Probe.ly, a “sonda” para descomplicar a segurança das aplicações web

A equipa da Probe.ly é liderada por Nuno Loureiro, CEO e fundador (segundo a contar da esquerda).

Em junho, a startup portuguesa Probe.ly lançou um plano gratuito de verificação de segurança virado para as empresas mais pequenas. À Insider, Nuno Loureiro, CEO da Probe.ly, explica que a solução desenvolvida pela empresa quer simplificar as verificações de segurança, que habitualmente envolvem processos mais demorados.  

A startup criou a suite Probe.ly, que disponibiliza um conjunto de verificações que procuram de forma automática por vulnerabilidades de segurança em aplicações web das empresas – daí a lógica de sonda (probe, em inglês). Depois disso, a Probe.ly adopta outra expressão muito particular – “o médico de família das empresas”.

“Somos a sonda, vamos ver se tem problemas, depois aí é que entramos na lógica do médico de família – damos a receita para a cura”, explica Nuno Loureiro. “A nossa solução não é uma solução que previne nada, à partida – é uma solução que identifica problemas e que dá instruções de como resolver esses problemas, depois cabe à empresa atuar”, dependendo do nível de criticidade da vulnerabilidade, refere o CEO da startup.

“O próprio produto dá instruções de como resolver o problema e depois a empresa tem de o resolver – pode testar novamente para ver se ainda existe um problema ou não. Se for resolvido, obviamente que tem um risco menor de a sua empresa ser atacada”, explica Nuno Loureiro.

Uma vez que tem como modelo de negócio uma solução virada para diagnosticar vulnerabilidades em aplicações web, a empresa tem bem definido o seu alvo de mercado: as organizações que disponibilizam serviços SaaS – software as a service. “Qualquer empresa que tenha um modelo de negócio estilo SaaS é uma empresa que está a fornecer aos seus clientes através de uma aplicação web, fazem a autenticação e depois têm o serviço através da aplicação – esse é o caso normal ou o caso mais comum”, indica Nuno Loureiro. “O nosso maior foco é precisamente nesse tipo de empresas, são empresas que prestam um serviço online. A aplicação web acaba por ser a coisa mais valiosa que têm, portanto faz sentido que queiram que essa aplicação esteja segura”.

Com o lançamento de uma versão gratuita, virada para as empresas mais pequenas, que habitualmente têm um orçamento reduzido para a segurança e testes de vulnerabilidades, a Probe.ly fala quase num processo de democratização do acesso à cibersegurança. “Este plano gratuito detecta menos de 10% do total do tipo de vulnerabilidades que encontramos na nossa solução paga, portanto é uma forma de começar. É algo mais do que ‘dar um cheirinho’, porque quando um hacker olha para uma aplicação e vê a forma como está feita, se ele tiver indícios de que a empresa teve preocupações com a segurança, se ele vir lá vestígios de que a segurança foi tida em consideração vai-se aperceber de que, provavelmente, vai ser um site mais difícil de atacar”, refere Nuno Loureiro.

“O nosso plano gratuito dá esse “cheirinho” no sentido de poder demonstrar que se preocupam com a segurança – e isso pode afastar alguns potenciais atacantes.

“Queremos tornar, não só a segurança aplicacional [mais eficaz], mas queremos fazer testes de segurança cada vez mais eficientes e que sejam cada vez mais fáceis de serem corrigidos”, indica o CEO e fundador da startup, fazendo o contraponto com os habituais testes, feitos de forma manual, que são mais dispendiosos para as empresas, além de demorados.

“Não é só o custo do teste, é também o tempo despendido, que gasta muitos recursos da empresa para lidar com os resultados. Nós, com esta ferramenta automática, não só resolvemos o problema do orçamento e do preço inicial como também resolvemos este tempo que é gasto para resolver os problemas”, reforça Nuno Loureiro.

“Além disso, é uma interface que é muito simples, quando se clica numa vulnerabilidade detetada, dá para ver indicações de como corrigir, quando o programador corrige há um botão para testar se a correcção está bem feita e que dá a correcção automática. Todo este processo é mais eficiente”, contrastando com o processo habitual de testes manuais.

“O problema é que, hoje em dia, com os métodos ágeis de desenvolvimento de software, onde há muitas releases novas de software, se eu fizer estes testes uma vez por ano, só está a ser testada para uma versão. E podem estar a introduzir uma vulnerabilidade nova, que provavelmente só será descoberta passado um ano. E como a Probe.ly introduz estes testes mais automáticos, permite que as empresas façam este teste de uma forma contínua, somos complementares ao teste [manual].

Nuno Loureiro sublinha a lógica de complementaridade: “não achamos que seja indicado substituir pen-testing, testes manuais, por testes automáticos. A mente humana encontra coisas que um programa automático não consegue encontrar. Não achamos que conseguimos substituir estes testes manuais, mas somos complementares na lógica de continuidade, que é muito importante nos tempos que correm, por o desenvolvimento de software ser mais ágil”.

“No caso das empresas mais pequenas, que nem têm dinheiro para pen-test, acreditamos que têm um proveito muito maior do Probe.ly. de e não de substituição dos testes manuais”, conclui Nuno Loureiro, acrescentando que já houve “um número alargado” de empresas que aderiram à solução gratuita da Probe.ly, sendo que “a maioria é portuguesa”.