IriusRisk, platform pemodelan ancaman, hari ini mengumumkan telah mengumpulkan $29 juta dalam putaran pendanaan Seri B yang dipimpin oleh Paladin Capital Group dengan partisipasi dari BrightPixel Capital, SwanLab Venture Factory, 360 Capital, dan Inveready. Dalam percakapan dengan TechCrunch, CEO Stephen de Vries mengatakan bahwa hasilnya akan digunakan untuk mengembangkan tim penjualan dan pemasaran IriusRisk di AS dan Eropa, Timur Tengah, dan Afrika karena total perusahaan terkumpul mendekati $40 juta.

De Vries, yang sebelumnya bekerja di perusahaan cybersecurity Corsaire, KPMG dan ISS sebagai konsultan keamanan utama, mengatakan dia menyadari bahwa perusahaan membuang-buang sumber daya untuk melakukan pengujian keamanan pada perangkat lunak yang tidak dirancang oleh pengembang dengan mempertimbangkan keamanan. Jika pengembang dapat memahami kelemahan keamanan dalam desain mereka dengan pemodelan ancaman — yaitu mengidentifikasi jenis ancaman yang menyebabkan kerusakan pada perangkat lunak — itu akan mengurangi hambatan yang disebabkan oleh tinjauan keamanan, teori de Vries.

Memang, pemodelan ancaman tampaknya tidak menjadi perhatian utama di banyak organisasi. Dalam survei Golfdale Consulting yang dilakukan tahun lalu oleh vendor keamanan siber Security Compass, kurang dari 10% pengembang melaporkan bahwa pemodelan ancaman dilakukan pada 90% atau lebih aplikasi yang mereka kembangkan di organisasi mereka. Hanya 25% yang mengatakan bahwa organisasi mereka melakukan pemodelan ancaman selama fase awal pengembangan perangkat lunak, seperti pengumpulan dan desain persyaratan, sebelum melanjutkan pengembangan.

“Pemodelan ancaman sekarang ditetapkan sebagai aktivitas yang diperlukan untuk pengembangan perangkat lunak yang aman,” kata de Vries — menunjuk ke perintah eksekutif Presiden Joe Biden baru-baru ini yang menetapkan pemodelan ancaman sebagai “minimum yang disarankan” untuk memverifikasi kode aplikasi. “Karena pemodelan ancaman sebagai aktivitas masih relatif baru, ada kebutuhan bagi organisasi untuk berbagi strategi, tip, dan trik tentang apa yang berhasil saat meluncurkan program pemodelan ancaman — dan apa yang tidak.”

IriusRisk memanfaatkan mesin aturan untuk “bernalar” di sisi klien dan basis kode yang dihosting di cloud, menggunakan pendekatan berbasis pola untuk memodelkan ancaman. Pengguna platform seperti Amazon Web Services (AWS) CloudFormation, HashiCorp Terraform, dan Microsoft Visio dapat mengetuk IriusRisk untuk mengimpor kode dan secara otomatis membuat diagram dan model ancamannya.

Dasbor pemodelan ancaman IriusRisk. Kredit Gambar: IriusRisk

IriusRisk juga menyediakan modul analitik dengan laporan dan log, yang dapat digunakan oleh analis data dan ilmuwan untuk menginterpretasikan data ancaman dari dalam organisasi mereka. Untuk meningkatkan perincian dan keakuratan data ini, pelanggan dapat menambahkan komponen pustaka deteksi pola IriusRisks yang unik untuk industri atau perusahaan mereka, termasuk untuk AWS, Google Cloud, Azure, dan sistem kontrol industri.

“IriusRisk memungkinkan pembuat keputusan teknis untuk menerapkan keamanan sejak awal siklus hidup pengembangan perangkat lunak, mengubahnya menjadi praktik yang mudah diterapkan yang dapat diterapkan secara konsisten di seluruh portofolio produk organisasi, menciptakan keamanan per desain dalam skala besar,” de kata Vries. “Organisasi mendapat manfaat dari perpustakaan standar keamanan IriusRisk yang ekstensif yang mencakup model ancaman yang ada untuk komponen yang diketahui, standar keamanan yang komprehensif dan perpustakaan kepatuhan, yang membantu tim untuk membangun perangkat lunak yang aman terlebih dahulu dan secara otomatis memenuhi persyaratan peraturan.”

Ketika ditanya tentang persaingan, de Vries mengakui bahwa startup seperti Spectral mengambil pendekatan yang mirip dengan IriusRisk dalam beberapa hal. Namun dia menegaskan bahwa pesaing terbesar perusahaannya berada di belakang kurva, melakukan pemodelan ancaman secara manual dengan “papan tulis dan mungkin peralatan yang belum sempurna”.

“Kami fokus untuk memecahkan masalah dalam melakukan pemodelan ancaman secara konsisten dan dalam skala besar, dengan friksi pengembang yang minimal. Kami sering berbicara dengan organisasi … yang ingin mematangkan pendekatan mereka dengan mengeluarkannya dari tim keamanan dan masuk ke tim teknik,” tambah de Vries. “Kami melakukan investasi yang signifikan ke dalam komunitas pemodelan ancaman yang lebih luas.”

IriusRisk mengklaim memiliki lebih dari empat kali lipat basis mitranya hingga tahun 2021 dan meningkatkan penawaran gratisnya, IriusRisk Community Edition, sebesar 120% dalam hal pengguna aktif (menjadi lebih dari 5.400). Lebih dari 4.000 proyek dijalankan melalui platform gratis selama setahun terakhir, kata de Vries — jumlah yang dia perkirakan akan bertambah ketika IriusRisk meluncurkan format model ancaman terbuka baru, yang dijadwalkan pada bulan November, untuk memungkinkan interoperabilitas yang lebih baik antara alat pemodelan ancaman dan arsitektur yang ada dan alat keamanan.

“Pelanggan kami termasuk enam dari 30 bank penting secara global dan sembilan perusahaan Fortune 100 … Organisasi pemerintah menggunakan alat ini, serta perusahaan forensik digital, yang mendukung pengguna akhir militer,” kata de Vries. “Sangat umum bagi tim keamanan aplikasi atau keamanan dunia maya untuk mengadopsi perangkat lunak kami dan kemudian meluncurkannya ke organisasi teknik yang lebih luas sehingga mereka dapat melayani sendiri kemampuan pemodelan ancaman… Kami telah meningkatkan pendapatan berulang tahunan lebih dari 106% tahun- dari tahun ke tahun selama dua tahun terakhir dan saat ini berada pada tingkat pertumbuhan 120% dari tahun ke tahun.”

IriusRisk memiliki 137 karyawan saat ini dan berencana untuk memperluas jumlah karyawannya menjadi 160 pada akhir tahun.