Escape escanea dinámicamente las API para encontrar fallas de seguridad

Escape escanea dinámicamente las API para encontrar fallas de seguridad

startup francesa Escapar ha recaudado una ronda de financiación de 3,9 millones de dólares (3,6 millones de euros) poco después de finalizar la cohorte de invierno de 2023 de Y Combinator. La empresa ofrece un producto de ciberseguridad centrado en proteger las API antes de que se implementen públicamente.

La firma francesa de capital de riesgo Iris lidera la ronda y Frst también participa una vez más después de liderar la ronda previa a la siembra. Los inversores existentes Irregular Expressions, Tiny Supercomputers y Kima Ventures participan en la ronda. Algunos de los inversores ángeles de la empresa incluyen a Philippe Langlois, Mehdi Medjaoui y Roxanne Varza.

“Decidimos crear un algoritmo personalizado impulsado por inteligencia artificial que pueda simular ataques cibernéticos. Una vez que haya encontrado fallas de seguridad, le brindará soluciones”, me dijo el cofundador y director ejecutivo Tristan Kalos. Fundó la startup con Antoine Carossio y ahora hay 10 personas trabajando para Escape.

En términos más técnicos, Escape es una solución sin agentes, ya que se integra directamente en su proceso de desarrollo. Cada vez que el equipo de desarrollo confirma algunas líneas nuevas de código en el repositorio de código, activará Escape usando una integración en el flujo de integración continua/entrega continua (CI/CD).

Por ejemplo, Escape puede identificar un problema con la limitación de velocidad. Eso significa que un mal actor podría aprovechar esta falla para extraer grandes volúmenes de datos. Escape también puede ver si las acciones no válidas están bloqueadas correctamente para evitar la manipulación de datos. se integra con Snyk para que los problemas de Escape aparezcan en los problemas de código de Snyk.

“Estas son pruebas dinámicas. No probamos el código fuente en sí, sino la aplicación mientras se ejecuta. Lo que es complicado con una API es la lógica comercial: cómo interactuar y cómo atacar la API. Utilizamos el aprendizaje por refuerzo, una combinación de aprendizaje profundo y heurística”, dijo Kalos.

Primero, Escape decidió centrarse en las API de GraphQL, ya que la startup identificó que sería la mejor estrategia de comercialización. Pero la compañía actualmente está implementando soporte para API REST, que están más extendidas que las API basadas en GraphQL.

La empresa ya ha convencido a unos 20 clientes, como Sorare, Shine y Neo4J. Como puede ver, Escape quiere centrarse en clientes más grandes que trabajan en industrias sensibles, incluidos bancos y empresas de servicios financieros. Cada contrato podría valer potencialmente decenas de miles de euros al año.

Antes de Escape, asegurarse de que las API de su empresa estuvieran protegidas era principalmente un proceso manual. De vez en cuando, las grandes empresas trabajan con analistas de seguridad para realizar una prueba de penetración (o pentest, para abreviar).

“Una o dos veces al año, vienen, miran todo lo que está pasando y te entregan un informe de seguridad. Las empresas revisan los hallazgos internamente y enumeran los problemas: tenemos que resolver esto, tenemos que resolver aquello”, me dijo Kalos.

Pero luego, las empresas tienen que encontrar a los desarrolladores que se encargan de esa parte específica del producto o de esa API en particular. En otras palabras, es un proceso reactivo e imperfecto.

Escape no quiere reemplazar los pentests por completo. Los pentests no solo se enfocan en las API, son mucho más grandes que eso. Escape solo quiere sacar a la luz fallas de seguridad en el nivel de la API para que se solucionen cuando aparezcan por primera vez. De esta manera, la mayoría de los problemas ya están resueltos cuando una empresa de seguridad realiza una prueba de penetración. Es un modelo de seguridad más proactivo y dinámico, y eso podría ser un buen punto de venta.


Source link