IriusRiskTehdit modelleme platformu , bugün Paladin Capital Group liderliğindeki BrightPixel Capital, SwanLab Venture Factory, 360 Capital ve Inveready’nin katılımıyla B Serisi finansman turunda 29 milyon dolar topladığını duyurdu. TechCrunch ile yaptığı konuşmada CEO Stephen de Vries, şirketin toplamı 40 milyon dolara yaklaştıkça gelirin IriusRisk’in ABD ve Avrupa, Orta Doğu ve Afrika satış ve pazarlama ekiplerinin büyümesine harcanacağını söyledi.
Daha önce siber güvenlik firması Corsaire, KPMG ve ISS’de baş güvenlik danışmanı olarak çalışan De Vries, şirketlerin, geliştiricilerin güvenliği göz önünde bulundurarak tasarlamadıkları yazılımlar üzerinde güvenlik testleri yaparak kaynaklarını boşa harcadıklarının farkına vardığını söyledi. De Vries’in teoriye göre geliştiriciler, tasarımlarındaki güvenlik kusurlarını tehdit modelleme yoluyla (yani yazılıma zarar veren tehdit türlerini belirleyerek) anlayabilselerdi, bu güvenlik incelemelerinin neden olduğu darboğazı azaltırdı.
Gerçekten de, tehdit modelleme pek çok kuruluşta akıllarda ilk sırada yer almıyor gibi görünüyor. Golfdale Danışmanlığında anket Geçen yıl siber güvenlik sağlayıcısı Security Compass tarafından görevlendirilen geliştiricilerin %10’undan azı, kuruluşlarında geliştirdikleri uygulamaların %90’ında veya daha fazlasında tehdit modellemesi yapıldığını bildirdi. Yalnızca %25’i, kuruluşlarının yazılım geliştirmenin ilk aşamalarında, gereksinim toplama ve tasarım gibi, geliştirmeye devam etmeden önce tehdit modellemesi gerçekleştirdiğini söyledi.
De Vries, Başkan Joe Biden’ın yakın tarihli bir raporuna işaret ederek, “Tehdit modelleme artık güvenli yazılım geliştirme için gerekli bir faaliyet olarak belirlendi” dedi. icra emri uygulama kodunu doğrulamak için “önerilen minimum” bir tehdit modellemesi oluşturmak. “Bir faaliyet olarak tehdit modellemesi hala nispeten yeni olduğundan, kuruluşların bir tehdit modelleme programı başlatırken neyin işe yarayıp neyin yaramadığı konusunda stratejiler, ipuçları ve püf noktaları paylaşması gerekiyor.”
IriusRisk, tehditleri modellemek için örüntü tabanlı bir yaklaşım benimseyerek, istemci tarafında ve bulutta barındırılan kod tabanlarını “anlamak” için bir kural motorundan yararlanır. Amazon Web Services (AWS) CloudFormation, HashiCorp Terraform ve Microsoft Visio gibi platformların kullanıcıları, kodu içe aktarmak ve otomatik olarak bir diyagram ve tehdit modeli oluşturmak için IriusRisk’e dokunabilir.
IriusRisk’in tehdit modelleme panosu. Resim Kredisi: IriusRisk
IriusRisk ayrıca veri analistleri ve bilim adamları tarafından kuruluşlarındaki tehdit verilerini yorumlamak için kullanılabilecek raporlar ve günlükler içeren bir analitik modülü de sağlar. Bu verilerin ayrıntı düzeyini ve doğruluğunu artırmak için müşteriler, AWS, Google Cloud, Azure ve endüstriyel kontrol sistemleri.
“IriusRisk, teknik karar vericilerin yazılım geliştirme yaşam döngüsünün başlangıcından itibaren güvenliği pişirmelerine olanak tanıyarak, onu bir kuruluşun ürün portföyünde tutarlı bir şekilde uygulanabilen, kolayca uygulanan bir uygulamaya dönüştürerek, büyük ölçekte tasarım gereği güvenlik yaratmaktadır.” dedi Vries. “Kuruluşlar, IriusRisk’in bilinen bileşenler için mevcut tehdit modellerini içeren kapsamlı güvenlik standartları kitaplıklarından, kapsamlı güvenlik standartlarından ve ekiplerin önce güvenli yazılım oluşturmasına ve yasal gereksinimleri otomatik olarak ele almasına yardımcı olan uyumluluk kitaplıklarından yararlanıyor.”
Rekabet hakkında soru sorulduğunda de Vries, Spectral gibi girişimlerin bazı açılardan IriusRisk’e benzer bir yaklaşım benimsediğini kabul etti. Ancak, şirketinin en büyük rakiplerinin eğrinin gerisinde olduğunu ve “beyaz tahtalar ve belki de ilkel araçlar” ile manuel olarak tehdit modellemesi gerçekleştirdiğini iddia etti.
“Minimum geliştirici sürtünmesi ile tutarlı ve geniş ölçekte tehdit modellemesi gerçekleştirme sorununu çözmeye odaklandık. Yaklaşımlarını güvenlik ekibinden alıp mühendislik ekiplerine alarak olgunlaştırmak isteyen kuruluşlarla sık sık konuşuyoruz” dedi. “Daha geniş tehdit modelleme topluluğuna önemli bir yatırım yapıyoruz.”
IriusRisk, 2021 yılına kadar iş ortağı tabanını dört kattan fazla artırdığını ve ücretsiz teklifi IriusRisk Community Edition’ı aktif kullanıcılar açısından %120 artırdığını (5.400’ün biraz üzerinde) iddia ediyor. De Vries, geçen yıl ücretsiz platform üzerinden 4.000’den fazla projenin yürütüldüğünü söyledi – IriusRisk, tehdit modelleme araçları ile mevcut mimari ve mevcut mimari ve güvenlik araçları.
“Müşterilerimiz arasında altı Küresel olarak sistemik açıdan önemli 30 banka ve dokuz Fortune 100 şirketi… Devlet kurumları, askeri son kullanıcıları destekleyen bir dijital adli tıp şirketinin yanı sıra aracı kullanıyor” dedi. “Uygulama güvenliği veya siber güvenlik ekiplerinin yazılımımızı benimsemesi ve ardından bir tehdit modelleme kabiliyetine kendi kendilerine hizmet edebilmeleri için daha geniş mühendislik organizasyonuna dağıtması çok tipiktir… Son iki yıldır yıldan yıla ve şu anda yıldan yıla %120 büyüme hızındayız.”
IriusRisk’in bugün 137 çalışanı var ve yıl sonuna kadar çalışan sayısını 160’a çıkarmayı planlıyor.