[ad_1]
威胁建模平台 IriusRisk 今天宣布,它在由 Paladin Capital Group 牵头的 B 轮融资中筹集了 2900 万美元,参与方包括 BrightPixel Capital、SwanLab Venture Factory、360 Capital 和 Inveready。 在与 TechCrunch 的对话中,首席执行官 Stephen de Vries 表示,随着 IriusRisk 的融资总额接近 4000 万美元,收益将用于发展 IriusRisk 在美国和欧洲、中东和非洲的销售和营销团队。
De Vries 曾在网络安全公司 Corsaire、毕马威和 ISS 担任首席安全顾问,他表示,他意识到公司正在浪费资源对开发人员设计时没有考虑安全性的软件进行安全测试。 如果开发人员可以通过威胁建模来了解他们设计中的安全缺陷——即识别对软件造成损害的威胁类型——它将减少安全审查造成的瓶颈,de Vries 推测。
事实上,威胁建模似乎并不是许多组织的首要考虑因素。 在去年由网络安全供应商 Security Compass 委托进行的 Golfdale Consulting 调查中,不到 10% 的开发人员报告说,他们在其组织开发的 90% 或更多应用程序上执行了威胁建模。 只有 25% 的人表示,他们的组织在软件开发的早期阶段(如需求收集和设计)在继续开发之前进行了威胁建模。
“威胁建模现在已被确立为安全软件开发的必要活动,”德弗里斯说——他指出乔·拜登总统最近的行政命令将威胁建模确立为验证应用程序代码的“推荐最低限度”。 “由于威胁建模作为一项活动仍然相对较新,因此组织需要分享策略、提示和技巧,以了解在推出威胁建模计划时哪些有效,哪些无效。”
IriusRisk 利用规则引擎“推理”客户端和云托管代码库,采用基于模式的方法来建模威胁。 Amazon Web Services (AWS) CloudFormation、HashiCorp Terraform 和 Microsoft Visio 等平台的用户可以点击 IriusRisk 导入代码并自动生成图表和威胁模型。
IriusRisk 的威胁建模仪表板。 图片来源: Irius风险
IriusRisk 还提供了一个带有报告和日志的分析模块,数据分析师和科学家可以使用这些模块来解释来自其组织内的威胁数据。 为了提高这些数据的粒度和准确性,客户可以将其行业或公司独有的 IriusRisks 模式检测库组件添加到 AWS、谷歌云、Azure 和工业控制系统中。
“IriusRisk 允许技术决策者从软件开发生命周期的一开始就融入安全性,将其转变为一种易于实施的实践,可以在组织的产品组合中一致地应用,从而大规模地按设计创建安全性,”de弗里斯说。 “组织受益于 IriusRisk 广泛的安全标准库,其中包括已知组件的现有威胁模型、全面的安全标准和合规库,可帮助团队首先构建安全软件并自动满足监管要求。”
当被问及竞争时,de Vries 承认像 Spectral 这样的初创公司在某些方面采取了类似于 IriusRisk 的方法。 但他断言,他公司最大的竞争对手落后于潮流,使用“白板和可能的基本工具”手动执行威胁建模。
“我们专注于解决以最小的开发人员摩擦持续和大规模执行威胁建模的问题。 我们经常与组织交谈……他们希望通过将其从安全团队中取出并进入工程团队来成熟他们的方法,“de Vries 补充道。 “我们正在对更广泛的威胁建模社区进行重大投资。”
IriusRisk 声称到 2021 年其合作伙伴基础增加了四倍多,并且其免费产品 IriusRisk 社区版的活跃用户增长了 120%(刚刚超过 5,400)。 de Vries 说,去年有 4,000 多个项目通过该免费平台运行,他预计 IriusRisk 计划于 11 月推出新的开放威胁模型格式时,这个数字将会增长,以实现威胁建模工具与现有架构和现有架构之间更好的互操作性。安全工具。
“我们的客户包括全球 30 家具有系统重要性的银行中的 6 家和 9 家财富 100 强公司……政府组织正在使用该工具,以及一家支持军事最终用户的数字取证公司,”de Vries 说。 “应用程序安全或网络安全团队采用我们的软件,然后将其推广到更广泛的工程组织,这样他们就可以自助服务威胁建模能力,这是非常典型的……我们的年度经常性收入增长了超过 106%-过去两年同比增长,目前同比增长 120%。”
IriusRisk 目前拥有 137 名员工,并计划在年底前将员工人数扩大到 160 人。
[ad_2]
Source link
