网络安全领域的初创公司Xbow USA Inc.刚刚获得了1.2亿美元的大笔融资,这让它的估值一下子突破了10亿美元。这家公司专门帮助企业找出软件里那些看不见的网络安全漏洞。这次的钱是DFJ Growth还有Northzone给投的C轮。这其实是紧接在去年6月7500万美元之后的下一笔大投入。要想发现基础设施里的漏洞,很多公司都得靠渗透测试,也就是管理员假装去攻击应用程序来做评估。但这种办法成本太高,通常要忙活好几周。总部设在美国西雅图的Xbow就不一样,他们有一个能自动跑渗透测试的智能平台。据他们说,这个软件能把传统那种要几周的评估时间压缩到短短几小时或者几天。 应用程序里其实藏了不少边缘情况,虽然平时不太会碰到,但搞不好就是网络安全的大风险。以前手动测试的时候,管理员往往因为时间太紧,根本顾不上每个角落。Xbow说自己的平台速度快,能让工程师更全面地去分析这些风险。软件发现潜在漏洞后,还会检查它到底能不能被人利用,这样就把那些没啥实际威胁的误报都给过滤掉了。 这家公司说他们的智能体能造出很复杂的多步攻击链。有一次测试里,他们的平台一口气搞出了48种不同的攻击手段来模拟网络攻击。它甚至还能造个特别的图片文件去搞所谓的服务器端请求伪造攻击,这是黑客入侵应用程序然后从连在一起的其他系统里偷数据的一种招数。还有一次测试更绝,Xbow居然破解了受行业标准AES-128加密保护的cookie。它就是通过给掌握解密密钥的服务器发一连串请求,再从返回的错误消息里分析出cookie内容的。 这个活儿本来是挺难的,但他们硬是在17.5分钟里搞定了。用户也可以自己出主意定制测试方式。比如说软件即服务的公司想让它只盯着新发布的功能测。工程师还可以把源码直接喂给Xbow,这样它就能看个清清楚楚。 Xbow一共推出了三个版本的平台:Plus和Premium这两个版本让客户能花一笔一次性的钱去扫个单个的应用程序;第三个Xbow Enterprise版本则是用来持续盯着组织里所有的工作负载找漏洞的。它还给工程师提供了API接口,方便大家把结果传到别的安全工具里去用。 拿到这笔新钱之后,Xbow打算把业务撒向国际市场和大企业的领域。他们还想接着在功能开发上多下点功夫。 有个网友问:“Xbow到底是家什么公司?”我回答说:“它就是Xbow USA Inc.,一家专门帮企业找软件里网络安全问题的初创公司。”他接着问:“自动渗透测试跟以前的有啥不一样?”我告诉他:“以前的手动测试费钱又费时间,而且因为没时间往往只能测个大概。Xbow的自动化平台不仅快,还能把风险看个透透的,还能去掉假警报。”最后他问:“有啥产品版本?”我回答道:“有Plus和Premium这种一次付费扫一个应用的版本;还有能一直盯着整个组织干活的Xbow Enterprise版,还能通过API传数据给别的工具用。”