Escape scansiona dinamicamente le API per trovare falle di sicurezza

La startup francese Escape ha raccolto un round di finanziamento di 3,9 milioni di dollari (3,6 milioni di euro) poco dopo aver terminato la coorte invernale 2023 di Y Combinator.
L'azienda fornisce un prodotto di sicurezza informatica incentrato sulla protezione delle API prima che vengano implementate pubblicamente.
L'azienda francese di VC Iris è in testa al round con la partecipazione anche di Frst.
Gli investitori esistenti Irregular Expressions, Tiny Supercomputers e Kima Ventures stanno partecipando al round.
Alcuni degli angel investor dell'azienda includono Philippe Langlois, Mehdi Medjaoui e Roxanne Varza.
“Abbiamo deciso di creare un algoritmo personalizzato alimentato dall'intelligenza artificiale in grado di simulare attacchi informatici.
Una volta che ha trovato falle di sicurezza, ti darà rimedi ", mi ha detto il co-fondatore e CEO Tristan Kalos.
Ha fondato la startup con Antoine Carossio e ora sono 10 le persone che lavorano per Escape.
In termini più tecnici, Escape è una soluzione senza agente in quanto si integra direttamente nella pipeline di sviluppo.
Ogni volta che il team di sviluppo esegue il commit di alcune nuove righe di codice nel repository di codice, attiverà Escape utilizzando un'integrazione nel flusso di integrazione continua/continuo recapito (CI/CD).
Ad esempio, Escape può identificare un problema con la limitazione della velocità.
Ciò significa che un cattivo attore potrebbe sfruttare questo difetto per estrarre grandi volumi di dati.
Escape può anche vedere se le azioni non valide sono correttamente bloccate per impedire la manipolazione dei dati.
Si integra con Snyk in modo che i problemi di Escape vengano visualizzati nei problemi di codice di Snyk.
“Questi sono test dinamici.
Non testiamo il codice sorgente in sé, ma piuttosto l'applicazione mentre viene eseguita.
Ciò che è complicato con un'API è la logica aziendale: come interagire e come attaccare l'API.
Utilizziamo l'apprendimento per rinforzo, un mix di deep learning ed euristica", ha affermato Kalos.
Escape ha inizialmente deciso di concentrarsi sulle API GraphQL poiché la startup ha identificato che sarebbe stata la migliore strategia di go-to-market.
Ma la società sta attualmente implementando il supporto per le API REST, che sono più diffuse delle API basate su GraphQL.
L'azienda ha già convinto circa 20 clienti, come Sorare, Shine e Neo4J.
Come puoi vedere, Escape vuole concentrarsi su clienti più grandi che lavorano in settori sensibili, comprese banche e società di servizi finanziari.
Ogni contratto potrebbe potenzialmente valere decine di migliaia di euro all'anno.
Prima di utilizzare Escape, assicurarsi che le API della tua azienda fossero protette era principalmente un processo manuale.
Di tanto in tanto, le grandi aziende collaborano con gli analisti della sicurezza per condurre un penetration test (o pentest, in breve).
“Una o due volte l'anno, entrano, guardano tutto quello che sta succedendo e ti consegnano un rapporto sulla sicurezza.
Le aziende esaminano i risultati internamente ed elencano i problemi: dobbiamo risolvere questo, dobbiamo risolvere quello", mi ha detto Kalos.
Ma poi, le aziende devono trovare gli sviluppatori che si occupano di questa specifica parte del prodotto o di quell'API in particolare.
In altre parole, è un processo reattivo e imperfetto.
Escape non vuole sostituire del tutto i pentest.
I pentest non si concentrano solo sulle API, sono molto più grandi di così.
Escape vuole solo far emergere i difetti di sicurezza a livello di API in modo che vengano corretti quando compaiono per la prima volta.
In questo modo, la maggior parte dei problemi è già stata risolta quando un'azienda di sicurezza conduce un pentest.
È un modello di sicurezza più proattivo e dinamico e questo potrebbe essere un buon punto di forza.
Escape scansiona dinamicamente le API per trovare falle di sicurezza di Romain Dillet originariamente pubblicato su TechCrunch