הסטארט-אפ נו ניים סקיוריטי (Noname Security), העוסק באבטחת ממשקי API של תאגידים גדולים, הודיע היום (ד') על גיוס 135 מיליון דולר לפי שווי של מיליארד דולר. בכך הופכת נו ניים, שהוקמה רק בתחילת 2020, לחד-קרן. כל סכום הגיוס מיועד להשקעה בחברה.
נו ניים הוקמה על ידי עוז גולן (מנכ"ל) ושי לוי (מנהל טכנולוגיות ראשי). גולן ולוי הכירו במהלך שירותם הצבאי ב-8200 לפני כעשור. לאחר השירות, פנה גולן לעבודה בחברת NSO, שנמצאת בימים אלו לא מעט בכותרות, ובתפקידו האחרון שם שימש כדירקטור למחקר ופיתוח. לעומת זאת, לוי עבד בחברות כמו איירון סורס ופייסבוק.
בתחילת 2020 הגיעו השניים למשקיע גילי רענן מקרן סייברסטארטס עם רעיון להקים חברת סייבר חדשה. לאחר פגישות שארגן להם רענן עם מנהלי אבטחת מידע בארגונים כדי ללמוד על הצרכים שלהם, הם החליטו להתמקד בתחום של אבטחת ממשקי API.
הדרך של מערכות לדבר זו עם זו
ממשקי API מאפשרים למערכות מחשב לדבר אחת עם השנייה ולמשוך מידע זו מזו. כך לדוגמה אתר הזמנת מלונות כמו בוקינג מטמיע ממשקי API של ספקי תיירות שונים כדי לדעת את הזמינות של חדרים אצלם בכל רגע נתון. באותו אופן, בוקינג יכולה לתת לאתרים חיצוניים, כמו למשל חברות השכרת רכב להטמיע את הממשק שלה, כדי לאפשר בדיקה של זמינות חדרי מלון מבלי לגשת ישירות אל האפליקציה שלה.
במספר מקרים מתוקשרים התגלו פרצות בממשקי API שהובילו לדליפת מאגרי מידע. לדוגמה בחודש מאי התגלתה פרצה בממשק ה-API של יצרנית אופני הכושר ומכשירי הריצה החכמים פלוטון, שאפילו נשיא ארה"ב ג'ו ביידן נמנה עם לקוחותיה. ה-API אפשר תקשורת בין החומרה של האופניים לבין השרתים של החברה והפירצה בממשק חשפה בין השאר נתוני גיל, מין, מקום מגורים והיסטוריית אימונים של מיליוני מנויים של פלוטון.
חודש לפני כן, באפריל, התגלתה פרצת אבטחה בממשק API של חברת נתוני אשראי שהוטמע באתר הלוואות סטודנטים אמריקאי. הפרצה אפשרה להקליד את השם והכתובת של כל אזרח ולגלות את נתוני דירוג האשראי שלו. חברת המחקר גרטנר העריכה כי ניצול לרעה של ממשקי API יהפוך לווקטור ההתקפה הפופולרי ביותר במקרים של חשיפות מידע באפליקציות אינטרנטיות עד 2022.
נו ניים מעסיקה כיום כ-200 עובדים בישראל ובארה"ב, גידול משמעותי לעומת כ-70 עובדים עליהם דיווחה בגיוס הקודם שלה ביוני. בנו ניים לא מוסרים פרטים על תוצאות כספיים וגם לא שמות לקוחות, אך מציינים כי הם עובדים עם 20% מחברות פורצ'ן 500, כולל אחד משלושת הקמעונאים ואחד משלושת חברות הטלקום הגדולות בעולם. בסך הכל מאז הקמתה גייסה נו ניים 220 מיליון דולר, כולל הסבב הנוכחי.
תחרות פנים ישראלית
נו ניים סקיוריטי אינה השחקן הישראלי היחיד בעולם של ממשקי API. סטארט-אפ ותיק יותר בעולם זה הוא הוא סולט סקיוריטי (Salt security), שהוקם ב-2016. סולט גייס עד היום 131 מיליון דולר, כאשר הסבב האחרון של החברה היה במאי. סולט חושפת חלק מלקוחותיה שכוללים למשל את ענקית התקשורת טלפוניקה. לפי מאגר המידע PitchBook, הגיוס האחרון של סולט במאי בוצע לפי שווי של 625 מיליון דולר (אחרי הכסף).
"הבדל אחד ביננו לבין סולט הוא שאנחנו נוקטים גישה פרואקטיבית. אנחנו לא מסתפקים בניתוח של תנועות הרשת ובדיקה בזמן אמת מי קרא ל-API והאם הוא ניצל אותו לרעה, אלא בודקים גם אקטיבית בעיות של קונפיגורציה וארכיטקטורה בממשק ה-API. אנחנו מתייחסים גם ל-API שהארגון עצמו חושף וגם ל-API שהוא משתמש בו, בניגוד לחברות אחרות שעוסקות רק במה שהארגון חושף", טוען שי לוי.
סטארט-אפ ישראלי צעיר נוסף בתחום, שנוסד גם הוא בתחילת 2020, הוא Neosec, שהוקם אף הוא על ידי יוצאי יחידות המודיעין 8200 ו-81. Neosec נחשף בספטמבר האחרון לאחר גיוסים של 21 מיליון דולר. קשר ישראלי אחר לתחום הוא חברת אימפרבה, שהוקמה בישראל ומפעילה בארץ שני מרכזי פיתוח. במאי הודיעה אימפרבה על רכישת חברת אבטחת ה- API האמריקאית CloudVector בסכום לא ידוע.
הגיוס של נו ניים הובל על ידי הקרנות לייטספיד ו-Georgian והשתתפו בו משקיעים קיימים כמו אינסייט פרטנרס, סייברסטארטס, Next47, Forgepoint ו-The Syndicate Group (TSG).
מסולט סקיוריטי נמסר בתגובה: "סולט סקיוריטי יצרה ומובילה את קטגוריית אבטחת ה-API בשוק העולמי מאז 2016 וכיום היא החברה הגדולה והצומחת ביותר בקטגוריה, עם בסיס הלקוחות הגדול ביותר. כמובילים בשוק אנחנו שמחים לראות את הקטגוריה ממשיכה לגדול, זה מאוד מחמיא לראות חברות נוספות עוקבות אחרי החזון שלנו.
כמתווים את הדרך בקטגוריה חדשה פיתחנו והצגנו יכולות מתקדמות לאבטחת APIs בצורה 'פרו אקטיבית' לאורך כל חיי הפיתוח של ה-APIs לפני יותר משנה וחצי, אפילו הוצאנו על כך הודעה לעיתונות לפני 6 חודשים. אנחנו נוטים להאמין שמדובר בטעות תמימה של המרואיין, אך עדיין מומלץ לכל חברה באשר היא ללמוד את השחקנים המובילים בשוק שהיא פועלת בו לפני שהיא יוצאת בהצהרות לעיתונות.
כיום ה-APIs הם החוליה החלשה בשרשרת, בעקבות חולשת ה-log4shell ארגונים מסביב לעולם קיבלו תזכורת כמה קל לנצל חולשות רבות דרך ה-APIs, בזמן שלקוחותינו נהנו ונהנים מזיהוי מוקדם של התופעה עוד לפני שפורסמה. אנחנו מברכים על זה שחברות נוספות עוקבות אחרי המוצר והדרך שלנו וממשיכות להדהד בשוק את חשיבותו".
לתשומת לבכם: מערכת גלובס חותרת לשיח מגוון, ענייני ומכבד בהתאם ל
קוד האתי
המופיע
בדו"ח האמון
לפיו אנו פועלים. ביטויי אלימות, גזענות, הסתה או כל שיח בלתי הולם אחר מסוננים בצורה
אוטומטית ולא יפורסמו באתר.