Escape secara dinamis memindai API untuk menemukan kelemahan keamanan
Startup Prancis Escape telah mengumpulkan putaran pendanaan $3,9 juta (€3,6 juta) tak lama setelah mengakhiri kelompok musim dingin 2023 Y Combinator. Perusahaan menyediakan produk keamanan siber yang berfokus pada pengamanan API sebelum diluncurkan ke publik.
Perusahaan VC Prancis Iris memimpin putaran dengan Frst juga berpartisipasi. Investor yang sudah ada, Irregular Expressions, Tiny Supercomputers, dan Kima Ventures berpartisipasi dalam putaran tersebut. Beberapa investor malaikat perusahaan termasuk Philippe Langlois, Mehdi Medjaoui dan Roxanne Varza.
“Kami memutuskan untuk membuat algoritme khusus yang didukung oleh kecerdasan buatan yang dapat mensimulasikan serangan dunia maya. Setelah menemukan kelemahan keamanan, itu akan memberi Anda perbaikan, ”kata co-founder dan CEO Tristan Kalos kepada saya. Dia mendirikan startup dengan Antoine Carossio dan sekarang ada 10 orang yang bekerja untuk Escape.
Dalam istilah yang lebih teknis, Escape adalah solusi tanpa agen karena terintegrasi langsung dalam jalur pengembangan Anda. Setiap kali tim pengembang melakukan beberapa baris kode baru dalam repositori kode, itu akan memicu Escape menggunakan integrasi dalam continuous integration/continuous delivery flow (CI/CD).
Misalnya, Escape dapat mengidentifikasi masalah dengan pembatasan tarif. Artinya, aktor jahat dapat memanfaatkan kelemahan ini untuk mengekstraksi data dalam jumlah besar. Escape juga dapat melihat apakah tindakan yang tidak valid diblokir dengan benar untuk mencegah manipulasi data. Itu terintegrasi dengan Snyk sehingga masalah Escape muncul di masalah kode Snyk Anda.
“Ini adalah tes dinamis. Kami tidak menguji kode sumber itu sendiri, melainkan aplikasi saat dijalankan. Apa yang rumit dengan API adalah logika bisnis — cara berinteraksi dan cara menyerang API. Kami menggunakan pembelajaran penguatan, perpaduan pembelajaran mendalam dan heuristik, ”kata Kalos.
Escape pertama-tama memutuskan untuk fokus pada API GraphQL karena startup mengidentifikasi bahwa itu akan menjadi strategi go-to-market terbaik. Tetapi perusahaan saat ini meluncurkan dukungan untuk REST API, yang lebih tersebar luas daripada API berbasis GraphQL.
Perusahaan telah meyakinkan sekitar 20 klien, seperti Sorare, Shine dan Neo4J. Seperti yang Anda lihat, Escape ingin fokus pada klien besar yang bekerja di industri sensitif, termasuk bank dan perusahaan jasa keuangan. Setiap kontrak berpotensi bernilai puluhan ribu euro per tahun.
Sebelum menggunakan Escape, memastikan API perusahaan Anda diamankan sebagian besar merupakan proses manual. Sesekali, perusahaan besar bekerja dengan analis keamanan untuk melakukan uji penetrasi (atau disingkat pentest).
“Sekali atau dua kali setahun, mereka datang, melihat semua yang terjadi dan memberi Anda laporan keamanan. Perusahaan meninjau temuan secara internal dan membuat daftar masalahnya: kita harus menyelesaikan ini, kita harus menyelesaikannya,” kata Kalos kepada saya.
Tetapi kemudian, perusahaan harus menemukan pengembang yang bertanggung jawab atas bagian khusus dari produk ini atau API tersebut secara khusus. Dengan kata lain, ini adalah proses yang reaktif dan tidak sempurna.
Escape tidak ingin mengganti pentest sama sekali. Pentest tidak hanya fokus pada API, mereka jauh lebih besar dari itu. Escape hanya ingin memunculkan kelemahan keamanan pada level API sehingga diperbaiki saat pertama kali muncul. Dengan cara ini, sebagian besar masalah sudah diperbaiki saat perusahaan keamanan melakukan pentest. Ini adalah model keamanan yang lebih proaktif dan dinamis, dan itu bisa menjadi nilai jual yang bagus.