IriusRiesgo, una plataforma de modelado de amenazas, anunció hoy que recaudó $ 29 millones en una ronda de financiación de Serie B dirigida por Paladin Capital Group con la participación de BrightPixel Capital, SwanLab Venture Factory, 360 Capital e Inveready. En una conversación con TechCrunch, el CEO Stephen de Vries dijo que las ganancias se destinarán al crecimiento de los equipos de ventas y marketing de IriusRisk en EE. UU. y Europa, Medio Oriente y África, ya que el total recaudado de la compañía se acerca a los $ 40 millones.
De Vries, quien anteriormente trabajó en la firma de seguridad cibernética Corsaire, KPMG e ISS como consultor principal de seguridad, dijo que se dio cuenta de que las empresas estaban desperdiciando recursos realizando pruebas de seguridad en software que los desarrolladores no diseñaron teniendo en cuenta la seguridad. Si los desarrolladores pudieran comprender las fallas de seguridad en sus diseños mediante el modelado de amenazas, es decir, identificando los tipos de amenazas que causan daño al software, se reduciría el cuello de botella causado por las revisiones de seguridad, teorizó de Vries.
De hecho, el modelado de amenazas no parece ser lo más importante en muchas organizaciones. En una consultoría de Golfdale encuesta encargado el año pasado por el proveedor de seguridad cibernética Security Compass, menos del 10 % de los desarrolladores informaron que el modelado de amenazas se realizó en el 90 % o más de las aplicaciones que desarrollaron en sus organizaciones. Solo el 25% dijo que sus organizaciones realizaron modelos de amenazas durante las primeras fases del desarrollo de software, como la recopilación y el diseño de requisitos, antes de continuar con el desarrollo.
“El modelado de amenazas ahora se establece como una actividad requerida para el desarrollo de software seguro”, dijo de Vries, señalando la reciente declaración del presidente Joe Biden orden ejecutiva establecer el modelado de amenazas como un “mínimo recomendado” para verificar el código de la aplicación. “Dado que el modelado de amenazas como actividad todavía es relativamente nuevo, existe la necesidad de que las organizaciones compartan estrategias, consejos y trucos sobre lo que funciona al implementar un programa de modelado de amenazas, y lo que no”.
IriusRisk aprovecha un motor de reglas para “razonar sobre” las bases de código alojadas en la nube y del lado del cliente, adoptando un enfoque basado en patrones para modelar amenazas. Los usuarios de plataformas como Amazon Web Services (AWS) CloudFormation, HashiCorp Terraform y Microsoft Visio pueden aprovechar IriusRisk para importar código y generar automáticamente un diagrama y un modelo de amenaza del mismo.
Tablero de modelado de amenazas de IriusRisk. Créditos de imagen: IriusRiesgo
IriusRisk también proporciona un módulo de análisis con informes y registros, que los analistas de datos y los científicos pueden utilizar para interpretar los datos de amenazas desde dentro de sus organizaciones. Para aumentar la granularidad y precisión de estos datos, los clientes pueden agregar a la biblioteca de detección de patrones de IriusRisks componentes exclusivos de su industria o empresa, incluidos los de AWS, Google Cloud, Azure y sistemas de control industrial.
“IriusRisk permite a los responsables de la toma de decisiones técnicas incorporar la seguridad desde el comienzo del ciclo de vida del desarrollo de software, convirtiéndola en una práctica fácil de implementar que se puede aplicar de manera consistente en toda la cartera de productos de una organización, creando seguridad por diseño a escala”, de dijo Vries. “Las organizaciones se benefician de las amplias bibliotecas de estándares de seguridad de IriusRisk, que incluyen modelos de amenazas existentes para componentes conocidos, estándares de seguridad integrales y bibliotecas de cumplimiento, lo que ayuda a los equipos a crear primero software seguro y abordar automáticamente los requisitos reglamentarios”.
Cuando se le preguntó acerca de la competencia, de Vries admitió que las nuevas empresas como Spectral adoptan un enfoque similar a IriusRisk en algunos aspectos. Pero afirmó que los competidores más grandes de su empresa están detrás de la curva, realizando el modelado de amenazas manualmente con “pizarras y quizás herramientas rudimentarias”.
“Estamos enfocados en resolver el problema de realizar el modelado de amenazas de manera consistente y a escala, con una fricción mínima para los desarrolladores. A menudo hablamos con organizaciones… que buscan madurar su enfoque sacándolo del equipo de seguridad y llevándolo a los equipos de ingeniería”, agregó de Vries. “Estamos haciendo una inversión significativa en la comunidad más amplia de modelado de amenazas”.
IriusRisk afirma haber cuadriplicado con creces su base de socios hasta 2021 y aumentado su oferta gratuita, IriusRisk Community Edition, en un 120 % en términos de usuarios activos (a poco más de 5400). Más de 4000 proyectos se ejecutaron a través de la plataforma gratuita durante el último año, dijo de Vries, un número que espera que aumente cuando IriusRisk lance un nuevo formato de modelo de amenazas abierto, programado para noviembre, para permitir una mejor interoperabilidad entre las herramientas de modelado de amenazas y la arquitectura y herramientas de seguridad
“Nuestros clientes incluyen seis de los 30 bancos de importancia sistémica mundial y nueve empresas Fortune 100… Las organizaciones gubernamentales están utilizando la herramienta, así como una empresa de análisis forense digital, que apoya a los usuarios finales militares”, dijo de Vries. “Es muy típico que los equipos de seguridad de aplicaciones o seguridad cibernética adopten nuestro software y luego lo implementen en la organización de ingeniería más amplia para que puedan autoservirse una capacidad de modelado de amenazas… Hemos aumentado los ingresos recurrentes anuales en más del 106 % año- año tras año durante los últimos dos años y actualmente tienen una tasa de crecimiento interanual del 120 %”.
IriusRisk tiene 137 empleados hoy y planea expandir su plantilla a 160 para fin de año.
Source link