SÃO FRANCISCO, Feb. 16, 2016 (GLOBE NEWSWIRE) -- O sucesso contínuo de hackers explorando vulnerabilidades em aplicações móveis, na web e em softwares, uma década após o surgimento do mercado de teste de segurança em aplicações (AST, do inglês application security testing), mostra que ainda há muito aser feito.
Um grupo de detetives cibernéticos de classe mundial da ®buguroo pode ter a resposta: uma nova geração de ferramentas de segurança para aplicações está à altura do desafio dos ataques multiplataforma e da grande escala necessária para testar minuciosamente os mega-apps atuais.
Hoje, a buguroo — uma startup que nasceu do Centro de Operações de Segurança Europeu (SOC, do inglês European Security Operations Center) da Deloitte — está lançando o bugBlast, uma plataforma da próxima geração de segurança de aplicações que unifica diversos tipos de ferramentas de teste de vulnerabilidade com inteligência de segurança ao vivo. Capaz de criar uma visão única e holística de segurança em uma aplicação, ao mesmo tempo que executa em sua própria infraestrutura, o serviço baseado na nuvem bugBlast possui capacidade de testar mega-apps inteiros. Ao correlacionar múltiplos resultados de testes estáticos e dinâmicos de instraestruturas com inteligência de segurança ao vivo a essa grande escala, a buguroo está redefinindo o mercado de AST interativo.
Como parte de sua plataforma de segurança para aplicações, a empresa também anunciou o bugScout, uma ferramenta de teste de segurança de aplicação estática (SAST, do inglês static application security testing) que avança significantemente essa tecnologia de ponta. Projetado como um app para a nuvem, o bugScout elimina uma das maiores limitações das arquiteturas clássicas de SAST — a capacidade de criar modelos completos de apps extremamente pesados em memória.
"Para os hackers, uma vulnerabilidade é uma vulnerabilidade, onde quer que a encontrem, mas até agora, as limitações tecnológicas forçavam o teste de aplicações parte por parte", disse Pablo de la Riva Ferrezuelo, CTO e fundador da buguroo. "Os avanços tecnológicos do bugBlast e do bugScout terminam com as vantagens dos hackers ao permitir que os testes utilizem diferentes ferramentos juntas e ao mesmo tempo, dentro de uma aplicação ou uma plataforma inteira, que é, também, a forma como os hackers atacam."
A plataforma de teste de segurança da buguroo, o bugBlast, é inovadora de diversas formas:
- Projetada por hackers éticos e auditores de cibersegurança, a plataforma automatiza suas melhores práticas próprias e fornece uma única ferramenta para gerenciar todo o processo
- Unifica múltiplos feeds de inteligência e motores de busca em uma plataforma completa de gerenciamento e teste para todos os membros da equipe
- Correlaciona todos os resultados em um único modelo para encontrar mais vulnerabilidades e facilitar a correção eficaz
- Fornece um ambiente comum para auditores e desenvolvedores, baseado em um dashboard altamente visual que favorece a comunicação entre equipes, a eficácia e a segurança em codificação
- Analisa grandes aplicações a altas velocidades com modelos, acabando com as limitações de soluções de teste de arquiteturas derivadas da primeira geração de AST
- Integra ferramentas proprietárias de inteligência para alertas e descobertas ao vivo de novas vulnerabilidades especificamente relevantes à aplicação e à infraestrutura
- Capacidade de teste contínuo e retestagem durante todo o desenvolvimento e todo o ciclo de manutenção de software
- Suporte para múltiplias listas de vulnerabilidade proprietárias e open source, incluindo CWE, OWASP e SANS e outros dados de inteligência da buguroo e de seus clientes
- Fácil aquisição, sem necessidade de equipamento físico, permite rápida instalação
O bugBlast possui outras capacidades as quais são esperadas em uma plataforma de gerenciamento de segurança de ponta, tais como um gerenciador de políticas flexíveis, aprendizagem empírica e algorítmica para continuamente reduzir falsos positivos, integração com outras plataformas ITSEC como SIEM e WAF, um sistema incorporado de emissão de bilhetes, assim como ganchos para integrar com outras soluções de gerenciamento de software e bug tracking, além de uma robusta documentação e um gerador de relatórios.
A nova solução SAST bugScout é projetada para funcionar dentro da plataforma bugBlast ou como uma plataforma independente. Ela possui muitas das tecnologias líderes da indústria presentes no bugBlast, como a capacidade de criar modelos de grandes aplicações inteiras e um motor proprietário rápido que analisa milhões de linhas de código em minutos.
Outras capacidades do bugScout incluem:
- Foco preciso nas linguagens mais perigosos, Java, PHP, .NET e os ecossistemas de aplicações para Android, fornece detecção de vulnerabilidades robusta nas linguagens mais utilizadas
- Menor taxa de falso positivo do mercado, graças à tecnologia de aprendizagem adaptativa e múltiplas opções de configuração
- Software de análise de qualidade embutido utilizando a plataforma aberta SonarQube faz com que as aplicações sejam mais eficientes, confiáveis e resilientes, ao mesmo tempo em que se tornam mais seguras e aumentam a produtividade dos desenvolvedores
- Capacidade de teste contínuo e retestagem durante todo o desenvolvimento e todo o ciclo de manutenção de software
- Suporte para múltiplias listas de vulnerabilidade proprietárias e open source, incluindo CWE, OWASP e SANS e outros dados de inteligência da buguroo e seus clientes
- Fácil aquisição, sem necessidade de equipamento físico, permite rápida instalação
Embora seja uma startup nos EUA, a buguroo possui um histórico de cinco anos na Europa, além de sua tecnologia comprovada em experiências de operações ligadas à segurança. Originalmente, a empresa era uma unidade independente da Deloitte Spain, e a equipe da buguroo de hackers éticos e analistas de cibersegurança trabalhou ao lado de experts da Deloitte Spain para gerenciar o Security Operations Center (SOC) da Deloitte na Europa. Em 2015, a empresa de 50 funcionários desmembrou-se e fechou uma rodada de financiamentos de US$ 3,34 milhões para expandir seu negócio internacionalmente e acelerar o desenvolvimento do roteiro de expansão de seu produto.
Hoje também, a buguroo anunciou o bugThreats, uma plataforma completa de inteligência contra ameaças que torna a análise de operações de segurança empresarial mais efetiva e já tem provado isso em uso em diversas grandes infraestruturas globais, e sua bugFraud Defense, uma solução de próxima geração que fornece detecção de fraudes online e proteção ao vivo de sites sequestrados utilizando ataques do tipo man-in-the-browser ou man-in-the-middle.
A buguroo também fornece serviços técnicos da sua equipe altamente qualificada e profissional de auditores de segurança para auxiliar os clientes com análise e remediação de malware, análise forense e de impacto, recuperação de dados na Dark Web, ataque a botnets e outras técnicas avançadas.
Mais informações acerca da plataforma de segurança de aplicativos da próxima geração bugBlast, e da ferramenta de teste de segurança de aplicação estática (SAST) bugScout, estão disponíveis on-line ou através do email info@buguroo.com.