网络安全初创公司 Xbow 获得 1.2 亿美元融资

网络安全初创公司 Xbow USA Inc. 已完成 1.2 亿美元融资，估值超过 10 亿美元。该公司帮助企业发现其软件中的网络安全问题。

该公司今日披露，DFJ Growth 和 Northzone 是此轮 C 轮融资的领投方。此轮融资紧随去年六月完成的 7500 万美元融资。

企业发现基础设施漏洞的方法之一是进行渗透测试。这些评估由管理员对应用程序进行模拟网络攻击。渗透测试可以发现使用其他方法难以发现的漏洞，但这类评估成本高昂，通常需要数周时间。

总部位于西雅图的 Xbow 提供一个使用智能体自动进行渗透测试的平台。据该公司称，其软件可以将网络安全评估的时间缩短到几小时或几天。

应用程序存在众多边缘情况，即极不可能遇到但可能构成网络安全风险的用户交互场景。在手动渗透测试中，管理员往往因时间限制无法覆盖每一个边缘情况。Xbow 表示，其平台的速度使其能够更全面地分析此类风险。

软件发现潜在漏洞后，会检查这些漏洞是否可被利用。这种方法使 Xbow 能够过滤掉没有实际泄露风险的误报。该公司表示，其智能体可以开发高度复杂的多步骤攻击链。

在一次渗透测试中，Xbow 的平台进行了一次包含 48 种不同攻击手段的模拟网络攻击。它使用特制的图像文件模拟所谓的服务器端请求伪造攻击。这是一种黑客入侵应用程序并利用它从连接的其他系统窃取数据的攻击类型。

在另一次测试中，Xbow 成功解密了受行业标准 AES-128 加密技术保护的 cookie。它通过向拥有解密密钥的服务器发送一系列请求来实现这一点。这些请求返回的错误消息被 Xbow 的智能体分析，以推断 cookie 的内容。该公司表示，其平台在 17.5 分钟内完成了这项任务。

用户可以通过提供指令来自定义 Xbow 进行渗透测试的方式。例如，软件即服务初创公司可以要求平台仅测试新发布的功能。工程师可以选择向 Xbow 提供应用程序的源代码，以便为其提供潜在漏洞的更完整视图。

该公司提供三个版本的平台。Plus 和 Premium 版本使客户能够以一次性费用扫描单个应用程序。Xbow Enterprise 是该公司的第三个产品，可以持续扫描组织的工作负载以查找漏洞。应用程序编程接口使工程师能够将渗透测试的结果传输到其他网络安全工具。

Xbow 将使用新筹集的资金在国际市场和企业领域扩大业务。该公司还计划投资功能开发。

Q&A

Q1：Xbow是什么公司？主要做什么？

A：Xbow USA Inc.是一家网络安全初创公司，主要帮助企业发现其软件中的网络安全问题。该公司提供使用智能体自动进行渗透测试的平台，可以将网络安全评估的时间从数周缩短到几小时或几天。

Q2：自动渗透测试相比传统方式有什么优势？

A：传统的手动渗透测试成本高昂且通常需要数周时间，而且因时间限制无法覆盖所有边缘情况。Xbow的自动化平台速度快，能够更全面地分析风险，还能过滤误报，开发复杂的多步骤攻击链。

Q3：Xbow提供哪些产品版本？

A：Xbow提供三个版本：Plus和Premium版本使客户能够以一次性费用扫描单个应用程序；Xbow Enterprise版本可以持续扫描组织的工作负载以查找漏洞，并通过API将结果传输到其他网络安全工具。