Escape escanea dinámicamente las API para encontrar vulnerabilidades de seguridad
La startup francesa Escape ha cerrado una ronda de financiación de 3,9 millones de dólares (3,6 millones de euros) poco después de completar la cohorte de invierno de 2023 de Y Combinator. La empresa ofrece un producto de ciberseguridad enfocado en asegurar las API antes de su lanzamiento público.
La firma francesa de capital de riesgo Iris lidera la ronda, a la que también se une Frst. Los inversores existentes Irregular Expressions, Tiny Supercomputers y Kima Ventures participan en la ronda. Los inversores ángeles de la empresa incluyen a Philippe Langlois, Mehdi Medjaoui y Roxanne Varza.
“Decidimos desarrollar un algoritmo personalizado basado en inteligencia artificial que pueda simular ataques cibernéticos. Una vez que se encuentran las vulnerabilidades, se solucionan”, me dijo el cofundador y director ejecutivo Tristan Kalos. Fundó la startup junto con Antoine Carossio y mientras tanto, 10 personas trabajan para Escape.
Técnicamente, Escape es una solución sin agentes, ya que se integra directamente en su proceso de desarrollo. Cada vez que el equipo de desarrollo confirma algunas líneas nuevas de código en el repositorio de código, se activa el escape mediante una integración en el flujo de integración continua/entrega continua (CI/CD).
Por ejemplo, Escape puede identificar un problema de limitación de velocidad. Esto significa que un actor malicioso podría explotar esta falla para extraer grandes cantidades de datos. Escape también puede detectar si las acciones no válidas están correctamente bloqueadas para evitar la manipulación de datos. Se integra con snyk para que los problemas de escape aparezcan en los problemas de código de su snyk.
“Estas son pruebas dinámicas. No probamos el código fuente en sí, probamos la aplicación mientras se ejecuta. Lo complicado de una API es la lógica comercial: cómo interactuar y cómo atacar la API. Utilizamos el aprendizaje por refuerzo, que es una combinación de aprendizaje profundo y heurística”, dijo Kalos.
Escape inicialmente eligió centrarse en las API de GraphQL porque la startup se dio cuenta de que esta sería la mejor estrategia de comercialización. Sin embargo, la empresa actualmente está implementando soporte para las API REST, que se usan más ampliamente que las API basadas en GraphQL.
La empresa ya ha convencido a unos 20 clientes, incluidos Sorare, Shine y Neo4J. Como puede ver, Escape quiere enfocarse en clientes más grandes que operan en industrias sensibles, incluidos bancos y empresas de servicios financieros. Cada contrato podría valer potencialmente decenas de miles de euros al año.
Antes de usar Escape, asegurarse de que las API de su organización estuvieran seguras era principalmente un proceso manual. De vez en cuando, las grandes empresas trabajan con analistas de seguridad para realizar una prueba de penetración (o pentest para abreviar).
“Vienen una o dos veces al año, miran todo lo que está pasando y te dan un informe de seguridad. Las empresas verifican los resultados internamente y enumeran los problemas: tenemos que resolver esto, tenemos que resolver aquello”, me dijo Kalos.
Pero luego las empresas necesitan encontrar a los desarrolladores que son específicamente responsables de esa parte particular del producto o API. En otras palabras, es un proceso reactivo e imperfecto.
Escape no quiere reemplazar completamente las pruebas de penetración. Los pentests no solo se enfocan en las API, son mucho más amplios. Escape solo quiere exponer las vulnerabilidades a nivel de API para que se solucionen tan pronto como aparezcan. De esa manera, cuando una empresa de seguridad realiza una prueba de penetración, la mayoría de los problemas ya están solucionados. Es un modelo de seguridad más proactivo y dinámico, y eso podría ser un buen punto de venta.
Deja una respuesta