Französisches Startup Fliehen hat kurz nach Abschluss der Winterkohorte 2023 von Y Combinator eine Finanzierungsrunde in Höhe von 3,9 Millionen US-Dollar (3,6 Millionen Euro) eingeworben. Das Unternehmen bietet ein Cybersicherheitsprodukt an, das sich auf die Sicherung von APIs vor ihrer öffentlichen Einführung konzentriert.
Die französische VC-Firma Iris führt die Runde an, an der auch Frst teilnimmt. An der Runde beteiligen sich die bestehenden Investoren „Irregular Expressions“, „Tiny Supercomputers“ und „Kima Ventures“. Zu den Angel-Investoren des Unternehmens gehören Philippe Langlois, Mehdi Medjaoui und Roxanne Varza.
„Wir haben uns entschieden, einen benutzerdefinierten Algorithmus zu entwickeln, der auf künstlicher Intelligenz basiert und Cyberangriffe simulieren kann. Sobald Sicherheitslücken gefunden wurden, erhalten Sie Abhilfe“, sagte mir Mitbegründer und CEO Tristan Kalos. Er gründete das Startup zusammen mit Antoine Carossio und mittlerweile arbeiten 10 Leute für Escape.
Technisch gesehen ist Escape eine agentenlose Lösung, da sie direkt in Ihre Entwicklungspipeline integriert wird. Jedes Mal, wenn das Entwicklerteam einige neue Codezeilen im Code-Repository festschreibt, wird Escape mithilfe einer Integration im Continuous Integration/Continuous Delivery Flow (CI/CD) ausgelöst.
Escape kann beispielsweise ein Problem mit der Ratenbegrenzung identifizieren. Das bedeutet, dass ein böswilliger Akteur diesen Fehler ausnutzen könnte, um große Datenmengen zu extrahieren. Escape kann auch erkennen, ob ungültige Aktionen ordnungsgemäß blockiert werden, um Datenmanipulationen zu verhindern. Es integriert sich mit Snyk sodass Escape-Probleme in den Code-Problemen Ihres Snyk auftauchen.
„Das sind dynamische Tests. Wir testen nicht den Quellcode selbst, sondern die Anwendung während der Ausführung. Was an einer API kompliziert ist, ist die Geschäftslogik – wie man interagiert und wie man die API angreift. Wir verwenden Reinforcement Learning, eine Mischung aus Deep Learning und Heuristik“, sagte Kalos.
Escape entschied sich zunächst dafür, sich auf GraphQL-APIs zu konzentrieren, da das Startup erkannte, dass dies die beste Markteinführungsstrategie wäre. Allerdings führt das Unternehmen derzeit die Unterstützung für REST-APIs ein, die weiter verbreitet sind als GraphQL-basierte APIs.
Das Unternehmen hat bereits rund 20 Kunden überzeugt, darunter Sorare, Shine und Neo4J. Wie Sie sehen, möchte sich Escape auf größere Kunden konzentrieren, die in sensiblen Branchen tätig sind, darunter Banken und Finanzdienstleistungsunternehmen. Jeder Vertrag könnte potenziell Zehntausende Euro pro Jahr wert sein.
Vor der Verwendung von Escape war es meist ein manueller Prozess, sicherzustellen, dass die APIs Ihres Unternehmens gesichert sind. Hin und wieder arbeiten große Unternehmen mit Sicherheitsanalysten zusammen, um einen Penetrationstest (oder kurz Pentest) durchzuführen.
„Ein- oder zweimal im Jahr kommen sie vorbei, schauen sich alles an, was vor sich geht, und überreichen Ihnen einen Sicherheitsbericht. Unternehmen überprüfen die Ergebnisse intern und listen die Probleme auf: Wir müssen dies lösen, wir müssen das lösen“, sagte mir Kalos.
Aber dann müssen Unternehmen die Entwickler finden, die für diesen bestimmten Teil des Produkts oder diese API im Besonderen verantwortlich sind. Mit anderen Worten: Es handelt sich um einen reaktiven und unvollkommenen Prozess.
Escape will Pentests nicht gänzlich ersetzen. Pentests konzentrieren sich auch nicht nur auf APIs, sie sind viel umfassender. Escape möchte lediglich Sicherheitslücken auf API-Ebene aufdecken, damit diese behoben werden, sobald sie zum ersten Mal auftreten. Auf diese Weise sind die meisten Probleme bereits behoben, wenn ein Sicherheitsunternehmen einen Pentest durchführt. Es handelt sich um ein proaktiveres und dynamischeres Sicherheitsmodell, und das könnte ein gutes Verkaufsargument sein.