Escape는 API를 동적으로 스캔하여 보안 결함을 찾습니다.

소식

홈페이지홈페이지 / 소식 / Escape는 API를 동적으로 스캔하여 보안 결함을 찾습니다.

Jan 26, 2024

Escape는 API를 동적으로 스캔하여 보안 결함을 찾습니다.

프랑스 스타트업 Escape가 390만 달러(360만 유로)의 자금을 조달했습니다.

프랑스 스타트업 Escape는 Y Combinator의 2023년 겨울 코호트를 종료한 직후 390만 달러(360만 유로)의 자금 조달 라운드를 모금했습니다. 회사는 공개적으로 출시되기 전에 API 보안에 중점을 둔 사이버 보안 제품을 제공합니다.

프랑스 VC 회사 Iris가 라운드를 주도하고 있으며 Frst도 사전 시드 라운드를 주도한 후 다시 한 번 참여했습니다. 이번 라운드에는 기존 투자자인 이레귤러 익스프레션즈(Irregular Expressions), 타이니슈퍼컴퓨터(Tiny Supercomputers), 키마벤처스(Kima Ventures)가 참여하고 있다. 회사의 엔젤 투자자로는 Philippe Langlois, Mehdi Medjaoui 및 Roxanne Varza가 있습니다.

공동 창립자이자 CEO인 Tristan Kalos는 "우리는 사이버 공격을 시뮬레이션할 수 있는 인공 지능으로 구동되는 맞춤형 알고리즘을 만들기로 결정했습니다. 일단 보안 결함이 발견되면 교정 조치를 제공할 것입니다"라고 말했습니다. 그는 Antoine Carossio와 함께 스타트업을 설립했으며 현재 Escape에는 10명이 일하고 있습니다.

보다 기술적인 측면에서 Escape는 개발 파이프라인에 직접 통합되는 에이전트 없는 솔루션입니다. 개발팀이 코드 저장소에 새로운 코드 줄을 커밋할 때마다 CI/CD(지속적 통합/지속적 전달 흐름)의 통합을 사용하여 Escape를 트리거합니다.

예를 들어 Escape는 속도 제한 문제를 식별할 수 있습니다. 이는 악의적인 행위자가 이 결함을 활용하여 대량의 데이터를 추출할 수 있음을 의미합니다. Escape에서는 데이터 조작을 방지하기 위해 유효하지 않은 작업이 제대로 차단되었는지 확인할 수도 있습니다. Snyk와 통합되어 Snyk의 코드 문제에 Escape 문제가 나타납니다.

"이것은 동적 테스트입니다. 우리는 소스 코드 자체를 테스트하지 않고 애플리케이션이 실행되는 동안 테스트합니다. API에서 복잡한 것은 비즈니스 로직, 즉 API를 공격하는 방법과 상호 작용하는 방법입니다. 우리는 강화 학습을 사용합니다. 딥 러닝과 휴리스틱을 혼합한 것입니다."라고 Kalos는 말했습니다.

Escape는 먼저 GraphQL API에 집중하기로 결정했습니다. 이는 스타트업이 최고의 시장 진출 전략이 될 것이라고 판단했기 때문입니다. 그러나 회사는 현재 GraphQL 기반 API보다 더 널리 사용되는 REST API에 대한 지원을 출시하고 있습니다.

회사는 이미 Sorare, Shine, Neo4J 등 약 20개 고객을 설득했습니다. 보시다시피 Escape는 은행 및 금융 서비스 회사를 포함하여 민감한 산업에 종사하는 대규모 고객에게 초점을 맞추고 싶어합니다. 각 계약의 가치는 잠재적으로 연간 수만 유로에 달할 수 있습니다.

Escape 이전에는 회사의 API가 안전한지 확인하는 것이 대부분 수동 프로세스였습니다. 때때로 대기업은 보안 분석가와 협력하여 침투 테스트(또는 줄여서 침투 테스트)를 수행합니다.

"1년에 한두 번 그들은 와서 모든 상황을 살펴보고 보안 보고서를 건네줍니다. 회사는 내부적으로 조사 결과를 검토하고 문제를 나열합니다. 우리는 이것을 해결해야 합니다. 우리는 저것을 해결해야 합니다. "칼로스가 나에게 말했다.

하지만 기업은 제품의 특정 부분이나 특히 API를 담당하는 개발자를 찾아야 합니다. 즉, 이는 반응적이고 불완전한 프로세스입니다.

Escape는 침투 테스트를 완전히 대체하고 싶지 않습니다. 침투 테스트는 API에만 초점을 맞추는 것이 아니라 그보다 훨씬 더 큽니다. Escape는 API 수준에서 보안 결함을 표면화하여 처음 나타날 때 수정되기를 원합니다. 이렇게 하면 보안업체가 침투 테스트를 실시하면 대부분의 문제가 이미 해결됩니다. 이는 보다 적극적이고 역동적인 보안 모델이며 이는 좋은 판매 포인트가 될 수 있습니다.