Блог

Jun 04, 2023

Escape динамически сканирует API, чтобы найти недостатки безопасности

Французский стартап Escape привлек финансирование в размере 3,9 млн долларов (3,6 млн евро)

Французский стартап Escape собрал раунд финансирования в размере 3,9 миллиона долларов (3,6 миллиона евро) вскоре после завершения зимней когорты Y Combinator 2023 года. Компания предоставляет продукт кибербезопасности, ориентированный на защиту API до их публичного развертывания.

Французская венчурная компания Iris лидирует в раунде, и Frst также снова участвует в нем после того, как возглавил предварительный раунд. В раунде принимают участие существующие инвесторы Irregular Expressions, Tiny Supercomputers и Kima Ventures. В число ангелов-инвесторов компании входят Филипп Ланглуа, Мехди Меджауи и Роксана Варза.

«Мы решили создать специальный алгоритм на базе искусственного интеллекта, который сможет имитировать кибератаки. Как только он обнаружит недостатки безопасности, он предложит вам меры по их устранению», — рассказал мне соучредитель и генеральный директор Тристан Калос. Он основал стартап вместе с Антуаном Кароссио, и сейчас в Escape работают 10 человек.

Говоря более техническим языком, Escape — это безагентное решение, поскольку оно интегрируется непосредственно в ваш конвейер разработки. Каждый раз, когда команда разработчиков фиксирует несколько новых строк кода в репозитории кода, она запускает Escape, используя интеграцию в поток непрерывной интеграции/непрерывной доставки (CI/CD).

Например, Escape может выявить проблему с ограничением скорости. Это означает, что злоумышленник может использовать эту уязвимость для извлечения больших объемов данных. Escape также может проверить, правильно ли заблокированы недопустимые действия, чтобы предотвратить манипулирование данными. Он интегрируется со Snyk, поэтому проблемы с Escape появляются в проблемах с кодом вашего Snyk.

«Это динамические тесты. Мы тестируем не сам исходный код, а приложение во время его работы. Что сложно в API, так это бизнес-логика — как взаимодействовать и как атаковать API. Мы используем обучение с подкреплением, сочетание глубокого обучения и эвристики», — сказал Калос.

Escape сначала решила сосредоточиться на API-интерфейсах GraphQL, поскольку стартап определил, что это будет лучшая стратегия выхода на рынок. Но в настоящее время компания развертывает поддержку REST API, которые более распространены, чем API на основе GraphQL.

Компания уже убедила около 20 клиентов, таких как Sorare, Shine и Neo4J. Как видите, Escape хочет сосредоточиться на более крупных клиентах, работающих в чувствительных отраслях, включая банки и компании, предоставляющие финансовые услуги. Каждый контракт потенциально может стоить десятки тысяч евро в год.

До Escape обеспечение безопасности API вашей компании в основном выполнялось вручную. Время от времени крупные компании сотрудничают с аналитиками безопасности для проведения теста на проникновение (или, для краткости, пентеста).

«Один или два раза в год они приходят, смотрят на все, что происходит, и вручают вам отчет о безопасности. Компании проверяют результаты внутри компании и составляют список проблем: мы должны решить это, мы должны решить то, «Калос рассказал мне.

Но тогда компаниям приходится искать разработчиков, которые отвечают за эту конкретную часть продукта или конкретно за этот API. Другими словами, это реактивный и несовершенный процесс.

Escape не хочет полностью заменять пентесты. Пентесты фокусируются не только на API, они гораздо шире. Escape просто хочет выявить недостатки безопасности на уровне API, чтобы они были исправлены при первом появлении. Таким образом, большинство проблем уже устранено, когда охранная фирма проводит пентест. Это более активная и динамичная модель безопасности, и это может стать хорошим аргументом в пользу продажи.