Paryžiuje įkurta ofensyvaus kibernetinio saugumo inžinerijos platforma „Escape“ pritraukė 15,4 mln. eurų (18 mln. JAV dolerių) A serijos investiciją. Bendrovė siekia pasitelkdama dirbtinio intelekto agentus automatizuoti visą saugumo užtikrinimo ciklą – nuo pažeidžiamumų aptikimo iki jų pašalinimo.

Investicijų etapui vadovavo fondas „Balderton“, taip pat dalyvavo „Uncorrelated Ventures“ ir esami investuotojai „IRIS“ bei „Y Combinator“.

„Saugumo komandos yra per mažos ir skęsta atskiruose, rankiniuose procesuose. Pasaulyje, kuriame kodas rašomas ir atakuojamas DI greičiu, taip tęstis nebegali. Mes kuriame „Escape“ kaip ofensyvaus saugumo inžinerijos platformą, kuri šią problemą išspręstų mastu“, – teigė „Escape“ generalinis direktorius ir vienas iš įkūrėjų Tristanas Kalosas.

„Escape“ įkurta 2020 m., ją įsteigė Tristanas Kalosas ir Antoine’as Carossio. Bendrovė specializuojasi ofensyvaus saugumo inžinerijoje – tai naujas požiūris, kai senesnės kartos skeneriai ir rankiniai procesai keičiami DI agentais, galinčiais aptikti, patikrinti ir padėti pašalinti pažeidžiamumus tiesiai programinės įrangos kūrimo komandos darbo srautuose.

Bendrovės teigimu, DI sutrumpino laiką nuo kodo įdiegimo iki pažeidžiamumo išnaudojimo vos iki kelių valandų. Nors pastaruoju metu daug dėmesio skiriama kodo saugumui dar programuotojo kūrimo aplinkoje, tai esą tėra dalis problemos.

Užpuolikai taikosi į veikiančias sistemas, kur svarbios realios konfigūracijos, integracijos, autentifikavimo procesai ir verslo logika – tai, kas dažniausiai atsiskleidžia tik produkcinėje aplinkoje.

Anot „Escape“, būtent čia veikia jų DI agentai: jie imituoja pažangaus užpuoliko elgseną, kad rastų išnaudojamas logikos spragas ar duomenų nutekėjimus, kurie pasireiškia tik gyvoje aplinkoje, ir padėtų juos pašalinti dar iki realių atakų.

Bendrovė pabrėžia, kad vienkartiniai penetraciniai testai ir fragmentuoti senieji įrankiai nespėja su tempu. Dėl to saugumo komandos, kurių, kaip teigiama, dažnai yra gerokai mažiau nei programuotojų, lieka perkrautos darbais ir pažeidžiamos. „Escape“ teigia siekianti pakeisti šį modelį, automatizuodama visą ofensyvaus saugumo procesą DI agentais.

Platforma siūlo tris pagrindines kryptis:

• Atakos paviršiaus valdymą (Attack Surface Management) – modernių aplikacijų, API ir infrastruktūros matomumui nuo kodo iki debesijos, identifikuojant ir patvirtinant realų atvirumą;
• Dinaminį aplikacijų saugumo testavimą, atsižvelgiant į verslo logiką (Business-Logic-Aware DAST) – tradicinį DAST keičiant išmanesniu, nuolat prisitaikančiu testavimu, orientuotu į realiai išnaudojamas spragas;
• DI penetracinį testavimą (AI Pentesting) – mastelio požiūriu pritaikytą alternatyvą rankiniams pentestams ir „bug bounty“ programoms.

Pasak „Escape“, jų agentai nuolat aptinka, testuoja ir padeda taisyti pažeidžiamumus tiesiogiai inžineriniuose darbo srautuose: automatizuoja atakos paviršiaus atradimą, nuolatinį saugumo testavimą ir kontekstinę sprendimų pasiūlą.

Užuot sugeneravę ataskaitą, kuri įstringa eilėje, agentai esą palaiko procesą nuo pažeidžiamumo aptikimo iki jo sutvarkymo. Taip saugumo komandų poveikis didinamas be papildomų etatų ar pranešimų lavinos.

Siekdama parodyti grėsmės mastą, „Escape“ nurodė, kad jų komanda neseniai aptiko daugiau kaip 2 000 didelės įtakos pažeidžiamumų 5 600 viešai prieinamų vadinamųjų „vibe-coded“ aplikacijų. Tarp jų fiksuota 175 atvejai, kai buvo atskleisti asmens duomenys, dažnai kartu atveriant kelias jautrias paslaptis vienu metu. Bendrovė teigia, kad visi šie pažeidžiamumai buvo realiose produkcinėse sistemose ir aptinkami per kelias valandas.

„Didėjant programinės įrangos kūrėjų – tiek žmonių, tiek agentinių – skaičiui, saugumo komandos susiduria su neįmanoma dilema: kliautis senais skeneriais, žinant, kad jie neprilygsta penetraciniams testams, arba remtis rankinėmis ofensyvaus saugumo komandomis ir nesugebėti išsiplėsti iki kodo apimčių. „Escape“ išsprendė šį iššūkį, sukurdama pirmąją pasaulyje DI gimtą (AI-native) ofensyvaus saugumo platformą, kuri sujungia technologijų mastelį ir nenutrūkstamą pajėgumą su jūsų saugumo komandos išradingumu“, – sakė „Balderton Capital“ partneris Suranga Chandratillake.

Naujai pritrauktos lėšos bus skirtos platformos DI agentų galimybėms plėsti, įskaitant agentinį penetracinį testavimą, kai analizuojama aplikacijos logika, o ne vien ieškoma žinomų šablonų. Taip pat planuojama plėsti inžinerijos ir pardavimų (go-to-market) komandas, siekiant patenkinti augančią įmonių paklausą JAV ir Europoje.

„Escape“ taip pat priminė, kad po dalyvavimo „Y Combinator“ 2023 m. programoje buvo pranešta apie 3,6 mln. eurų pradinės (Seed) investicijos etapą.

Bendrovė teigia, kad jų sprendimu naudojasi daugiau kaip 2 000 saugumo komandų visame pasaulyje, įskaitant tokias įmones kaip „BetterHelp“, „PandaDoc“, „CyberCube“ ir „Arkose Labs“. „Escape“ nurodo, kad vienas nesenas klientas, įdiegęs platformą, pasiekė 393% investicijų grąžą (ROI) ir sutrumpino saugumo testavimo procesus nuo penkių dienų iki penkių valandų.

Pasak bendrovės, šiuo metu „Escape“ kas mėnesį visame pasaulyje atlieka daugiau kaip 300 000 saugumo vertinimų, o tai prilygsta dienoms rankinio testavimo, kurias saugumo komandos gali susigrąžinti kiekvieną mėnesį.