Burp Suite güvenlik test araçlarının arkasındaki şirket PortSwigger, 112 milyon doları yuttu

Bazen en başarılı başlangıç ​​fikirleri, kendi ihtiyaçlarını çözmek için araçlar geliştiren insanlardan gelir. Daf adını taşıyan bir güvenlik uzmanı olan Dafydd Stuttard’ın durumu da böyleydi.

Yaklaşık yirmi yıl önce, İngiltere’nin kuzeybatısındaki Cheshire’daki küçük pazar kasabası Knutsford’da yaşayan Daf, farklı müşteriler için güvenlik danışmanı olarak çalışıyordu.

Bir yandan da işinin daha rutin kısımlarından bazılarını hızlandırmak için kendisinin kullanabileceği uygulamalar geliştirdi. Her araca rastgele bir isim verir, bir süre kullanır ve yoluna devam ederdi; Bazen yararlı olması durumunda bu araçlardan topluluğundaki diğer kişilere bahsederdi. (Daf’ın güvenlik camiasında etik bir bilgisayar korsanı ve yazar olarak zaten bir itibarı vardı, dolayısıyla buna hazır bir izleyici kitlesi vardı.)

Bir gün, penetrasyon testine yardımcı olmak için oluşturduğu ve hiçbir özel nedeni olmaksızın Burp adını verdiği araç, başkalarıyla paylaştığı yaratımlarından biriydi. Hızla benimsendi ve Daf, bunu daha ne kadar ileri götürebileceğini görmeye karar verdi.

Bugün hızla ilerlersek, Daf’ın aletin değeri konusundaki içgüdülerinin meyvelerini görebilirsiniz.

Burp artık, içme teması üzerinde oynayan PortSwigger adlı bir startup’ın merkezi parçası olan Burp Suite oldu. 170 ülkede 20.000’den fazla kuruluş müşterisi olup, ücretli kurumsal sürümünü kullanan 80.000 kişi ve 1.000’den fazla kuruluş ve kuruluş bulunmaktadır. (Bu kuruluşlar arasında Microsoft, Amazon, FedEx, Salesforce ve daha fazlası bulunmaktadır.) PortSwigger şemsiyesi altındaki bir diğer operasyon olan Web Security Academy adlı eğitim platformunun 1 milyondan fazla kullanıcısı bulunmaktadır. Ve evet, artık Daf’ın yanı sıra onlarca çalışan daha var.

17 yaşındaki PortSwigger, başlangıçtan beri önyüklemeli ve kârlı bir şirketti. Şimdi Daf, şirketi bir sonraki aşamaya taşımak için ilk kez 112 milyon dolarlık önemli bir dış yatırım almaya karar verdi. ABD’den Brighton Park Capital tek yatırımcıdır.

Daf bir röportajda “Hedefimize ulaşmak için daha fazla uzmanlığa ihtiyacımız var” dedi. “Pazar büyüyor ve karmaşıklaşıyor ve müşterilerimizin ihtiyaçları da büyüyor.”

“Ancak nakit akışımız olumlu olduğundan sermaye en büyük itici güç değildi ve çalışacağımız firmaları seçtik” diye devam etti. Bu ilgi sadece yatırımcılardan değil potansiyel alıcılardan da geldi.

Şirket, başarısının bir kısmını Daf’ın kendi itibarına ve mütevazı erişilebilirliğine borçludur.

(“Bugün Daffyd Stuttard @portswigger’dan geğirme genişleticiyle ilgili bir soruya yanıt olarak bir e-posta aldım,” diye yazmıştı biri Twitter’da, artık X olarak biliniyordu. “Sanki tanrı bana bir eml göndermiş gibi hissediyorum.”

Ancak yükselişi aynı zamanda siber güvenliğin çok daha büyük bir profile bürünmesiyle aynı zamana denk geliyor.

Geniş, karmaşık ve hızla gelişen bir güvenlik ortamında satıcılar tarafından sağlanan çok sayıda nokta çözüm bulunmaktadır; güvenlik ihlallerinin ve güvenlik açıklarının rekor oranlarda artması ve her zamankinden daha fazla hasara yol açması gerçeğinden oluşan bir ortam. En azından yapay zekanın denklemin içine dahil edilmesi nedeniyle ve bu da bununla başa çıkmak için daha fazla uygulama ve yaklaşımın yaratılmasına yol açtı.

Ancak bu karışımda sabit olan bir şey, derin alan uzmanlığına sahip bireylerin rolü olmuştur: Etik bilgisayar korsanları ve insan test uzmanları, sorunların nasıl tanımlanıp çözüleceği konusunda önemli bir rol oynamaya devam etmektedir.

Ancak bu kişilerin yardıma ve araçlara ihtiyacı var ve işte bu noktada PortSwigger gibi bir şirket devreye giriyor.

HackerOne ve Bugcrowd gibi bireysel beyaz şapkalı hackerların güvenlik operasyonlarındaki rolünü ürünleştirmeyi amaçlayan başka şirketler de var. Daf, bunların PortSwigger’ın rakibi olmadığını belirtiyor: ortak oluyorlar ve onun girişimi bu platformlara ve onlar gibi diğerlerine araçlar sağlıyor ve bunlar da kullanıcılar tarafından kullanılıyor.

Uzun vadede, yeni teknolojilerin ve mimarilerin, bireylerin güvenlik sorunlarının üstesinden gelme ve çözmedeki rolleri üzerinde ne gibi bir etkiye sahip olacağını görmek ilginç olacaktır.

Yapay zeka gibi daha yeni bir inovasyonun bu açıdan bir tehdit oluşturabileceğini varsayıyor olsanız da, en azından şimdilik durum böyle değil. Daf, penetrasyon test uzmanlarının gerçekleştirebileceği ve otomasyonla iyileştirilebilecek bir dizi tekrarlayan eylemin bulunduğunu belirtiyor.

Tek yatırımcısı da aynı fikirde.

Brighton Park’ın ortaklarından Tim Drager bir röportajda, “Otomasyona rağmen kalem testçilerine hâlâ ihtiyaç duyulacağına inanıyoruz” dedi. “Uzmanlar bunu gerçekten anlıyor. Saldırı yüzeyi büyük ölçüde büyüdü ve API’ler birincil hedefler haline geldi; ancak bunu derin alan uzmanlığına sahip siber profesyonellerin eksikliğiyle birleştirdiğinizde, ne yapması gerektiğini bilenlerin daha verimli olmasına yardımcı olacak araçlara ihtiyaç duymanızın nedeni budur. Bunu büyüme için en önemli alan olarak görüyoruz. PortSwigger onlara süper güçler veriyor.”