Português
English
Français
Deutsch
Español
Italiano
日本語
한국어
Русский
Lar
Jan 26, 2024
Escape verifica APIs dinamicamente para encontrar falhas de segurança
A startup francesa Escape levantou uma rodada de financiamento de US$ 3,9 milhões (€ 3,6 milhões)
A startup francesa Escape levantou uma rodada de financiamento de US$ 3,9 milhões (€ 3,6 milhões) logo após encerrar a coorte de inverno de 2023 da Y Combinator. A empresa fornece um produto de segurança cibernética focado em proteger APIs antes de serem lançadas publicamente.
A empresa francesa de VC Iris está liderando a rodada com Frst também participando mais uma vez depois de liderar a rodada pré-semente. Os investidores existentes Irregular Expressions, Tiny Supercomputers e Kima Ventures estão participando da rodada. Alguns dos investidores anjos da empresa incluem Philippe Langlois, Mehdi Medjaoui e Roxanne Varza.
"Decidimos criar um algoritmo personalizado alimentado por inteligência artificial que pode simular ataques cibernéticos. Depois de encontrar falhas de segurança, ele fornecerá remediações", disse o cofundador e CEO Tristan Kalos. Ele fundou a startup com Antoine Carossio, e agora há 10 pessoas trabalhando para Escape.
Em termos mais técnicos, o Escape é uma solução sem agente, pois se integra diretamente ao seu pipeline de desenvolvimento. Toda vez que a equipe de desenvolvimento fizer commit de algumas novas linhas de código no repositório de código, ele acionará o Escape usando uma integração no fluxo de integração/entrega contínua (CI/CD).
Por exemplo, o Escape pode identificar um problema com limitação de taxa. Isso significa que um malfeitor pode aproveitar essa falha para extrair grandes volumes de dados. Escape também pode ver se ações inválidas estão bloqueadas corretamente para evitar a manipulação de dados. Ele se integra ao Snyk para que os problemas de escape apareçam nos problemas de código do seu Snyk.
"São testes dinâmicos. Não testamos o código-fonte em si, mas sim o aplicativo conforme ele é executado. O que é complicado com uma API é a lógica de negócios — como interagir e como atacar a API. Usamos aprendizado por reforço, um mistura de aprendizado profundo e heurística", disse Kalos.
A Escape decidiu primeiro se concentrar nas APIs GraphQL, pois a startup identificou que seria a melhor estratégia de entrada no mercado. Mas a empresa está atualmente lançando suporte para APIs REST, que são mais difundidas do que as APIs baseadas em GraphQL.
A empresa já convenceu cerca de 20 clientes, como Sorare, Shine e Neo4J. Como você pode ver, a Escape quer se concentrar em clientes maiores que trabalham em setores sensíveis, incluindo bancos e empresas de serviços financeiros. Cada contrato pode valer dezenas de milhares de euros por ano.
Antes do Escape, certificar-se de que as APIs da sua empresa estavam protegidas era um processo manual. De vez em quando, grandes empresas trabalham com analistas de segurança para realizar um teste de penetração (ou pentest, para abreviar).
"Uma ou duas vezes por ano, eles vêm, olham para tudo o que está acontecendo e entregam um relatório de segurança. As empresas revisam as descobertas internamente e listam os problemas: temos que resolver isso, temos que resolver aquilo, " Kalos me disse.
Mas então, as empresas precisam encontrar os desenvolvedores responsáveis por essa parte específica do produto ou por aquela API em particular. Em outras palavras, é um processo reativo e imperfeito.
O Escape não quer substituir completamente os pentests. Pentests não se concentram apenas em APIs, eles são muito maiores do que isso. Escape apenas quer revelar falhas de segurança no nível da API para que sejam corrigidas quando aparecerem pela primeira vez. Dessa forma, a maioria dos problemas já está corrigida quando uma empresa de segurança realiza um pentest. É um modelo de segurança mais proativo e dinâmico, e isso pode ser um bom ponto de venda.