網(wǎng)絡(luò)安全初創(chuàng)公司 Xbow 獲得 1.2 億美元融資

網(wǎng)絡(luò)安全初創(chuàng)公司 Xbow USA Inc. 已完成 1.2 億美元融資，估值超過 10 億美元。該公司幫助企業(yè)發(fā)現(xiàn)其軟件中的網(wǎng)絡(luò)安全問題。

該公司今日披露，DFJ Growth 和 Northzone 是此輪 C 輪融資的領(lǐng)投方。此輪融資緊隨去年六月完成的 7500 萬美元融資。

企業(yè)發(fā)現(xiàn)基礎(chǔ)設(shè)施漏洞的方法之一是進(jìn)行滲透測試。這些評估由管理員對應(yīng)用程序進(jìn)行模擬網(wǎng)絡(luò)攻擊。滲透測試可以發(fā)現(xiàn)使用其他方法難以發(fā)現(xiàn)的漏洞，但這類評估成本高昂，通常需要數(shù)周時間。

總部位于西雅圖的 Xbow 提供一個使用智能體自動進(jìn)行滲透測試的平臺。據(jù)該公司稱，其軟件可以將網(wǎng)絡(luò)安全評估的時間縮短到幾小時或幾天。

應(yīng)用程序存在眾多邊緣情況，即極不可能遇到但可能構(gòu)成網(wǎng)絡(luò)安全風(fēng)險的用戶交互場景。在手動滲透測試中，管理員往往因時間限制無法覆蓋每一個邊緣情況。Xbow 表示，其平臺的速度使其能夠更全面地分析此類風(fēng)險。

軟件發(fā)現(xiàn)潛在漏洞后，會檢查這些漏洞是否可被利用。這種方法使 Xbow 能夠過濾掉沒有實際泄露風(fēng)險的誤報。該公司表示，其智能體可以開發(fā)高度復(fù)雜的多步驟攻擊鏈。

在一次滲透測試中，Xbow 的平臺進(jìn)行了一次包含 48 種不同攻擊手段的模擬網(wǎng)絡(luò)攻擊。它使用特制的圖像文件模擬所謂的服務(wù)器端請求偽造攻擊。這是一種黑客入侵應(yīng)用程序并利用它從連接的其他系統(tǒng)竊取數(shù)據(jù)的攻擊類型。

在另一次測試中，Xbow 成功解密了受行業(yè)標(biāo)準(zhǔn) AES-128 加密技術(shù)保護(hù)的 cookie。它通過向擁有解密密鑰的服務(wù)器發(fā)送一系列請求來實現(xiàn)這一點。這些請求返回的錯誤消息被 Xbow 的智能體分析，以推斷 cookie 的內(nèi)容。該公司表示，其平臺在 17.5 分鐘內(nèi)完成了這項任務(wù)。

用戶可以通過提供指令來自定義 Xbow 進(jìn)行滲透測試的方式。例如，軟件即服務(wù)初創(chuàng)公司可以要求平臺僅測試新發(fā)布的功能。工程師可以選擇向 Xbow 提供應(yīng)用程序的源代碼，以便為其提供潛在漏洞的更完整視圖。

該公司提供三個版本的平臺。Plus 和 Premium 版本使客戶能夠以一次性費用掃描單個應(yīng)用程序。Xbow Enterprise 是該公司的第三個產(chǎn)品，可以持續(xù)掃描組織的工作負(fù)載以查找漏洞。應(yīng)用程序編程接口使工程師能夠?qū)B透測試的結(jié)果傳輸?shù)狡渌W(wǎng)絡(luò)安全工具。

Xbow 將使用新籌集的資金在國際市場和企業(yè)領(lǐng)域擴大業(yè)務(wù)。該公司還計劃投資功能開發(fā)。

Q&A

Q1：Xbow是什么公司？主要做什么？

A：Xbow USA Inc.是一家網(wǎng)絡(luò)安全初創(chuàng)公司，主要幫助企業(yè)發(fā)現(xiàn)其軟件中的網(wǎng)絡(luò)安全問題。該公司提供使用智能體自動進(jìn)行滲透測試的平臺，可以將網(wǎng)絡(luò)安全評估的時間從數(shù)周縮短到幾小時或幾天。

Q2：自動滲透測試相比傳統(tǒng)方式有什么優(yōu)勢？

A：傳統(tǒng)的手動滲透測試成本高昂且通常需要數(shù)周時間，而且因時間限制無法覆蓋所有邊緣情況。Xbow的自動化平臺速度快，能夠更全面地分析風(fēng)險，還能過濾誤報，開發(fā)復(fù)雜的多步驟攻擊鏈。

Q3：Xbow提供哪些產(chǎn)品版本？

A：Xbow提供三個版本：Plus和Premium版本使客戶能夠以一次性費用掃描單個應(yīng)用程序；Xbow Enterprise版本可以持續(xù)掃描組織的工作負(fù)載以查找漏洞，并通過API將結(jié)果傳輸?shù)狡渌W(wǎng)絡(luò)安全工具。