Echte Sicherheitein Cybersicherheitsunternehmen, das eine Plattform zur Identifizierung von App-Schwachstellen anhand von Code entwickelt, hat in einer von CRV angeführten Finanzierungsrunde der Serie B unter Beteiligung von Cyberstarts, Bessemer Venture Partners und TCV 40 Millionen US-Dollar gesammelt.
Mitbegründer und CEO Roni Fuchs sagt, dass die Mittel, mit denen Legit insgesamt 77 Millionen US-Dollar gesammelt hat, zur Erweiterung der Vertriebs-, Marketing- und Forschungs- und Entwicklungsteams von Legit verwendet werden. Fuchs geht davon aus, dass die Mitarbeiterzahl von Legit bis zum Jahresende von derzeit 78 auf über 100 steigen wird.
„Heutzutage ist Anwendungssicherheit eine vielfältige Branche mit Dutzenden Einzellösungen, die noch nicht zu umfassenderen, leistungsfähigeren Plattformen konsolidiert wurden“, sagte Fuchs gegenüber TechCrunch in einem E-Mail-Interview. „Es gibt enorme Möglichkeiten, die App-Sicherheit zu modernisieren und eine breitere Plattform auf den Markt zu bringen, um diesen Anforderungen gerecht zu werden.“
Die beiden weiteren Mitbegründer von Fuchs und Legit, Liav Caspi und Lior Barak, dienten alle gemeinsam in der Cyber-Warfare-Abteilung der israelischen Streitkräfte (IDF). Nachdem sie die IDF verlassen hatten, arbeitete das Trio im Bereich Cybersicherheit bei Unternehmen wie Microsoft und Checkmarx, dem Unternehmen für App-Sicherheitstests.
Aufgrund ihrer Erfahrungen in der Regierung und im privaten Sektor gelangten Fuchs, Caspi und Barak zu der Überzeugung, dass herkömmliche App-Sicherheitsscanner Unternehmen größtenteils nicht dabei geholfen haben, Risiken zu verstehen, Ressourcen zu priorisieren und Maßnahmen zu ergreifen.
„Herkömmliche Scanner sind hochtechnisch, haben keinen breiteren Kontext und konzentrieren sich auf einen sehr engen Bereich des gesamten Anwendungsrisikos“, sagte Fuchs. „Darüber hinaus erfordert die Sicherung von Apps eine Zusammenarbeit zwischen Sicherheit, Technik und DevOps, deren Umsetzung in großem Maßstab sehr schwierig ist – und neue Lösungen erfordert, um diese Lücke zu schließen.“
Deshalb brachten Fuchs, Caspi und Barak im Jahr 2020 Legit auf den Markt, das Echtzeit-Transparenz und Sicherheitskontrolle in allen Entwicklungsumgebungen bietet und gleichzeitig eine „einheitliche“ Ebene für die Orchestrierung von Apps bietet.
Legit begann als Plattform zur Sicherung von Software-Lieferketten. Doch heute bündelt der Dienst Schwachstellen aus verschiedenen Quellen, lässt sich in herkömmliche App-Sicherheitstools integrieren und bewertet deren Schwachstellen zusätzlich zu den von Legit gefundenen nativen Schwachstellen.
Bildnachweis: Echte Sicherheit
Fuchs behauptet, dass Legit die „gesamte“ App-Entwicklungsumgebung vom „Code bis zur Cloud“ sichern kann, indem es Sicherheitsrichtlinien in CI/CD-Pipelines, Servern und anderer Infrastruktur durchsetzt. Er versichert, dass Legit in der Lage ist, Entwicklungspipelines vor der Produktion und Sicherheitstools von Drittanbietern automatisch zu erkennen und abzubilden, einschließlich ihrer Abhängigkeiten, Fehlkonfigurationen und Sicherheitslücken.
„Code-Scanning allein reicht heute für die App-Sicherheit nicht mehr aus. Sie müssen auch Ihre Entwicklungspipelines auf Lücken und Lecks scannen, die Infrastruktur und Systeme innerhalb dieser Pipelines sowie die Menschen und ihre Sicherheitshygiene, wenn sie darin arbeiten“, sagte Fuchs. „Sie brauchen eine einheitliche Ebene, um die gesamte Umgebung zu schützen, und nicht nur kurzsichtig nur den Code. Und moderne Software-Lieferketten verändern sich ständig, daher muss die Lösung über eine automatisierte Erkennung und Analyse verfügen und kontinuierlich gewährleisten, dass Software-Releases von der Code-Erstellung bis zur Cloud-Bereitstellung sicher bleiben.“
Zu diesem Zweck kann Legit auch in Cloud-Produktionsumgebungen gefundene Schwachstellen bis zur Pipeline und zum Quellcode zurückverfolgen, in dem die Schwachstelle ihren Ursprung hat. Und es kann doppelte und überflüssige Tools hervorheben, um die Verschwendung eines Unternehmens zu reduzieren und theoretisch zu Kosteneinsparungen zu führen.
Legit ist Teil einer neuen Kategorie von Sicherheitstools, die als Application Security Posture Management (ASPM) bekannt sind. ASPM wurde Anfang des Jahres von Gartner entwickelt und hilft beim Management von App-Risiken, indem es Sicherheitsprobleme im gesamten Software-Lebenszyklus erfasst, analysiert und priorisiert.
Die Nachfrage nach ASPM wächst – Gartner schätzt, dass 40 % der Sicherheitsteams im Jahr 2026 über ein ASPM-Tool verfügen werden, heute sind es nur 5 % – aber Legit ist nicht der einzige Player auf dem entstehenden Markt. Nach Rivalen gefragt, sagt Fuchs, dass er Apiiro, Cycode und sieht Rüstungscode als engster Konkurrent von Legit.
Apiiro ist besonders gut finanziert – das Startup hat letztes Jahr 100 Millionen US-Dollar von VC-Unterstützern eingesammelt. Aber Fuchs glaubt, dass Legit ausreichend differenziert ist – und, was vielleicht noch wichtiger ist, einen Early-Mover-Vorteil hat.
Zu den Kunden von Legit zählen Google, die New York Stock Exchange, Kraft Heinz und Takeda Pharmaceuticals. Und obwohl Fuchs die jährlichen wiederkehrenden Einnahmen von Legit nur ungern offenlegte, verriet er, dass das Startup in diesem Jahr einen Kundenvertrag über 2,25 Millionen US-Dollar abgeschlossen habe. Die Dealgrößen von Legit lagen im zweiten Quartal durchschnittlich bei rund 341.000 US-Dollar.
Man könnte argumentieren, dass dies ein guter Ausgangspunkt für eine Phase ist, in der es für Cybersicherheits-Startups eher schlecht läuft. Crunchbase vor kurzem gemeldet dass Fusionen und Übernahmen von Cybersicherheits-Startups auf dem Weg zu ihrem schwächsten Jahr seit 2017 sind.
„Die ASPM-Kategorie ist derzeit heiß begehrt und das Kundeninteresse steigt aufgrund der Kombination aus verbesserter Sicherheit und Risikomanagement sowie Produktivität und Kosteneinsparungen“, sagte Fuchs. „Die Plattform von Legit unterscheidet sich von anderen ASPM-Anbietern durch die Stärke ihrer Funktionen zur automatischen Erkennung, Korrelation und Analyse.“