Language
Escape は API を動的にスキャンしてセキュリティ上の欠陥を見つけます

ニュース

ホームページホームページ / ニュース / Escape は API を動的にスキャンしてセキュリティ上の欠陥を見つけます
search
最近のニュース

May 31, 2023

最高のキノコグミ 10

Sep 16, 2023

最高のキノコグミ 10

Nov 19, 2023

最高のキノコグミ 10

May 12, 2023

最高のキノコグミ 10

Jan 03, 2024

最高のキノコグミ 10

お問い合わせを送信してください
送信

Jan 26, 2024

Escape は API を動的にスキャンしてセキュリティ上の欠陥を見つけます

La startup francese Escape raccoglie 3,9 milioni di dollari (3,6 milioni di euro) in un round di finanziamento

フランスのスタートアップ Escape は、Y Combinator の 2023 年冬のコホート終了直後に、390 万ドル (360 万ユーロ) の資金調達ラウンドを調達した。 同社は、API が公開される前に API を保護することに重点を置いたサイバーセキュリティ製品を提供しています。

フランスのVC企業Irisがラウンドをリードしており、Frstもプレシードラウンドをリードした後、再び参加している。 既存の投資家であるIrregular Expressions、Tiny Supercomputers、Kima Venturesがラウンドに参加している。 同社のエンジェル投資家には、フィリップ・ラングロワ氏、メディ・メジャウイ氏、ロクサーヌ・ヴァルザ氏などが含まれる。

「私たちは、サイバー攻撃をシミュレートできる人工知能を活用したカスタム アルゴリズムを作成することにしました。セキュリティ上の欠陥が見つかると、修復策が提供されます」と共同創設者兼 CEO の Tristan Kalos 氏は私に語った。 彼は Antoine Carossio とともにこのスタートアップを設立し、現在 10 名が Escape で働いています。

より技術的に言えば、Escape は開発パイプラインに直接統合されるエージェントレス ソリューションです。 開発チームがコード リポジトリに新しいコード行をコミットするたびに、継続的インテグレーション/継続的デリバリー フロー (CI/CD) の統合を使用して Escape がトリガーされます。

たとえば、Escape はレート制限の問題を特定できます。 つまり、悪意のある攻撃者がこの欠陥を利用して大量のデータを抽出する可能性があります。 Escape では、データ操作を防ぐために無効なアクションが適切にブロックされているかどうかを確認することもできます。 Snyk と統合されているため、エスケープの問題が Snyk のコードの問題に表示されます。

「これらは動的テストです。私たちはソース コード自体をテストするのではなく、アプリケーションが実行されるときにテストします。API で複雑なのは、API と対話する方法と攻撃する方法というビジネス ロジックです。私たちは強化学習を使用します。ディープラーニングとヒューリスティックを組み合わせたものです」とカロス氏は語った。

Escape は、スタートアップが最良の市場開拓戦略であると判断したため、最初に GraphQL API に焦点を当てることにしました。 しかし、同社は現在、GraphQL ベースの API よりも広く普及している REST API のサポートを展開しています。

同社はすでにSorare、Shine、Neo4Jなど約20社のクライアントを説得している。 ご覧のとおり、Escape は、銀行や金融サービス会社など、デリケートな業界で働く大規模なクライアントに焦点を当てたいと考えています。 各契約は年間数万ユーロの価値がある可能性があります。

Escape が登場する前は、会社の API が保護されていることを確認することは、ほとんどが手動のプロセスでした。 時々、大企業はセキュリティ アナリストと協力して侵入テスト (略してペネトレーション テスト) を実施します。

「年に 1 ~ 2 回、彼らがやって来て、何が起こっているかをすべて調べて、セキュリティ レポートを手渡します。企業は社内で調査結果をレビューし、問題をリストアップします。これも解決しなければなりません、あれも解決しなければなりません。 「カロスは私に言いました。

しかしその後、企業は製品の特定の部分、または特にその API を担当する開発者を見つけなければなりません。 言い換えれば、それは受け身で不完全なプロセスです。

Escape はペンテストを完全に置き換えることを望んでいません。 ペンテストは API だけに焦点を当てているわけではなく、それよりもはるかに大規模なものです。 Escape は、セキュリティ上の欠陥を API レベルで表面化し、最初に見つかった時点で修正できるようにしたいだけです。 このようにして、セキュリティ会社がペネトレーションテストを実施する時点で、ほとんどの問題はすでに修正されています。 これはよりプロアクティブで動的なセキュリティ モデルであり、それが優れたセールス ポイントになる可能性があります。