Seguridad para DevOps: cofundador Michael Borohovski sobre cómo Tinfoil Security está haciendo que Internet sea más seguro, un negocio a la vez

TL; DR: Tinfoil Security proporciona a las empresas defensa de seguridad de primera línea a través de herramientas amigables para desarrolladores diseñadas para encajar perfectamente en el proceso DevOps. El servicio ayuda a aumentar la eficiencia, mantener seguros los datos de los clientes y hacer que el trabajo de los profesionales de seguridad sea más gratificante. Con un nuevo escáner creado desde cero para detectar vulnerabilidades en cualquier API, Tinfoil Security está ayudando a dar forma al futuro de la seguridad en línea.


Si te encuentras en una convención de seguridad popular, como DEF CON o RSA, en el corto plazo, no te alarmes si te topas con un grupo amigable de personas que lucen sombreros de papel de aluminio brillante. En lugar de teóricos de la conspiración plagados de paranoia, es probable que sean miembros del personal y fanáticos de Tinfoil Security.

La compañía, que permite a los desarrolladores escanear sitios en busca de vulnerabilidades y encontrar rápidamente resoluciones, es conocida por su capacidad para proteger a los usuarios de las amenazas en línea. Y, al igual que los sombreros de aluminio proporcionan un toque de fantasía en los eventos de la conferencia, Tinfoil Security completa sus soluciones de mitigación de seguridad en línea con un enfoque de servicio abierto y útil.

Michael Borohovski, cofundador y director de tecnología de Tinfoil Security, y el logotipo de Tinfoil Security

Michael Borohovski, cofundador & CTO, nos dio la primicia sobre cómo Tinfoil Security ayuda a desviar las amenazas en línea.

“Tratamos de ser lo más amigables posible con los desarrolladores, en lugar de ser una empresa aterradora que los piratas informáticos están a punto de atacar que vende por miedo”, dijo Michael Borohovski, cofundador & CTO en Tinfoil Security. “En cambio, nos enfocamos en crear productos simples y utilizables y proporcionar la mejor seguridad en el mercado”.

Respaldada por un equipo de expertos con amplios antecedentes en seguridad en muchas organizaciones, la compañía ofrece a los desarrolladores la primera línea de defensa de seguridad a través de herramientas que se integran perfectamente en los procesos de desarrollo y DevOps. La idea es aumentar la eficiencia para mantener seguros los datos de los clientes y el talento de seguridad interna centrado en los problemas que importan. Con el reciente lanzamiento de una nueva herramienta creada específicamente para detectar vulnerabilidades en las API, Tinfoil está ayudando a los desarrolladores y profesionales de la seguridad a mantenerse al día con un panorama de riesgos en constante cambio..

La primera línea de seguridad en el proceso de desarrollo

Michael nos dijo que desarrolló Tinfoil Security junto con el cofundador y CEO Ainsley Braun. En ese momento, el dúo, ambos recién graduados del MIT, trabajaban en el área de DC. Michael se centró en la seguridad del software para la comunidad de inteligencia en las áreas de descubrimiento de vulnerabilidades, desarrollo de exploits y explotación de armas; Ainsley trabajó para Booz Allen Hamilton, proporcionando diseño de UI / UX y consultoría de seguridad para el Departamento de Defensa y el Ejército de los EE. UU..

“Quizás no éramos los usuarios más habituales de sitios web o aplicaciones, por lo que seguimos encontrando vulnerabilidades constantemente en las empresas con las que trabajábamos todos los días”, dijo Michael. “Y cada vez que los divulgábamos, había un inevitable ir y venir donde las compañías decían” OK, creemos que lo arreglamos “, y en realidad no lo hicieron”.

Finalmente, Michael dijo que las habilidades de él y Ainsley resultaron en múltiples ofertas de trabajo. El dúo fundó Tinfoil Security en 2011 después de que ese patrón continuara, lo que indica una clara oportunidad de mercado.

Según Michael, Tinfoil Security se centró en las pymes durante los primeros cinco años. Hace aproximadamente tres años, la compañía cambió su enfoque a los clientes empresariales, incluidos muchos de los Fortune 100 y Fortune 500. Sin embargo, todavía atiende a unos 30,000 clientes SMB mensualmente, de forma gratuita o con precios relativamente bajos..

Michael y Ainsley tomaron la decisión consciente de no deshacerse de su negocio de pymes. Mantenerlos a bordo significa que la compañía tiene una base de prueba de aplicaciones mucho más amplia para detectar vulnerabilidades, haciendo que todos estén más seguros. También ayuda a la empresa a mantener su enfoque orientado a la comunidad..

“Nuestro lema es” Hacer que Internet sea más seguro, un negocio a la vez “, ya sea una pequeña empresa o una gran empresa”, dijo Michael.

Detecte vulnerabilidades en cualquier API con Tinfoil Security API Scanner

El explorador de aplicaciones web insignia de Tinfoil Security revisa las aplicaciones web para más de 60 clasificaciones de vulnerabilidades, incluido el Top 10 de Open Web Application Security Project, una lista de los riesgos de seguridad de aplicaciones web más críticos (según lo acordado por un panel de expertos mundiales en seguridad).

Además de su Escáner de aplicaciones web, Tinfoil Security presentó recientemente su nuevo Escáner de API, capaz de detectar vulnerabilidades en cualquier API, desde dispositivos conectados a la web como servidores de back-end móviles y dispositivos IoT a API RESTful.

Miembros del equipo de Tinfoil Security en una conferencia

A menudo se puede encontrar al equipo de seguridad de Tinfoil luciendo su casco de marca registrada en eventos de la industria.

Michael dijo que las preocupaciones de seguridad para una API varían enormemente de las de las aplicaciones web. “Nuestro escáner de API busca vulnerabilidades específicamente en las API, ya sea un dispositivo IoT, una aplicación web, una aplicación móvil o cualquier cosa con conexión a Internet que no tenga una interfaz web”, dijo. “Fue construido desde cero para centrarse en las API y las vulnerabilidades específicas de la API; no diseñamos un escáner de aplicaciones web para manejar las API a medias, que es lo que está haciendo gran parte de nuestra competencia”, dijo Michael.

Con ese fin, Tinfoil Security es una de las únicas empresas que actualmente puede detectar vulnerabilidades centradas en problemas de autorización y control de acceso. Otro diferenciador, dijo Michael, es la integración perfecta del producto dentro de los procesos existentes de los desarrolladores. El proceso es rápido, menos de un minuto, en promedio, lo que facilita la integración en la tubería de desarrollo.

“Nos consideramos” Seguridad para DevOps “, dijo. “Nos aseguramos de que el desarrollador pueda encontrar y corregir vulnerabilidades sin tener que salir de su flujo de trabajo existente. Ya tienen pruebas unitarias, pruebas de integración, etc., no hay ninguna razón por la cual, como parte de ese proceso continuo de integración, tampoco deberían tener pruebas de seguridad. Ahí es donde entra Tinfoil Security “.

Retenga el talento de seguridad, aumente la eficiencia y mantenga seguros a los clientes

En general, Michael dijo que muchas empresas emplean equipos masivos de desarrolladores respaldados por equipos de seguridad considerablemente más pequeños que luchan para hacer frente al ritmo creciente del desarrollo tecnológico..

“Casi todos se mudaron a la implementación una vez al día, a veces varias veces al día; si eres Netflix, es una vez cada dos minutos”, dijo. “Los equipos de seguridad impulsados ​​por procesos manuales simplemente no pueden mantenerse al día. Nuestro objetivo es automatizar la mayor parte del proceso de seguridad posible y ponerlo en manos de los desarrolladores para que los equipos de seguridad puedan centrarse en el panorama general “.

La automatización también ayuda a las empresas a comercializar productos más rápidamente. Por ejemplo, Michael nos dijo que Tinfoil Security ha ayudado a uno de sus clientes a reducir su cronograma de implementación de nueve meses a tres meses. Esa es una reducción del 66% en el tiempo entre el desarrollo de la aplicación y cuando llega a los clientes.

“Normalmente, los desarrolladores construirán una aplicación, la enviarán al equipo de seguridad y el equipo de seguridad tardará aproximadamente una semana en evaluarla”, dijo. “Luego volverán con un montón de vulnerabilidades, momento en el cual los desarrolladores ya han creado nuevas funciones. Arreglarán algunas de esas vulnerabilidades, crearán otras y avanzarán y retrocederán “.

Tinfoil Security tiene como objetivo acortar ese ciclo de retroalimentación a través de la automatización. La intención no es eliminar el trabajo realizado por humanos, sino garantizar que para cuando una aplicación llegue al equipo de seguridad, haya menos vulnerabilidades que encontrar. “Nunca afirmaré que nuestro sistema automatizado será tan perfecto como un humano”, dijo Michael. “Si alguien lo hace, deberías correr lejos, muy lejos. Los humanos tienen ingenio que las computadoras aún no tienen “.

Al final del día, el sistema puede ayudar a mejorar las tasas de retención de empleados. En lugar de centrarse en las amenazas más comunes de forma repetitiva, las soluciones de Tinfoil Security liberan a los analistas de vulnerabilidades para centrarse en tareas más desafiantes y gratificantes..

Mirando hacia el futuro: reinventando el futuro de la seguridad

Michael finalmente imagina un futuro en el que los desarrolladores estén facultados para identificar y corregir vulnerabilidades como lo harían con cualquier otro error de seguridad. “Al final del día, una vulnerabilidad es un error con consecuencias más graves”, dijo. “Veo profesionales con mentalidad de seguridad integrados en cada equipo de desarrollo, como parte del proceso de desarrollo, en lugar de la etapa después de la finalización”.

También predice que 2019 será el año en que las vulnerabilidades de la API ocuparán un lugar central. Si bien ha habido una serie de infracciones de aplicaciones web de alto impacto, las infracciones importantes de API no se han convertido en algo común. “Sospecho que este es el año”, dijo Michael, y agregó que el escáner API de la compañía está listo para revolucionar la forma en que la gente piensa sobre la seguridad..

En 2005, un grupo de investigadores del MIT investigó la efectividad de los cascos de aluminio en el bloqueo de señales de radio invasivas. Resulta que los sombreros brillantes no protegen a los usuarios contra las señales; de hecho, amplifican ciertas frecuencias. Afortunadamente, las compañías como Tinfoil Security existen para servir como alternativas prácticas y efectivas a los cascos improvisados..

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Adblock
    detector