Notizia

Jan 26, 2024

Escape scansiona dinamicamente le API per trovare difetti di sicurezza

French startup Escape has raised a $3.9 million (€3.6 million) funding round

La startup francese Escape ha raccolto un round di finanziamento da 3,9 milioni di dollari (3,6 milioni di euro) poco dopo aver terminato il gruppo di progetti invernali 2023 di Y Combinator. L'azienda fornisce un prodotto di sicurezza informatica incentrato sulla protezione delle API prima che vengano implementate pubblicamente.

La società francese di venture capital Iris è in testa al round, con Frst che partecipa ancora una volta dopo aver guidato il round pre-seed. Al round partecipano gli investitori esistenti Irregular Expressions, Tiny Supercomputers e Kima Ventures. Alcuni degli investitori angelici dell'azienda includono Philippe Langlois, Mehdi Medjaoui e Roxanne Varza.

"Abbiamo deciso di creare un algoritmo personalizzato alimentato dall'intelligenza artificiale in grado di simulare attacchi informatici. Una volta individuati i difetti di sicurezza, fornirà soluzioni," mi ha detto il co-fondatore e CEO Tristan Kalos. Ha fondato la startup con Antoine Carossio e ora ci sono 10 persone che lavorano per Escape.

In termini più tecnici, Escape è una soluzione senza agenti poiché si integra direttamente nella pipeline di sviluppo. Ogni volta che il team di sviluppo inserisce alcune nuove righe di codice nel repository del codice, attiverà l'Escape utilizzando un'integrazione nel flusso di integrazione continua/consegna continua (CI/CD).

Ad esempio, Escape può identificare un problema con la limitazione della velocità. Ciò significa che un malintenzionato potrebbe sfruttare questa falla per estrarre grandi volumi di dati. Escape può anche vedere se le azioni non valide sono bloccate correttamente per impedire la manipolazione dei dati. Si integra con Snyk in modo che i problemi di Escape vengano visualizzati nei problemi del codice di Snyk.

"Questi sono test dinamici. Non testiamo il codice sorgente stesso, ma piuttosto l'applicazione mentre viene eseguita. Ciò che è complicato con un'API è la logica aziendale: come interagire e come attaccare l'API. Usiamo l'apprendimento per rinforzo, un mix di deep learning ed euristica", ha detto Kalos.

Escape ha deciso innanzitutto di concentrarsi sulle API GraphQL poiché la startup ha identificato che sarebbe stata la migliore strategia di go-to-market. Ma l’azienda sta attualmente implementando il supporto per le API REST, che sono più diffuse delle API basate su GraphQL.

L'azienda ha già convinto circa 20 clienti, tra cui Sorare, Shine e Neo4J. Come puoi vedere, Escape vuole concentrarsi su clienti più grandi che lavorano in settori sensibili, comprese banche e società di servizi finanziari. Ogni contratto potrebbe valere potenzialmente decine di migliaia di euro all’anno.

Prima di Escape, assicurarsi che le API della tua azienda fossero protette era principalmente un processo manuale. Di tanto in tanto, le grandi aziende collaborano con gli analisti della sicurezza per condurre un test di penetrazione (o pentest, in breve).

"Una o due volte l'anno arrivano, guardano tutto quello che succede e ti consegnano un rapporto sulla sicurezza. Le aziende esaminano i risultati internamente ed elencano i problemi: dobbiamo risolvere questo, dobbiamo risolvere quello, "Me lo ha detto Kalos.

Ma poi le aziende devono trovare gli sviluppatori responsabili di questa parte specifica del prodotto o di quell'API in particolare. In altre parole, è un processo reattivo e imperfetto.

Escape non vuole sostituire del tutto i pentest. I pentest non si concentrano solo sulle API, sono molto più grandi di così. Escape vuole solo far emergere i difetti di sicurezza a livello API in modo che vengano corretti quando compaiono per la prima volta. In questo modo, la maggior parte dei problemi sono già risolti quando un’azienda di sicurezza conduce un pentest. È un modello di sicurezza più proattivo e dinamico e potrebbe essere un buon punto di forza.