גלובס - עיתון העסקים של ישראלאתר נגיש

רועי אליהו, מנכ"ל סאלט סקיוריטי / צילום: סלי בן אריה

הסטארט-אפ הישראלי-אמריקאי, Salt Security (סולט סקיוריטי), הודיע היום (ג') על גיוס הון של 10 מיליון דולר בסיבוב סיד, שנסגר בחודש ספטמבר. את הסבב הובילה קרן ההון סיכון S Capital של איה פטרבורג וחיים סדגר, המורכבת מיוצאי סקויה ישראל, וסדגר יצטרף כדירקטור לבורד של החברה. בנוסף, השתתפו בסבב גם מריוס נכט ממייסדי חברת אבטחת המידע צ'ק פוינט, וקווין מהאפי, ממייסדי Lookout Security ושותף בתוכנית ההאצה Y Combinator, אשר לקחה בעצמה חלק בסבב הגיוס, בנוסף להשקעה ראשונית שנתנה לחברה כחלק מהשתתפותה בתוכנית ההאצה.

סולט סקיוריטי מפתחת פתרון אבטחה המיועד להגנה על APIים (ממשקי תכנות יישומים) - ערכות של קוד מוכן מראש שמפתחים יכולים ליישם למגוון שימושים, בלי להידרש לכתוב אותו במיוחד בכל פעם. כיום, כל יישומי ההאינטרנט במובייל ובווב, עושים שימוש נרחב בממשקי API כדי לתקשר עם משתמשיהם.

החברה הוקמה ב-2016, על ידי רועי אליהו ושותפו האמריקאי מייקל ניקוסיה, אשר בתפקידו הקודם היה VP מכירות גלובאליות באדאלום, והוביל את מכירתה למיקרוסופט תמורת 320 מיליון דולר ב-2015. לחברה מספר לקוחות ראשוניים, בינהם AppsFlyer ,MongoDB ו-Systum. החברה מונה 20 עובדים, מתוכם 12 בישראל. בעת השלמת סבב הגיוס, החברה מנתה 12 עובדים, והסכום שגויס ישמש אותה להמשיך ולהתרחב ל-25 עובדים, אשר מרביתם יהיו בישראל והיתר בפאלו אלטו.

עם עליית השירותים האינטרנטיים ומוצרי ה-SaaS עלה גם השימוש ב-API לצורך התקשורת של השירותים הללו עם המשתמשים. מפתיחת הדלת של רכב אוטו-תל לצורך רישום הנסיעה, דרך קריאת היסטוריית ההודעות בפייסבוק מסנג'ר, ועד סריקת צ'ק באמצעות מצלמת הטלפון באפליקציית הבנק - בשנים האחרונות, ממשקי API אחראים על העברת כמויות הולכות וגדלות של מידע, שהולך ונהיה רגיש יותר. גם בתוך ארגונים שעושים שימוש ב-microservices, חלק נכבד מהתקשורת הפנים ארגונית עוברת דרך API.

בספטמבר 2018 פורסם כי פריצה ל-API פנים ארגוני וגניבת מפתחות דרך שירות ה-'View As…' (פונקציית 'הצג כ' מאפשרת לצפות בפרופיל הפייסבוק שלך דרך עיניהם של חברים) של פייסבוק, הביאה לדליפת פרטיהם של כ-50 מיליון משתמשים. בדצמבר 2018, התפרסם כי פרצה ב-API ששימש מפתחי צד שלישי בפלטפורמה, הובילה לחשיפת תמונות של כמה מיליוני משתמשים נוספים.

אבל פייסבוק היא לא היחידה: ב-2018 פריצות מסוג זה פגו בחברות כמו T-Mobile, Panera Bread, Verizon ושירות הדואר האמריקאי USPS. בדצמבר 2018 התגלתה גם פרצה ל-API של Google+, הרשת החברתית של גוגל, שחשפה מידע פרטי של כ-50 מיליון משתמשים. בפרצה, שהגיעה אחרי שנחשפה חולשה מסוג זה בשירות כבר בחודש אוקטובר, הובילה לכך שהשירות יסגר כבר באפריל הקרוב, כאשר התכנון המקורי של גוגל היה לסגור את השירות רק באוגוסט.

"כל API הוא יחודי, ונבנה כדי לענות על צרכי החדשנות של ארגונים, אבל מי שמפתח אותם הם המפתחים ולא אנשי האבטחה, וזה יכול להשאיר אותם פגיעים לפריצות", אומר רועי אליהו, מנכ"ל סולט סקיוריטי בשיחה עם "גלובס". "הפתרונות שקיימים היום לא פותחו עבור ממשקי API, אלא עבור אפליקציות מסורתיות. הם פותחו כדי להגן מפני תקיפות ידועות ומוכרות, אבל הפרצות שיש כיום הן ממש לא כאלה".

מפני איזה פריצות אתם יודעים להגן?

"פרצות שמנצלות את הלוגיקה הפנימית הייחודית של כל API, הן אינן פרצות ידועות אלא פרצות לוגיות. אנחנו עושים שימוש בטכנולוגיות בינה מלאכותית שונות, כדי ללמוד את ההתנהגות הלגיטימית של כלAPI , וכך אנחנו יכולים לתפוס תוקפים עוד לפני התקיפה, כשהם עוד בודקים את השטח - תהליך שיכול לקחת להם שעות ואפילו ימים".

איך זה עובד?

"המוצר שלנו בנוי משלושה מודולים מרכזיים: בשלב הראשון אנחנו יודעים לגלות ולזהות את כל ה-APIים הקיימים בארגון, ולמפות אותם, איזה מידע עובר בהם, ואיפה עובר המידע הרגיש. השלב השני לומד התנהגות לגיטימית של כל API, לפי השימוש שנעשה בהם ביום יום. זהן לב הטכנולוגיה של החברה, לדעת לזהות כל API, כשאין סטנדרט, בצורה מדוייקת ובלי התראות שווא. בשלב השלישי, על בסיס התקיפות אנחנו יוצרים גשר בין אנשי האבטחה לאנשי הפיתוח, כדי לתת להם מידע מדוייק ופשוט על מה צריך לתקן ואיך לתקן. אנחנו בעצם לוקחים את הכח של התוקפים והופכים אותו לטובת החברה".

איך החברה התחילה?

"התחלנו ב-2016 ב-Y-Combinator, אבל הדרך שלי התחילה שלושה או ארבעה חודשים לפני כן, כשהגעתי לארצות הברית בלי השקעה, מהכסף האישי שלי, לדבר עם לקוחות ולראות אם הרעיון הזה בכלל מעניין אותם."תוך כדי כל זה, הייתי בכנס של אייקון, ארגון שעוזר לסטארטאפים ישראלים בואלי. בכנס פגשתי את אחד השותפים ב Y-Combinator והוא אמר לי תגישו. הגשנו, וסם אלטמן, הנשיא והמייסד של YC הזמין אותנו לראיון ובואותו יום התקשרו להודיע לנו שהתקבלנו, וסם הפך להיות המנטור שלנו בתכנית".

תעודת זהות: Salt Security

הקמה: 2016
מייסדים: רועי אליהו ומייקל ניקוסיה
עובדים: 20, מתוכם 12 בישראל
משרדים: תל אביב ועמק הסיליקון
גיוסי הון: 10 מיליון דולר בסבב סיד
משקיעים בולטים: S Capital, מריוס נכט, קווין מהאפי ו-Y Combinator.