Escape escanea dinámicamente las API para encontrar vulnerabilidades de seguridad

Escape escanea dinámicamente las API para encontrar vulnerabilidades de seguridad

inicio francés Escapar recaudó una ronda de financiación de 3,9 millones de dólares (3,6 millones de euros) poco después del final de la cohorte de invierno de 2023 de Y Combinator. La empresa ofrece un producto de ciberseguridad centrado en proteger las API antes del despliegue público.

La firma francesa de capital de riesgo Iris lidera la ronda con la participación de Frst. Los inversores existentes Irregular Expressions, Tiny Supercomputers y Kima Ventures participan en la ronda. Entre los inversores ángeles de la empresa se encuentran Philippe Langlois, Mehdi Medjaoui y Roxanne Varza.

«Nos propusimos crear un algoritmo personalizado impulsado por inteligencia artificial que pueda simular ataques cibernéticos. Una vez que encuentre vulnerabilidades de seguridad, le sugerirá soluciones», me dijo el cofundador y CEO Tristan Kalos, quien fundó la startup con Antoine. Carossio y hoy 10 personas trabajan para Escape.

En términos más técnicos, Escape es una solución sin agente porque se integra directamente en su proceso de desarrollo. Cada vez que el equipo de desarrollo confirma nuevas líneas de código en el repositorio de código, activará Escape usando una integración en el flujo de integración continua/entrega continua (CI/CD).

LEER  Twitter elimina las etiquetas de noticias 'financiadas por el gobierno' después de NPR y otros errores

Por ejemplo, Escape puede identificar un problema de limitación de velocidad. Esto significa que un mal actor podría explotar esta falla para extraer grandes cantidades de datos. Escape también puede ver si las acciones no válidas están bloqueadas correctamente para evitar la manipulación de datos. se integra con Snyk para que los problemas de evasión aparezcan en los problemas de código de Snyk.

“Estas son pruebas dinámicas. No probamos el código fuente en sí, sino la aplicación mientras se ejecuta. Lo que es complicado con una API es la lógica comercial: cómo interactuar y cómo atacar la API. Utilizamos el aprendizaje por refuerzo, una combinación de aprendizaje profundo y heurística”, dijo Kalos.

Escape inicialmente decidió centrarse en las API de GraphQL porque la startup identificó que sería la mejor estrategia de comercialización. Pero la compañía actualmente está implementando soporte para API REST, que son más frecuentes que las API basadas en GraphQL.

LEER  TrueCar despide a 102 empleados y trae un nuevo CEO como parte de la reestructuración

La empresa ya ha convencido a una veintena de clientes, como Sorare, Shine y Neo4J. Como puede ver, Escape quiere enfocarse en clientes más grandes que trabajan en industrias sensibles, incluidos bancos y empresas de servicios financieros. Cada contrato podría valer potencialmente decenas de miles de euros al año.

Antes de usar Escape, asegurarse de que las API de su empresa fueran seguras era principalmente un proceso manual. De vez en cuando, las grandes empresas trabajan con analistas de seguridad para realizar una prueba de penetración (o pentest, para abreviar).

“Vienen una o dos veces al año, miran todo lo que está pasando y te dan un informe de seguridad. Las empresas revisan los hallazgos internamente y enumeran los problemas: tenemos que arreglar esto, tenemos que arreglar aquello”, me dijo Kalos.

Pero luego las empresas necesitan encontrar a los desarrolladores que están a cargo de esa parte específica del producto o esa API en particular. En otras palabras, es un proceso reactivo e imperfecto.

LEER  La startup de préstamos Kala ayuda a los bancos latinoamericanos a ofrecer crédito más fácilmente

Escape no quiere reemplazar completamente los pentests. Los pentests no solo se enfocan en las API, son mucho más amplios que eso. Escape solo quiere resaltar las vulnerabilidades de seguridad a nivel de API para que se solucionen la primera vez que aparezcan. De esta forma, la mayoría de los problemas ya están resueltos cuando una empresa de seguridad realiza un pentest. Es un modelo de seguridad más proactivo y dinámico, y eso podría ser un buen punto de venta.

Más contenidos sobre empresas en América Latina

Deja una respuesta