiz oldu. Hem kişisel olarak tanımlanabilen bilgi hem de finansal risk nedeniyle, bir bilgisayar korsanının kritik bilgilere erişme yollarını sürekli olarak asgari düzeyde tutmanın önemini zaten kavramıştık.

Güvenlik Zafiyetlerinin Sayısını Azaltmanızda Netsparker Size Nasıl Yardımcı Oldu?

Siz de biliyorsunuz ki manuel sızma testleri gerçekten çok efor gerektiren süreçler. Netsparker bu konuda bize sadece hız kazandırmakla kalmadı, üstüne, yaptığımız işin kalitesini de artırdı. Netsparker ve barındırdığı otomasyon, güvenli web uygulamaları inşa ederken süreçlerimizi olabildiğince verimli kıldı.

Bilhassa bir özellik var ki, insan hatası ihtimallerini önemli ölçüde azaltmamıza büyük yardımı dokundu. Tespit edilen güvenlik açıklarını otomatik olarak doğrulayan Proof-Based (Kanıt Tabanlı) Tarama Teknolojisinden bahsediyorum. Bu özellik benim için gerçekten hayat kurtarıcı bir özellik. Çünkü bu sayede bulunan tüm zafiyetleri repro etmeyi bilmeme gerek kalmıyor.

Kendi uygulamalarımızdaki bulgular hususunda şunu söyleyebilirim: Kodumuzun güvenlik açıkları bakımından temiz olduğunu bilmemize rağmen, Netsparker sayesinde, bunu teyit etmiş olduk. Ayrıca Netsparker, SQL Injection gibi güvenlik problemlerine neden olabilecek potansiyeldeki kod bölümlerini de bize göstererek önemli bir fayda sağlamış oldu.

Netsparker’ın gözden kaçan bir diğer faydası ise güvenlik açıkları bakımından potansiyele sahip alanları fark etmenize imkan vermesi.