Escape динамически сканирует API, чтобы найти недостатки безопасности.

Французский стартап Уходи привлекла раунд финансирования в размере 3,9 млн долларов (3,6 млн евро) вскоре после окончания зимней когорты Y Combinator 2023 года. Компания предоставляет продукт кибербезопасности, ориентированный на защиту API-интерфейсов до их публичного выпуска.

Французская венчурная фирма Iris лидирует в раунде, в котором также участвует Frst. В раунде участвуют существующие инвесторы Irregular Expressions, Tiny Supercomputers и Kima Ventures. Среди бизнес-ангелов компании Филипп Ланглуа, Мехди Меджауи и Роксана Варза.

«Мы решили создать собственный алгоритм на основе искусственного интеллекта, который может имитировать кибератаки. Как только он обнаружит недостатки в безопасности, он предоставит вам средства для их устранения», — сказал мне соучредитель и генеральный директор Тристан Калос. Он основал стартап вместе с Антуаном Кароссио, и сейчас в Escape работает 10 человек.

С технической точки зрения, Escape — это безагентное решение, поскольку оно интегрируется непосредственно в конвейер разработки. Всякий раз, когда команда разработчиков передает несколько новых строк кода в репозиторий кода, она запускает Escape, используя интеграцию в потоке непрерывной интеграции/непрерывной доставки (CI/CD).

Например, Escape может выявить проблему с ограничением скорости. Это означает, что злоумышленник может использовать эту уязвимость для извлечения больших объемов данных. Escape также может увидеть, правильно ли заблокированы недопустимые действия, чтобы предотвратить манипулирование данными. Он интегрируется с Сник чтобы проблемы с побегом появились в проблемах с кодом вашего сника.

«Это динамические тесты. Мы тестируем не сам исходный код, а приложение во время его работы. Что сложно в API, так это бизнес-логика — как взаимодействовать и как атаковать API. Мы используем обучение с подкреплением. , смесь глубокого обучения и эвристики», — сказал Калос.

Сначала Escape решила сосредоточиться на GraphQL API, поскольку стартап определил, что это будет лучшая стратегия для выхода на рынок. Но в настоящее время компания реализует поддержку REST API, которые более распространены, чем API на основе GraphQL.

Компания уже убедила около 20 клиентов, таких как Sorare, Shine и Neo4J. Как видите, Escape хочет сосредоточиться на более крупных клиентах, которые работают в чувствительных отраслях, включая банки и компании, предоставляющие финансовые услуги. Каждый контракт может стоить десятки тысяч евро в год.

До использования Escape обеспечение безопасности API вашей компании в основном выполнялось вручную. Время от времени крупные компании сотрудничают с аналитиками безопасности, чтобы провести тест на проникновение (или, для краткости, пентест).

«Раз или два в год они приезжают, смотрят на все, что происходит, и дают вам отчет о безопасности. Компании анализируют результаты внутри компании и перечисляют проблемы: мы должны решить это, мы должны решить это», Калос м он сказал.

Но затем компании должны найти разработчиков, отвечающих за эту конкретную часть продукта или конкретный API. Другими словами, это реактивный и несовершенный процесс.

Escape вовсе не хочет заменять пентесты. Пентесты фокусируются не только на API, они гораздо шире. Escape хочет только выявить недостатки безопасности на уровне API, чтобы они были исправлены при первом появлении. Таким образом, большинство проблем уже решено, когда охранная фирма проводит пентест. Это более активная и динамичная модель безопасности, и это может быть хорошим аргументом в пользу продажи.