网络安全初创公司Xbow USA Inc.刚拿了1.2亿美元的钱,估摸着值10亿多。这家公司能帮企业发现自家软件里的安全漏洞。 DFJ Growth和Northzone是这次C轮融资的领头羊。他们上次拿了7500万还是去年六月的事呢。找基础设施漏洞最常见的法子就是做渗透测试,这事儿通常得花大钱,搞不好还得搞几个礼拜。这就好比让人拿着工具去模拟黑客攻击系统,看看有什么破绽。 但那种传统做法有个大毛病:时间长不说,还经常因为赶工没法把所有犄角旮旯都检查一遍。 Xbow就是不一样,总部在西雅图的他们弄了个能让智能体自己动手干活的平台。听说用了这东西,安全评估从过去的几周就能缩短到几小时甚至几天。 软件这玩意儿有好多特别边缘的情况,用户平时基本碰不到,可碰上了就是大麻烦。以前手动做渗透测试的时候,因为时间不够根本顾不过来。Xbow这平台速度快,就有机会把这些风险全都分析透。 不光速度快,它还能过滤掉那些假警报。一旦发现漏洞,软件还会去判断这漏洞到底能不能真的让黑客得逞。 这平台挺厉害的,能玩出那种特别复杂的多步攻击套路。有次测试就一口气模拟了48种不同的攻击手段。甚至还玩过那种服务器端请求伪造的戏码。 更绝的是在另一次测试里,他们直接把受行业标准AES-128加密保护的cookie给破解了。他们给拥有解密密钥的服务器发了好几个请求,服务器返回的错误信息都被Xbow的智能体给拿来当线索了,结果只用了17.5分钟就把内容都扒出来了。 你想让Xbow怎么测试都行,比如给软件即服务的公司看看最新发布的功能。工程师甚至可以把应用的源代码都交出来给它分析。 这平台有Plus和Premium两个版本让你一次性扫描单个应用。还有个Xbow Enterprise是第三个产品,专门用来持续扫描组织里的工作负载找漏洞。而且它还带API接口,工程师能直接把测试结果传到别的安全工具里去。 拿到这笔新钱之后,Xbow打算在国际市场和企业界再把摊子铺大点。同时也打算给自家功能多加点料。