Το Escape σαρώνει δυναμικά τα API για να εντοπίσει ελαττώματα ασφαλείας
Related Posts
Γαλλική startup
Διαφυγή
έχει συγκεντρώσει έναν γύρο χρηματοδότησης 3,9 εκατομμυρίων δολαρίων (3,6 εκατομμυρίων ευρώ) λίγο μετά τον τερματισμό της κοόρτης του χειμώνα του 2023 του Y Combinator. Η εταιρεία παρέχει ένα προϊόν κυβερνοασφάλειας που επικεντρώνεται στην ασφάλεια των API προτού διατεθούν δημόσια.
Η γαλλική εταιρεία VC Iris οδηγεί τον γύρο με τη Frst να συμμετέχει επίσης. Στο γύρο συμμετέχουν υφιστάμενοι επενδυτές Irregular Expressions, Tiny Supercomputers και Kima Ventures. Μερικοί από τους αγγέλους επενδυτές της εταιρείας περιλαμβάνουν τους Philippe Langlois, Mehdi Medjaoui και Roxanne Varza.
«Αποφασίσαμε να δημιουργήσουμε έναν προσαρμοσμένο αλγόριθμο που να υποστηρίζεται από τεχνητή νοημοσύνη που μπορεί να προσομοιώνει επιθέσεις στον κυβερνοχώρο. Μόλις βρει ελαττώματα ασφαλείας, θα σας δώσει διορθώσεις», μου είπε ο συνιδρυτής και διευθύνων σύμβουλος Tristan Kalos. Ίδρυσε τη startup με τον Antoine Carossio και τώρα εργάζονται 10 άτομα για το Escape.
Με πιο τεχνικούς όρους, το Escape είναι μια λύση χωρίς πράκτορα, καθώς ενσωματώνεται απευθείας στον αγωγό ανάπτυξής σας. Κάθε φορά που η ομάδα προγραμματιστών δεσμεύει ορισμένες νέες γραμμές κώδικα στο αποθετήριο κώδικα, θα ενεργοποιεί το Escape χρησιμοποιώντας μια ενσωμάτωση στη ροή συνεχούς ενοποίησης/συνεχούς παράδοσης (CI/CD).
Για παράδειγμα, το Escape μπορεί να εντοπίσει ένα πρόβλημα με τον περιορισμό ρυθμών. Αυτό σημαίνει ότι ένας κακός ηθοποιός θα μπορούσε να αξιοποιήσει αυτό το ελάττωμα για να εξάγει μεγάλο όγκο δεδομένων. Το Escape μπορεί επίσης να δει εάν οι μη έγκυρες ενέργειες έχουν αποκλειστεί σωστά για να αποτραπεί ο χειρισμός δεδομένων. Ενσωματώνεται με
Snyk
ώστε να εμφανίζονται ζητήματα Escape στα ζητήματα κώδικα του Snyk.
«Αυτά είναι δυναμικά τεστ. Δεν δοκιμάζουμε τον ίδιο τον πηγαίο κώδικα, αλλά μάλλον την εφαρμογή καθώς εκτελείται. Αυτό που είναι περίπλοκο με ένα API είναι η επιχειρηματική λογική — πώς να αλληλεπιδράσετε και πώς να επιτεθείτε στο API. Χρησιμοποιούμε ενισχυτική μάθηση, ένα μείγμα βαθιάς μάθησης και ευρετικής», είπε ο Κάλος.
Το Escape αποφάσισε αρχικά να επικεντρωθεί στα GraphQL API, καθώς η startup αναγνώρισε ότι θα ήταν η καλύτερη στρατηγική για την αγορά. Ωστόσο, η εταιρεία αυτή τη στιγμή αναπτύσσει υποστήριξη για REST API, τα οποία είναι πιο διαδεδομένα από τα API που βασίζονται σε GraphQL.
Η εταιρεία έχει ήδη πείσει περίπου 20 πελάτες, όπως οι Sorare, Shine και Neo4J. Όπως μπορείτε να δείτε, το Escape θέλει να επικεντρωθεί σε μεγαλύτερους πελάτες που εργάζονται σε ευαίσθητους κλάδους, συμπεριλαμβανομένων των τραπεζών και των εταιρειών χρηματοοικονομικών υπηρεσιών. Κάθε συμβόλαιο θα μπορούσε ενδεχομένως να αξίζει δεκάδες χιλιάδες ευρώ ετησίως.
Πριν χρησιμοποιήσετε το Escape, το να βεβαιωθείτε ότι τα API της εταιρείας σας είναι ασφαλισμένα ήταν κυρίως μια μη αυτόματη διαδικασία. Κάθε τόσο, μεγάλες εταιρείες συνεργάζονται με αναλυτές ασφαλείας για να πραγματοποιήσουν μια δοκιμή διείσδυσης (ή pentest, για συντομία).
«Μία ή δύο φορές το χρόνο, έρχονται, κοιτάζουν όλα όσα συμβαίνουν και σας δίνουν μια αναφορά ασφαλείας. Οι εταιρείες εξετάζουν τα ευρήματα εσωτερικά και απαριθμούν τα ζητήματα: πρέπει να επιλύσουμε αυτό, πρέπει να επιλύσουμε αυτό», μου είπε ο Κάλος.
Στη συνέχεια, όμως, οι εταιρείες πρέπει να βρουν τους προγραμματιστές που είναι υπεύθυνοι για αυτό το συγκεκριμένο μέρος του προϊόντος ή για αυτό το API ειδικότερα. Με άλλα λόγια, είναι μια αντιδραστική και ατελής διαδικασία.
Το Escape δεν θέλει να αντικαταστήσει εντελώς τα pentest. Τα Pentest δεν επικεντρώνονται μόνο στα API, αλλά είναι πολύ μεγαλύτερα από αυτό. Το Escape θέλει απλώς να εμφανίσει ελαττώματα ασφαλείας σε επίπεδο API, ώστε να επιδιορθωθούν κατά την πρώτη εμφάνιση. Με αυτόν τον τρόπο, τα περισσότερα ζητήματα έχουν ήδη επιδιορθωθεί όταν μια εταιρεία ασφαλείας διεξάγει μια δοκιμαστική εξέταση. Είναι ένα πιο προληπτικό και δυναμικό μοντέλο ασφάλειας και αυτό θα μπορούσε να είναι ένα καλό σημείο πώλησης.
