Deutsch
English
Français
Español
Italiano
Português
日本語
한국어
Русский
Heim
Jan 26, 2024
Escape scannt APIs dynamisch, um Sicherheitslücken zu finden
Das französische Startup Escape hat eine Finanzierungsrunde in Höhe von 3,9 Millionen US-Dollar (3,6 Millionen Euro) abgeschlossen
Das französische Startup Escape hat kurz nach Abschluss der Winterkohorte 2023 von Y Combinator eine Finanzierungsrunde in Höhe von 3,9 Millionen US-Dollar (3,6 Millionen Euro) abgeschlossen. Das Unternehmen bietet ein Cybersicherheitsprodukt an, das sich auf die Sicherung von APIs vor ihrer öffentlichen Einführung konzentriert.
Die französische VC-Firma Iris führt die Runde an, wobei auch Frst erneut teilnimmt, nachdem er die Pre-Seed-Runde angeführt hat. An der Runde beteiligen sich die bestehenden Investoren „Irregular Expressions“, „Tiny Supercomputers“ und „Kima Ventures“. Zu den Angel-Investoren des Unternehmens gehören Philippe Langlois, Mehdi Medjaoui und Roxanne Varza.
„Wir haben uns entschieden, einen benutzerdefinierten Algorithmus zu entwickeln, der auf künstlicher Intelligenz basiert und Cyberangriffe simulieren kann. Sobald Sicherheitslücken gefunden wurden, erhalten Sie Abhilfe“, sagte mir Mitbegründer und CEO Tristan Kalos. Er gründete das Startup zusammen mit Antoine Carossio, mittlerweile arbeiten 10 Leute für Escape.
Technisch gesehen ist Escape eine agentenlose Lösung, da sie direkt in Ihre Entwicklungspipeline integriert wird. Jedes Mal, wenn das Entwicklerteam einige neue Codezeilen im Code-Repository festschreibt, wird Escape mithilfe einer Integration im Continuous Integration/Continuous Delivery Flow (CI/CD) ausgelöst.
Escape kann beispielsweise ein Problem mit der Ratenbegrenzung identifizieren. Das bedeutet, dass ein böswilliger Akteur diesen Fehler ausnutzen könnte, um große Datenmengen zu extrahieren. Escape kann auch erkennen, ob ungültige Aktionen ordnungsgemäß blockiert werden, um Datenmanipulationen zu verhindern. Es lässt sich in Snyk integrieren, sodass Escape-Probleme in den Code-Problemen Ihres Snyk angezeigt werden.
„Das sind dynamische Tests. Wir testen nicht den Quellcode selbst, sondern die Anwendung, während sie ausgeführt wird. Was an einer API kompliziert ist, ist die Geschäftslogik – wie man interagiert und wie man die API angreift. Wir verwenden Reinforcement Learning, a „Mischung aus Deep Learning und Heuristik“, sagte Kalos.
Escape entschied sich zunächst dafür, sich auf GraphQL-APIs zu konzentrieren, da das Startup erkannte, dass dies die beste Markteinführungsstrategie wäre. Allerdings führt das Unternehmen derzeit die Unterstützung für REST-APIs ein, die weiter verbreitet sind als GraphQL-basierte APIs.
Das Unternehmen hat bereits rund 20 Kunden überzeugt, darunter Sorare, Shine und Neo4J. Wie Sie sehen, möchte sich Escape auf größere Kunden konzentrieren, die in sensiblen Branchen tätig sind, darunter Banken und Finanzdienstleistungsunternehmen. Jeder Vertrag könnte potenziell Zehntausende Euro pro Jahr wert sein.
Vor Escape war die Sicherstellung, dass die APIs Ihres Unternehmens gesichert waren, größtenteils ein manueller Prozess. Hin und wieder arbeiten große Unternehmen mit Sicherheitsanalysten zusammen, um einen Penetrationstest (oder kurz Pentest) durchzuführen.
„Ein- oder zweimal im Jahr kommen sie vorbei, schauen sich alles an und überreichen Ihnen einen Sicherheitsbericht. Unternehmen überprüfen die Ergebnisse intern und listen die Probleme auf: Wir müssen dieses lösen, wir müssen jenes lösen, „Kalos hat es mir erzählt.
Aber dann müssen Unternehmen die Entwickler finden, die für diesen bestimmten Teil des Produkts oder diese API im Besonderen verantwortlich sind. Mit anderen Worten: Es handelt sich um einen reaktiven und unvollkommenen Prozess.
Escape will Pentests nicht gänzlich ersetzen. Pentests konzentrieren sich auch nicht nur auf APIs, sie sind viel umfassender. Escape möchte lediglich Sicherheitslücken auf API-Ebene aufdecken, damit diese behoben werden, sobald sie zum ersten Mal auftreten. Auf diese Weise sind die meisten Probleme bereits behoben, wenn ein Sicherheitsunternehmen einen Pentest durchführt. Es handelt sich um ein proaktiveres und dynamischeres Sicherheitsmodell, und das könnte ein gutes Verkaufsargument sein.