Domaći startap Trickest brine o ‘cyber’ bezbednosti kompanija kao što su PayPal, Spotify i AirBnB

Platforma koja nosi naziv Trickest Hive, kako otkrivaju Nenad Zarić i Mihailo Tomić, kompanijama (ali i samostalnim pojedincima) će omogućiti da kreiraju i automatizuju dinamične bezbednosne procese rada kako bi testirali svoje sisteme i detektovali probleme u okviru svojih mreža.

Inicijalna ideja za ovaj proizvod, prisećaju se Nenad i Mihailo, došla je od Nenadove potrebe za automatizacijom penetration testing-a, inspirisana njegovim svakodnevnim penetration testing/bug bounty hunting poslom. Nenad objašnjava:

Prvi prototip je nastao početkom 2018. Potom, uviđajući kompleksnost i benefite potencijalnog proizvoda, priključuje se i Mihailo. Kako su obim i mogućnosti proizvoda rasli, početkom 2019. dolazimo do slike o komercijalizaciji i spremamo formiranje startapa. U istoj godini se priključuju i novi ljudi – i nakon nekoliko meseci dolazimo do zvaničnog osnivanja startupa krajem aprila ove godine.

Trickest u ovom trenutku broji osmoro ljudi (uključujući inženjerski, dizajnerski i biznis deo), a u nastavku teksta sa njegovim osnivačima pričamo o samom proizvodu i planovima za budućnost.

Korisnici Trickest Hive platforme moći će da imitiraju realne ‘cyber’ napade

U nastavku razgovora Mihailo nam je otkrio više detalja o web platformi koju razvijaju a koja je, kao što smo spomenuli, namenjena za automatizovano sprovođenje penetration testing-a:

Taj testing vrši se kroz povezivanje neograničenog broja alata (nalik grafovima), uključujući sisteme za reporting/analitiku podataka i on-click dobijanje computing resursa (AWS/GCP/DO). Alati koje koristimo su kreirani od strane hacking/penetration testing community-a, tako da korisnici naše platforme mogu da “imitiraju” realne napade i sprovode periodične provere u kontrolisanom okruženju.

Trickest Hive, dodaje Nenad, namenjen je cybersecurity profesionalcima, pre svega penetration testerima koji rade samostalno ili su zaposleni u kompanijama, kao i bug bounty hunter-ima. “U skladu sa tim, postojaće tri verzije proizvoda: community (besplatna verzija), professional i enterprise”, objašnjava on i dodaje:

Enterprise verzija će biti prilagođena potrebama same kompanije i imaće funkcionalnosti koje omogućavaju kolaboraciju članova tima. Uzimajući u obzir mogućnosti alata koje integrišemo, kao i činjenicu da se oni koriste u “bug bounty” programima, gde se nalazi mnogo Fortune 500 kompanija, naš proizvod je adaptivan za globalne tehnološke lidere. Do sad smo imali prilike da sarađujemo sa klijentima iz Azije kao i sa nekoliko klijenata iz Evrope.

U skladu sa potrebama klijenata, dodaje njegov kolega Mihailo, oformiće i pricing model koji će biti baziran na licencama uz mogućnost kupovine dodatnih computing resursa namenjenih za proširivanje obima i brzine izvršavanja penetration testing workflow-a.

Saradnja sa svetski poznatim kompanijama ovom timu otkrila je kako funkcionišu njihovi ‘security’ timovi

Gledajući na cybersecurity industriju koja se poslednjih godina jako brzo razvija, naši sagovornici kažu da se trude da se diferenciraju od konkurencije koja razvija slične proizvode. “Prvenstveno smo fokusirani na offensive security, što u prevodu znači: napad kao odbrana i smatramo da je ovaj termin ključan u odbrani protiv malicioznih korisnika i hakera”, objašnjava Nenad:

Trenutno postoji jako mali broj proizvoda koji u svom biznis modelu podrazumevaju i individualne korisnike (njih oko 500.000), a što se tiče ofanzivnih enterprise rešenja još uvek nismo našli konkurentsko rešenje koje pruža toliku slobodu i mogućnost pravljenja scanner-a kombinacijom open source alata.

Ovaj tim i njihov proizvod, iako mladi, već su postigli veliki uspeh radeći sa brendovima kao što su Spotify, PayPal i AirBnb, a osnivači su nam otkrili više detalja o saradnjama sa ovim kompanijama:

Saradnje su nastale putem “bug bounty” platformi, gde smo u direktnoj komunikaciji sa security timovima kompanija kojima nalazimo propuste. Komunikacija sa njima je odlična, i jako smo zadovoljni ažurnošću i profesionalizmom ljudi koji rade u njima.

Napretkom proizvoda i uključivanjem ljudi sa različitim veštinama, uspeli smo da pronađemo propuste u kompanijama Razer, Playstation, Uber, Yahoo. Glavni benefit je duboko upoznavanje načina na koji funkcionišu security timovi velikih kompanija i koliku vrednost donosi crowd-sourced penetration testing.

Njihovo rešenje, kao što smo spomenuli, prepoznao je i fond ICT Hub Venture sa kojim, otkrivaju nam osnivači Trickesta, zvanično sarađuju od aprila. “Plan koji smo napravili 2019. godine podrazumeva alokaciju najvećeg dela sredstava na razvoj proizvoda u inicijalnoj fazi. Trenutno razgovaramo sa nekoliko klijenata i plan je da se u prvih šest do dvanaest meseci ponudi alpha verzija, spremna za testiranje od strane prvih individualnih i enterprise korisnika”, otkriva Nenad.

Cilj je da ta verzija ispunjava sve njihove kriterijume, kao i security standarde, a ovaj tim će u međuvremenu nastaviti da se fokusira na dalji razvoj proizvoda i rešava izazove vezane za kreiranje samog rešenja. Mihailo dodaje:

Uzimajući u obzir da za razvoj koristimo samo open source tehnologije, potrebno je da smislimo kreativna rešenja, što podrazumeva duboko poznavanje same tehnologije. Takođe, skalabilnost za nas predstavlja jedan od najvećih izazova, jer platforma mora da garantuje stabilnost za 1 i za 1000 korisnika u svakom trenutku.

Offensive security je budućnost ove oblasti, iako kompanije i dalje ne veruju hakerima

Kada smo naše sagovornike upitali kakva je budućnost cyber bezbednosti, njihov jednoglasan odgovor glasio je offensive security:

Ovaj deo industrije očekuje eksponencijalan rast, što možemo videti sa bug bounty platformama (Hackerone, BugCrowd, Synack itd.), pa čak i derivate nastale iz njih (Detectify). Istovremeno, smatramo da je razlog nerazvijenosti offensive security-a manjak poverenja između hakera i kompanija, za koje je potrebno vreme i promena mindseta, kao i zaključak da hakeri ne moraju uvek da budu zli i loši.

Trickest Hive, dodaju oni, pružiće mogućnost deljenja informacija/alata/workflow-a kroz platformu i na taj način izgraditi sinergiju znanja, uključujući i community i kompanije. Pored toga, dodaju naši sagovornici, u godinama koje dolaze očekuju i ekspanziju IoT uređaja, koji će u nekom trenutku ući u naše domove (kao i u automobile):

Cybersecurity će biti ključan za očuvanje privatnosti i sigurnosti, a odgovornost će se preći iz kompanija na i “obične“ ljude (korisnike). Trenutno, u ovoj industriji postoji potražnja za oko četiri miliona profesionalaca, i smatramo da će Hive pomoći i približiti cybersecurity i penetration testing polaznicima, koje ova oblast interesuje.

Što se Trickest tima tiče, pred njima se nalazi početak korisničkog testiranja krajem ove godine, a public release u prvom kvartalu sledeće. “Sa korisnicima ćemo najbolje sagledati tržišne potrebe, iako već postoje ideje za nove Trickest proizvode, poput automatskog scanner-a, napredne analitike i predikcije kroz machine learning”, navodi Nenad, a Mihailo za kraj dodaje:

Što se tiče tržišta, cilj je da nastupimo globalno i da dođemo direktno do Fortune 500 kompanija – jer su upravo njihovi cybersecurity problemi bili inspiracija za Hive. Naš tim se sastoji od talentovanih, vrednih i kreativnih ljudi. Nameravamo da takve vrednosti zadržimo pri uključivanju novih i verujemo da sa njima možemo ostvariti sve što zajedno zamislimo.