PortSwigger, l'azienda dietro alla suite di strumenti di test di sicurezza Burp Suite, inghiotte $112M

A volte le idee imprenditoriali di maggior successo provengono dalle persone che costruiscono strumenti per risolvere le proprie esigenze. È stato il caso di Dafydd Stuttard, un esperto di sicurezza noto come Daf.

Quasi due decenni fa, vivendo nella piccola città di mercato di Knutsford in Cheshire, nel nord-ovest dell'Inghilterra, Daf lavorava come consulente di sicurezza per vari clienti.

Parallelamente, ha sviluppato app che poteva utilizzare per velocizzare alcune parti più routinarie del suo lavoro. Darebbe a ciascuno strumento un nome casuale, lo userebbe per un po' e passerebbe oltre; a volte avrebbe raccontato agli altri della sua comunità degli strumenti in caso potessero essere utili. (Daf aveva già una reputazione come hacker etico e autore nella comunità della sicurezza, quindi c'era un pubblico pronto per questo.)

Un giorno, lo strumento che aveva costruito per assistere nei test di penetrazione - chiamato Burp senza una ragione specifica - fu una delle sue creazioni che condivise con gli altri. Si diffuse rapidamente, e Daf decise di vedere fino a che punto poteva portarlo avanti.

Passando al giorno d'oggi, si possono vedere i frutti dell'istinto di Daf sul valore dello strumento. Burp è ora Burp Suite, che è il fulcro di una startup chiamata - giocando sul tema del bere - PortSwigger. Ha più di 20.000 organizzazioni come clienti in 170 paesi, con 80.000 individui e "ben oltre" 1.000 imprese e organizzazioni che utilizzano la sua edizione enterprise a pagamento. (Le imprese includono Microsoft, Amazon, FedEx, Salesforce e altri.) Un'altra operazione sotto l'ombrello di PortSwigger, una piattaforma educativa chiamata Web Security Academy, conta più di 1 milione di utenti. E sì, ora ci sono dozzine di dipendenti oltre a Daf.

PortSwigger, di 17 anni, è stata finanziata internamente ed è stata redditizia fin dall'inizio. Ora, per la prima volta, Daf ha deciso di accettare un investimento esterno sostanziale di $112 milioni per portare l'azienda al livello successivo. Brighton Park Capital degli Stati Uniti è l'unico investitore.

'Abbiamo bisogno di più competenze per realizzare la nostra ambizione', ha detto Daf in un'intervista. 'Il mercato si sta ampliando e complicando e le esigenze dei nostri clienti stanno crescendo'.

'Ma il capitale non era il principale motivatore poiché siamo in attivo e avevamo la possibilità di scegliere con chi lavorare', ha proseguito. Questo interesse in entrata non proveniva solo dagli investitori ma anche da potenziali acquirenti.

L'azienda deve parte del suo successo alla reputazione di Daf e alla modesta accessibilità. ('Ho ricevuto una email da Dafydd Stuttard @portswigger oggi in risposta a una domanda su burp extender', ha notato una volta qualcuno su Twitter, ora conosciuto come X. 'Mi sembra che Dio mi abbia appena inviato un'email.')

Ma la sua ascesa avviene contemporaneamente al fatto che la sicurezza informatica ha assunto un profilo molto più alto. Ci sono una serie di soluzioni puntuali fornite da fornitori in un paesaggio della sicurezza vasto, complesso e in rapida evoluzione - un paesaggio che si è formato sul fatto che le violazioni della sicurezza e le vulnerabilità stanno aumentando a ritmi record e causando più danni che mai, non ultimo a causa dell'iniezione di intelligenza artificiale nell'equazione - e ciò ha portato alla creazione di ancora più applicazioni e approcci per affrontare ciò.

Ma una costante in questo mix è il ruolo di individui con una profonda competenza nel settore: hacker etici e tester umani continuano a svolgere un ruolo importante nel modo in cui vengono identificati e risolti i problemi.

Ma questi individui hanno bisogno di assistenza e strumenti, ed è qui che entra in gioco un'azienda come PortSwigger.

Ci sono altre come HackerOne e Bugcrowd che hanno mirato a produttualizzare il ruolo degli hacker etici white hat nelle operazioni di sicurezza. Daf fa notare che questi non sono concorrenti di PortSwigger: si associano e la sua startup fornisce strumenti a quegli infrastrutture e ad altre simili, che a loro volta vengono utilizzati dai loro utenti.

A lungo termine, sarà interessante vedere quale impatto avranno le nuove tecnologie e architetture sul ruolo degli individui nell'affrontare e risolvere i problemi di sicurezza. Anche se si potrebbe presumere che un'innovazione più recente come l'intelligenza artificiale possa rappresentare una minaccia in tal senso, questo non è il caso, almeno per ora. Daf fa notare che esistono una serie di azioni ripetitive che i tester di penetrazione potrebbero eseguire che possono essere migliorate con l'automazione.

Il suo unico investitore è d'accordo.

'Crediamo che nonostante l'automazione, i tester di penetrazione saranno comunque necessari', ha detto Tim Drager, partner di Brighton Park, in un'intervista. 'Gli esperti capiscono davvero. La superficie di attacco è cresciuta enormemente e le API sono diventate bersagli principali, ma quando si unisce questo al calo di professionisti della sicurezza cibernetica con una profonda conoscenza nel settore... è per questo che servono strumenti per aiutare coloro che sanno cosa fare ad essere più efficienti. Vediamo questa come un'area primaria per la crescita. PortSwigger dà loro super poteri.'