Cervantes, pentesters ve kırmızı takımlar için inşa edilmiş açık kaynaklı bir işbirlikçi platformdur. Projeleri, müşterileri, güvenlik açıklarını ve raporları yönetmek için merkezi bir çalışma alanı sunar. Veri organizasyonunu ve ekip koordinasyonunu düzene sokarak, penetrasyon testlerinin planlanması ve yürütülmesinde yer alan zamanı ve karmaşıklığı azaltmaya yardımcı olur.
Owasp şemsiyesi altında açık kaynaklı bir çözüm olarak, penetrasyon testçilerinin hedefleri yönetmesinden güvenlik açıkları, kavram kanıtı ve iyileştirme önerileri düzenlemeye kadar özel ihtiyaçlarını anlar.
“İşbirliğinin sonradan düşündüğü birçok güvenlik aracının aksine, Cervantes işbirlikçi bir platform olarak ortaya çıkıyor. Birden fazla pentester aynı proje üzerinde aynı anda çalışabilir, bulguları, notları ve kanıtları gerçek zamanlı olarak paylaşabilir. Bu, ekip üyelerinin çifte çabaları kopyaladığı veya kritik savunmasızlıkları kaçırdıkları, net, netlikte bulunur.
Cervantes, ekiplerin kendi güvenlik yöntemlerini, güvenlik açığı tanımlarını ve iyileştirme yönergelerini oluşturmalarını ve sürdürmesini sağlayan entegre bir bilgi tabanı sistemi içerir. Ayrıca birden fazla dili destekler.
“Platform, ekiplerin bulguları daha verimli bir şekilde tanımlamasına ve belgelemelerine yardımcı olan AI destekli güvenlik açığı üretimi, kapsamlı proje genel görünümü yaratan otomatik yönetici özet üretimini ve ekip üyelerinin proje verilerini konuşmalarını sorgulamasına izin veren proje bağlamına sahip akıllı bir sohbet sistemi içerir.
Cervantes, resmi sorun izleme ve iyileştirme iş akışları gerektiren kuruluşlar için JIRA ile bütünleşir. Güvenlik açıkları otomatik olarak tam bağlamda JIRA biletleri olarak dışa aktarılabilir ve güvenlik ekipleri ve geliştirme ekipleri arasında sorunsuz bir şekilde elden çıkarma sağlar.
Platform ayrıca, ekiplerin farklı bileşenleri (yönetici özeti, teknik bulgular, iyileştirme yol haritası, uyum bölümleri vb.) Birleştirerek özel raporlar oluşturmalarını sağlayan modüler bir raporlama sistemine sahiptir.
Gelecek Planları ve İndir
Mesquida bize Cervantes için yol haritasının, topluluk geri bildirimlerine dayanan işlevselliği ve kullanıcı deneyimini geliştirmeye odaklandığını söyledi:
Gelişmiş araç entegrasyonu: Burp Suite, Zap, Nessus vb. Güvenlik araçlarıyla daha derin entegrasyonlar. Bu, bulguların otomatik olarak içe aktarılmasına ve manuel veri girişini azaltmasına izin vererek pentesterlerin belgelerden ziyade analize odaklanmasını sağlayacaktır.
Gelişmiş Modüler Raporlama Motoru: Gelecekteki sürümler, ekiplerin farklı bölümleri (yönetici özeti, teknik bulgular, iyileştirme yol haritası vb.) Birleştirerek özel raporlar oluşturmalarını sağlayan modüler bir bileşen sistemi ile daha sofistike raporlama yeteneklerini içerecektir. Bu esneklik, farklı kitleler ve uyum çerçeveleri için özelleştirilebilir şablonlar sağlar.
AI ile çalışan yardım: Güvenlik açığı sınıflandırması, risk değerlendirmesi ve hatta tarihsel verilere ve endüstri en iyi uygulamalarına dayalı iyileştirme stratejilerinin önerilmesi için AI yeteneklerinin entegrasyonu. Mesquida ayrıca, daha da karmaşık otomasyon ve analiz özelliklerine izin veren çeşitli AI modelleri ve asistanlarla sorunsuz entegrasyon sağlayacak bir model bağlam protokolü (MCP) sunucusu geliştiriyor.
Uyarlanabilir ekip yapılandırması: Farklı güvenlik ekiplerinin Cervantes’i özel iş akışları için özelleştirmesine izin veren uyarlanabilir yapılandırmalar. İster küçük bir butik pentest firması, iç kırmızı bir ekip, bir böcek ödül avcısı veya büyük bir danışmanlık kuruluşu olun,
Kurumsal Özellikler: Daha büyük kuruluşlar için Mesquida, kurumsal kimlik sağlayıcılarla (OpenIdConnect, LDAP, Active Directory) entegrasyon gibi özellikler ekliyor.
“Hemen yol haritasının ötesine baktığımızda, uzun vadeli vizyonumuz Cervantes’i kapsamlı bir güvenlik operasyon platformuna dönüştürmektir. Bu, tehdit avı ve atıf için siber tehdit zekası (CTI) yeteneklerini, olay tepkisi ve güvenlik izleme için mavi ekip savunma modüllerini ve entegre uyumlu yönetim araçlarını içerecek. Hedef, yıpranma görevlilerinin ve işbirliği yapabileceği bir platform oluşturmaktır. Bir kuruluşun güvenlik duruşunun bütüncül bir görünümü, ”dedi Mesquida.
Cervantes GitHub’da ücretsiz olarak kullanılabilir.
Okumalı:
Temel açık kaynaklı siber güvenlik araçları hakkında bilgi sahibi olmak için Net Security Reklamsız Aylık Haber Bülteni’ne abone olun. BURADA Abone Olun!