Bazen en başarılı başlangıç fikirleri, kendi ihtiyaçlarını çözmek için araçlar geliştiren insanlardan gelir. Daf adında bir güvenlik uzmanı olan Dafydd Stuttard’ın durumu da böyleydi.
Yaklaşık yirmi yıl önce, İngiltere’nin kuzeybatısındaki Cheshire’daki küçük pazar kasabası Knutsford’da yaşayan Daf, farklı müşteriler için güvenlik danışmanı olarak çalışıyordu.
Bir yandan da işinin daha rutin kısımlarından bazılarını hızlandırmak için kendisinin kullanabileceği uygulamalar geliştirdi. Her araca rastgele bir isim verir, bir süre kullanır ve yoluna devam ederdi; Bazen yararlı olması durumunda bu araçlardan topluluğundaki diğer kişilere bahsederdi. (Daf’ın güvenlik camiasında etik bir bilgisayar korsanı ve yazar olarak zaten bir itibarı vardı, dolayısıyla buna hazır bir izleyici kitlesi vardı.)
Bir gün, penetrasyon testine yardımcı olmak için oluşturduğu ve hiçbir özel nedeni olmaksızın Burp adını verdiği araç, başkalarıyla paylaştığı yaratımlarından biriydi. Hızla benimsendi ve Daf, bunu daha ne kadar ileri götürebileceğini görmeye karar verdi.
Bugün hızla ilerlersek, Daf’ın aletin değeri konusundaki içgüdülerinin meyvelerini görebilirsiniz.
Burp, içme teması üzerinde çalışan PortSwigger adlı bir girişimin en önemli parçası. 170 ülkede 20.000’den fazla kuruluş müşterisi olup, ücretli sürümü kullanan 80.000 kişi ve 1.000’in üzerinde işletme ve kuruluş bulunmaktadır. (İşletmeler arasında Microsoft, Amazon, FedEx, Salesforce ve daha fazlası bulunmaktadır.) PortSwigger şemsiyesi altındaki bir diğer operasyon olan Web Security Academy adında 1 milyondan fazla kullanıcısı olan bir eğitim platformudur. (Ve evet, artık Daf’ın yanı sıra düzinelerce çalışan daha var.)
17 yaşındaki PortSwigger, başlangıçtan beri önyüklemeli ve kârlı bir şirketti. Şimdi Daf, şirketi bir sonraki aşamaya taşımak için ilk kez 112 milyon dolarlık önemli bir dış yatırım almaya karar verdi. ABD’den Brighton Park Capital tek yatırımcıdır.
Daf bir röportajında, “Hedefimize ulaşmak için daha fazla uzmanlığa ihtiyacımız var,” dedi. “Pazar büyüyor ve karmaşıklaşıyor ve müşterilerimizin ihtiyaçları da büyüyor.
Ancak nakit akışımız pozitif olduğundan ve çalışabileceğimiz firmaları seçtiğimizden sermaye en büyük itici güç değildi.” Gelen bu ilgi yalnızca yatırımcılardan değil, potansiyel alıcılardan da geldi.
Şirket, başarısının bir kısmını Daf’ın kendi itibarına borçludur. (“Daffyd Stuttard’dan bir e-posta aldım @portswigger bugün geğirme genişleticiyle ilgili bir soruya yanıt olarak,” birisi Twitter’da bir kez not edildi (şimdi X olarak biliniyor). “Sanki Tanrı bana bir eml göndermiş gibi hissediyorum.”
Ancak yükselişi aynı zamanda siber güvenliğin çok daha büyük bir profile bürünmesiyle aynı zamana denk geliyor. Geniş, karmaşık ve hızla gelişen bir güvenlik ortamında satıcılar tarafından sağlanan çok sayıda nokta çözümü bulunmaktadır; güvenlik ihlallerinin ve güvenlik açıklarının giderek artması gerçeğinden oluşan bir ortam rekor oranlar ve her zamankinden daha fazla hasara neden olmak, özellikle de yapay zekanın denklemin içine dahil edilmesi nedeniyle ve bu da bununla başa çıkmak için daha fazla uygulama ve yaklaşımın yaratılmasına yol açtı.
Ancak bu karışımda sabit olan bir şey, derin alan uzmanlığına sahip bireylerin rolü olmuştur: Etik bilgisayar korsanları ve insan test uzmanları, sorunların nasıl tanımlanıp çözüleceği konusunda önemli bir rol oynamaya devam etmektedir.
Ancak bu kişilerin yardıma ve araçlara ihtiyacı var ve işte bu noktada PortSwigger gibi bir şirket devreye giriyor.
HackerOne ve Bugcrowd gibi bireysel beyaz şapkalı hackerların güvenlik operasyonlarındaki rolünü ürünleştirmeyi amaçlayan başka şirketler de var. Daf, bunların PortSwigger’ın rakibi olmadığını belirtiyor: ortak oluyorlar ve onun girişimi bu platformlara ve onlar gibi diğerlerine araçlar sağlıyor ve bunlar da kullanıcılar tarafından kullanılıyor.
Uzun vadede, yeni teknolojilerin ve mimarilerin, bireylerin güvenlik sorunlarının üstesinden gelme ve çözmedeki rolleri üzerinde ne gibi bir etkiye sahip olacağını görmek ilginç olacaktır.
Yapay zeka gibi daha yeni bir inovasyonun bu açıdan bir tehdit oluşturabileceğini varsayıyor olsanız da, en azından şimdilik durum böyle değil. Daf, penetrasyon test uzmanlarının gerçekleştirebileceği ve otomasyonla iyileştirilebilecek bir dizi tekrarlayan eylemin bulunduğunu belirtiyor.
Tek yatırımcısı da aynı fikirde.
Brighton Park’ın ortaklarından Tim Drager bir röportajda, “Otomasyona rağmen kalem testçilerine hâlâ ihtiyaç duyulacağına inanıyoruz” dedi. “Uzmanlar bunu gerçekten anlıyor. Saldırı yüzeyi büyük ölçüde büyüdü ve API’ler birincil hedefler haline geldi; ancak bunu derin alan uzmanlığına sahip siber profesyonellerin eksikliğiyle birleştirdiğinizde, ne yapması gerektiğini bilenlerin daha verimli olmasına yardımcı olacak araçlara ihtiyaç duymanızın nedeni budur. Bunu büyüme için en önemli alan olarak görüyoruz. PortSwigger onlara süper güçler veriyor.”