We're hiring!

Zerocopter - SRDS as a Service

Een fietsenmaker heeft een website, gebouwd door een webbureau. De site staat bij een hoster en die heeft op zijn beurt een rack in een datacenter. Wat kan die fietsenmaker, de eigenaar van de website, doen om dat hele traject veilig te houden?

Na een incident zullen de partijen verzuchten dat voorkomen beter is dan genezen. Maar hoe doe je dat? De kans is groot dat tenminste een partij roept: pentesten! Op dat punt zou iedere deelnemer aan het gesprek moeten roepen: ja maar dat is toch slechts een moment opname. Daarmee is een probleem aangestipt, want buiten de enterprise omgeving is er amper aanbod dat gebaseerd is op (semi-) permanente en betaalbare controle.

Die fictieve case was een van de zaken waar ISP Today over sprak met Edwin van Andel (@Yafsec) van Zerocopter. We kozen Zerocopter omdat die de diensten op een XaaS basis, het cloud model dus, aanbiedt. Scanning as a Service, RD (Responsible Disclosure) a a Service en Research as a Service.

Zerocopter is een klein team dat in Nederland een platform beheert van waaruit de diensten worden aangeboden en daarvoor maakt men gebruik van hackers, researchers en dergelijke uit de hele wereld die zich via ht zelfde plantform kunnen aanmelden. Van Andel en zijn collega’s hacken of pentesten dus niet zelf, zij werven en selecteren mensen die het werk kunnen doen en omdat het om puur online activiteiten gaat is die pool niet beperkt tot Nederland. Van Andel: “We staan open voor deskundigen uit de hele wereld. Niet iedereen trouwens, de keuring is streng want we willen geen rot fruit in de mand.”

“De klant, dat kan iedereen zijn van de fietsenmaker die wil weten hoe veilig zijn website is, via bouwers en webbureaus die de kwaliteit van het werk willen laten testen tot cloud providers en enterprises die het hele netwerk door ons laten uitpluizen. Voor elke van deze partijen geldt de zelfde regel: Je stort op een derde rekening een bedrag en je geeft door aanvinken aan wat je wil laten testen.”

“Voor het echte werk begint voeren wij een scan uit, of de klant doet dat zelf. Daarmee is het echt laaghangende fruit in kaart gebracht. De klant kan dat fixen voordat de testers aan het werk gaan. De uitkomsten van wat zij vinden wordt aan ons gerapporteerd. Wij beoordelen de kwaliteit, zorgen voor een begrijpelijke rapportage en hebben ten alle tijden het contact met de klant. Die kan voor vragen dan ook weer met ons contact opnemen, hij hoeft niet met iemand in een ver land te communiceren.“

“Door het grote aantal personen dat meewerkt aan ons platform kunnen wij een behoorlijke hoeveelheid aanvragen verwerken. En mede daardoor hoeft het niet te stoppen bij die ene scanronde. Zerocopter maakt continuous testing mogelijk en dat is iets dat buiten de enterprise markt amper voorkomt.”

Hebben jullie bewust gekozen voor een cloud model?

“Flexibiliteit is een van onze USP’s. Je neemt af wat je af wil nemen en doet dat voor de periode of omvang die jou het beste uitkomt. Je kunt 1x iets laten doen, maar ook afspreken dat wij periodiek langskomen of dat wij bijvoorbeeld – dat is vooral de vraag van webbureaus – dat wij alles dat je bouwt tijdens de dev en test fase doorgronden, opdat het eindproduct een stuk robuuster is. “

Cloud, dat betekent ook dat je iets kunt testen.

“Klopt! Je kunt beginnen met een 30 dagen trial versie. Je maakt een account aan en noemt de sites of applicaties die getest kunnen worden. Bij reguliere klanten zien we nu al dat zij het als een all-in pakket, soms als een betaalde optie, de eigen klanten aanbieden, inclusief de mogelijkheid van continuous testing.”

Gebruiken deze partijen het niet voor de eigen omgevingen?

“Het platform, maar ook de back-office, van een cloud provider, hoster of bouwer kan ook onder de loep worden genomen. We hebben klanten die om die reden bij ons aankloppen. Zij willen weten hoe ze er zelf voor staan en daarover kunnen communiceren.”

Wat is jullie ambitie?

“Hoewel we een internet company zijn is het hebben van een fysiek point of presence noodzakelijk. Dat we over een jaar ook buiten Groningen en Amsterdam kantoor hebben, in andere landen actief en aanwezig zijn, is iets dat op de agenda staat.”

Original article