VulnCheck obtém financiamento inicial de US$3,2 milhões

Liderada pela In-Q-Tel – uma empresa de capital de risco sem fins lucrativos financiada pela Agência Central de Inteligência para desenvolver tecnologias de segurança nacional de ponta para o espaço de inteligência e segurança nacional – bem como a Sorensen Ventures.

Fundado em 2021 por Anthony Bettini, ex-chefe de pesquisa da Tenable e ex-fundador da FlawCheck e Appthority, o VulnCheck visa reformular a forma como empresas, agências governamentais e fornecedores de segurança cibernética respondem e priorizam vulnerabilidades.

O objetivo de oferecer métodos mais recentes em torno do processo de gerenciamento de vulnerabilidade surgiu depois que Bettini dirigiu a equipe de pesquisa da Tenable, onde liderou os desenvolvedores para escrever o código de detecção para todos os produtos da Tenable, mas enfrentou desafios de priorização.

“Existem quase 200.000 vulnerabilidades, mas há muito tempo em um dia. Em quais devemos gastar o tempo e em quais vamos pedir aos nossos clientes que gastem tempo corrigindo? Nenhuma das organizações em que trabalhei para ter um grande controle sobre este problema”, disse Bettini à SC Media em uma entrevista.

Embora o National Vulnerabilities Database (NVD) e o MITRE usem pontuações CVSS para orientar as equipes de segurança no gerenciamento de vulnerabilidades, esses métodos podem medir apenas a gravidade de um bug, não o risco. Os críticos frequentemente observam que sistemas de pontuação como o CVSS nem sempre capturam elementos essenciais de uma vulnerabilidade de maneiras que podem exagerar e subestimar os perigos e a capacidade de exploração de certos bugs.

“Quando olhamos para esses bancos de dados, a maioria é rotulada com pontuação ‘alta’ ou ‘crítica’, mas apenas cerca de 2,25% das vulnerabilidades acabam sendo associadas a ataques ativos na natureza ou a exploits armados”, disse ele.

Para resolver essas lacunas, os pesquisadores do VulnCheck desenvolveram sua própria plataforma de inteligência de vulnerabilidade que oferece suporte a formas mais modernas de priorizar vulnerabilidades com base em inteligência de exploração, pontuações temporais CVSS, pontuações FIRST EPSS e de vulnerabilidades exploradas conhecidas catálogo da CISA. Além disso, a equipe monitora repositórios git de código aberto em busca de código de exploração e os associa a CVEs conhecidos, ao mesmo tempo em que correlaciona a exploração de CVEs a agentes de ameaças, botnets e famílias de ransomware específicas. Eles também desenvolvem explorações personalizadas e artefatos de detecção internamente para CVEs críticos para ajudar as organizações a obter cobertura mais rapidamente.

Tony Spinelli, parceiro de risco da Sorenson Ventures, disse à SC Media que seu investimento representa a crença de que a startup está fornecendo uma síntese verdadeiramente única de fontes que podem orientar melhor as organizações ao priorizar suas necessidades de correção ou responder a ameaças particularmente perigosas.

“O VulnCheck está preenchendo uma enorme lacuna no mercado de inteligência de ameaças, permitindo que as organizações priorizem e corrijam as vulnerabilidades mais importantes. “Quando se trata de vulnerabilidade e inteligência de exploração, eles têm mais informações e profundidade de dados e publicam mais rápido do que qualquer outra pessoa vimos no espaço”, disse Spinelli.

Katie Gray, sócia sênior da In-Q-Tel, concorda com essa crença, dizendo que, em comparação com as soluções tradicionais, como o NVD, os produtos da VulnCheck fornecem mais contexto para ajudar as organizações a priorizar os esforços de remediação.

Com o financiamento de US$3,2 milhões, a empresa planeja dobrar seu quadro de funcionários em 2023 para aprimorar suas capacidades no campo de vulnerabilidade e exploração de inteligência, disse Bettini.

Embora Bettini reconheça que o setor de segurança cibernética em geral enfrenta desafios em meio à crise econômica, quando as empresas são mais cuidadosas com seus gastos com segurança, ele disse que a VulnCheck está bem posicionada para continuar aumentando sua base de clientes este ano se ajudar a resolver alguns dos problemas fundamentais que organizações têm.

A empresa também garantiu financiamento de investidores anjos, incluindo Dave Cole, cofundador da Open Raven e ex-CPO da CrowdStrike e Tenable, e Oliver Friedrichs, fundador da Pangea e ex-presidente-executivo da Phantom e Immunet.