PortSwigger, công ty đứng sau Bộ công cụ kiểm thử bảo mật Burp Suite, hấp thụ 112 triệu đô la Mỹ

Đôi khi ý tưởng khởi nghiệp thành công nhất đến từ những người xây dựng công cụ để giải quyết nhu cầu của riêng mình. Đó là trường hợp của Dafydd Stuttard, một chuyên gia bảo mật được biết đến với tên Daf.

Gần hai thập kỷ trước, sống tại thị trấn thị trường nhỏ Knutsford ở Cheshire, phía tây bắc nước Anh, Daf làm việc như một chuyên gia tư vấn bảo mật cho các khách hàng khác nhau.

Anh đã xây dựng các ứng dụng mà anh có thể sử dụng để làm nhanh hơn một số phần công việc hàng ngày của mình. Anh đặt tên cho mỗi công cụ một cách ngẫu nhiên, sử dụng một thời gian và sau đó chuyển tiếp; đôi khi anh sẽ chia sẻ với những người khác trong cộng đồng của mình về các công cụ đó nếu chúng hữu ích. (Daf đã có danh tiếng là một hacker đạo đức và tác giả trong cộng đồng bảo mật nên có một tượng đài sẵn lòng nghe đến điều đó.)

Một ngày nọ, công cụ mà anh xây dựng để hỗ trợ kiểm thử xâm nhập - có tên là Burp mà không có lý do cụ thể nào cả - là một trong những sáng tạo mà anh đã chia sẻ với người khác. Nó trở nên phổ biến rất nhanh và Daf quyết định xem mình có thể đưa nó đi xa hơn bao nhiêu.

Chuyển đến ngày nay và bạn có thể thấy được kết quả của trực giác của Daf về giá trị của công cụ đó.

Burp hiện đang là Burp Suite, là trung tâm của một công ty khởi nghiệp mang tên - chơi trên chủ đề uống rượu - PortSwigger. Nó có hơn 20.000 tổ chức là khách hàng trên 170 quốc gia, với 80.000 cá nhân và hơn 1.000 doanh nghiệp và tổ chức sử dụng phiên bản doanh nghiệp trả phí của nó. (Những doanh nghiệp bao gồm Microsoft, Amazon, FedEx, Salesforce và nhiều hơn nữa.) Một hoạt động khác trong làn sóng của PortSwigger, một nền tảng giáo dục mang tên Học viện An toàn Web, có hơn 1 triệu người dùng. Và có, bây giờ có hàng chục nhân viên khác ngoài Daf.

PortSwigger, 17 tuổi, đã được khởi động và có lợi nhuận từ đầu. Bây giờ, lần đầu tiên, Daf đã quyết định nhận khoản đầu tư ngoại bộ trị giá 112 triệu USD để đưa công ty lên một tầm cao mới. Brighton Park Capital đến từ Mỹ là nhà đầu tư duy nhất.

'“Chúng ta cần nhiều chuyên môn để đạt được ước mơ của chúng ta,' Daf nói trong một cuộc phỏng vấn. 'Thị trường đang trở nên lớn hơn và phức tạp hơn và nhu cầu của khách hàng của chúng tôi cũng ngày càng cao hơn.'”

'“Nhưng vốn không phải là yếu tố quan trọng nhất vì chúng tôi là dương tiền, và chúng tôi có lựa chọn của các công ty để làm việc với,' anh tiếp tục. Sự quan tâm đến từ phía ngoại nhập không chỉ đến từ các nhà đầu tư mà còn từ các nhà mua.

Công ty nợ một phần thành công của mình vào danh tiếng của Daf và tính thân thiện khi tiếp cận.

('Nhận được một email từ Daffyd Stuttard @portswigger hôm nay để trả lời một câu hỏi về phần mở rộng burp,' ai đó từng chú thích trên Twitter, hiện đã biết đến là X. 'Cảm thấy như thế nào khi thầy gửi email cho tôi.')

Nhưng sự tăng trưởng của nó cũng đồng thời diễn ra vào thời điểm mà bảo mật thông tin nhận được sự chú ý lớn hơn.

Có một số giải pháp điểm được cung cấp bởi các nhà cung cấp trên một bức tranh bảo mật mở rộng, phức tạp và phát triển nhanh chóng - một bức tranh được hình thành từ việc các cuộc tấn công và lỗ hổng bảo mật tăng với tốc độ kỷ lục và gây ra nhiều hại như chưa từng có, không kém phần là do việc chèn AI vào phương trình - và điều đó đã dẫn đến việc tạo ra nhiều ứng dụng và phương pháp khác nhau để giải quyết vấn đề đó.

Nhưng một điều không thay đổi trong hỗn hợp đó là vai trò của những người có sâu sắc kiến thức chuyên môn: những hacker đạo đức và testers con người tiếp tục đóng vai trò quan trọng trong việc xác định và sửa chữa các vấn đề.

Nhưng những người này cần sự trợ giúp và công cụ, và đó chính là nơi mà một công ty như PortSwigger đến.

Có những công ty khác như HackerOne và Bugcrowd đã hướng đến việc sản phẩm hóa vai trò của người hacker trắng cá nhân trong các hoạt động bảo mật. Daf lưu ý rằng những công ty này không phải là đối thủ của PortSwigger: họ hợp tác và công ty khởi nghiệp của anh cung cấp công cụ cho những nền tảng đó và các nền tảng khác như thế, mà sau đó được sử dụng bởi người dùng của họ.

Trong dài hạn, sẽ thú vị để xem sự ảnh hưởng của các công nghệ và kiến trúc mới sẽ ảnh hưởng đến vai trò của cá nhân trong việc giải quyết vấn đề bảo mật.

Mặc dù bạn có thể giả định rằng một sáng kiến mới như AI có thể tạo ra mối đe dọa trong lĩnh vực đó, nhưng điều đó không phải là trường hợp, ít nhất là cho đến bây giờ. Daf lưu ý rằng có một số hành động lặp đi lặp lại mà kiểm thử xâm nhập có thể thực hiện có thể được cải thiện bằng tự động hóa.

Nhà đầu tư duy nhất của nó đồng ý.

'“Chúng tôi tin rằng mặc dù có tự động hóa, những người kiểm thử vẫn cần được yêu cầu,” Tim Drager, một đối tác tại Brighton Park, nói trong một cuộc phỏng vấn. 'Những chuyên gia thực sự hiểu. Bề mặt tấn công đã tăng mạnh, và API đã trở thành mục tiêu chính, nhưng khi kết hợp đó với sự thiếu hụt của các bảo mật tin học chuyên sâu... đó là lý do tại sao bạn cần các công cụ giúp những người biết phải làm để hiệu quả hơn. Chúng tôi nhìn vào đây như một khu vực tiềm năng cho sự phát triển. PortSwigger mang đến cho họ sức mạnh siêu năng lực.'”