Opis projektu: Jeden z naszych projektów to CakeFuzzer – projekt mający na celu pomóc w automatycznym i ciągłym wykrywaniu luk w aplikacjach internetowych stworzonych w oparciu o framework Cake PHP z bardzo ograniczoną liczbą fałszywych alarmów.
Typowe podejścia do wykrywania luk w zabezpieczeniach za pomocą zautomatyzowanych narzędzi w aplikacjach internetowych to:
– Static Application Security Testing (SAST) – metoda wykorzystująca skaner wykrywający podatności na podstawie kodu źródłowego bez uruchamiania aplikacji;
– Dynamiczne testowanie bezpieczeństwa aplikacji (DAST) — metoda obejmująca skaner podatności, który atakuje działającą aplikację i identyfikuje luki w zabezpieczeniach na podstawie odpowiedzi aplikacji.
Obie metody mają wady. SAST skutkuje wysokim odsetkiem fałszywych alarmów – wyników, które albo nie są lukami w zabezpieczeniach, albo podatnościami, których nie można wykorzystać. DAST powoduje mniej fałszywych alarmów, ale wykrywa mniej podatności ze względu na ograniczone informacje. Metoda ta wymaga również od osoby przeprowadzającej skanowanie pewnej wiedzy na temat aplikacji i cyberbezpieczeństwa. Często wiąże się to z niestandardową konfiguracją skanowania aplikacji.
Projekt Cake Fuzzer ma na celu połączenie zalet obu podejść i wyeliminowanie wyżej wymienionych wad. Takie podejście nosi nazwę Interactive Application Security Testing (IAST). Obecnie istnieje tylko kilka rozwiązań implementujących podejście IAST, natomiast żadne z nich nie koncentruje się na CakePHP i innych frameworkach PHP.
Branża / kategoria: informatyka
Rok powstania: 2017
Skąd pomysł: Założyciel firmy i pomysłodawca projektu Cake Fuzzer – Dawid, zdobywając doświadczenie w ocenie bezpieczeństwa oprogramowania i sprzętu dla przemysłu militarnego, fin-tech, startupów, projektów open-source, banków oraz podmiotów państwowych, zauważył, że cyberbezpieczeństwo jest ogromnym problemem zarówno dla małych, jak i dużych organizacji. Dodatkowo oferowane przez firmy usługi cyberbezpieczeństwa często są niskiej jakości. Stąd też pomysł stworzenia firmy, która wypełniłaby tę lukę na rynku i świadczyła wysokiej jakości usługi z zakresu cyberbezpieczeństwa rozwijając jednocześnie nowe, innowacyjne projekty w tym obszarze.
Dla kogo: Organizacje militarne, startupy technologiczne, firmy typu SaaS, oraz software housy.
Finansowanie: środki własne
Model biznesowy: sprzedaż produktu lub usługi
Pomysłodawcy projektu: Założycielem projektu jest Dawid Czarnecki, który doświadczenie zdobywał między innymi jako starszy tester penetracyjny w NATO Cyber Security Center, gdzie wykonywał testy penetracyjne aplikacji, systemów i infrastruktury sieciowej w państwach członkowskich NATO. Dawid posiada szereg renomowanych certyfikatów branżowych, w tym Offensive Security Certified Professional (OSCP), GIAC Certified Incident Handler oraz GIAC Certified Web Application Defender. Jest również członkiem Rady Doradczej GIAC.
W 2019 roku został finalistą SANS NetWars – zajął 3 miejsce w turnieju SANS Core NetWars podczas Pen Test Hackfest Summit w Berlinie. Jako ekspert opracowuje zadania i testy kompetencji dla specjalistów od cyberbezpieczeństwa, biorąc udział w turniejach hakerskich Capture the Flag. Ten unikalny zestaw umiejętności pozwala mu podejść do cyberbezpieczeństwa z dwóch perspektyw – twórców zabezpieczeń i potencjalnego hakera. Dzięki swojej wiedzy Zigrin może zaoferować swoim klientom właściwą ocenę rzeczywistych zagrożeń dla ich systemów informatycznych oraz skuteczne środki zaradcze.
Konkurencja: Firmy rozwijające projekty w oparciu o metodę IAST oraz oferujące jakościowe usługi cybersecurity.
Rynki: globalny
Najbliższe cele: Stworzenie zautomatyzowanego procesu wykrywania podatności w aplikacjach w oparciu o CakePHP Framework z minimalną lub bliską zeru liczbą fałszywych trafień oraz wymagającego minimalnej wiedzy na temat bezpieczeństwa do uruchomienia skanera.
Zespół: 2-5 pracowników
Lokalizacja: Poznań (wielkopolskie)