Manchmal stammen die erfolgreichsten Startup-Ideen von Personen, die Tools entwickeln, um ihre eigenen Bedürfnisse zu lösen. So war es auch bei Dafydd Stuttard, einem Sicherheitsexperten, der sich Daf nennt. Vor fast zwei Jahrzehnten, als er in der kleinen Marktgemeinde Knutsford in Cheshire im Nordwesten Englands lebte, arbeitete Daf als Sicherheitsberater für verschiedene Kunden. Nebenbei baute er Apps, die er selbst verwenden konnte, um einige der routinemäßigeren Teile seiner Arbeit zu beschleunigen. Er gab jedem Tool einen zufälligen Namen, nutzte es eine Weile und ging dann weiter; manchmal erzählte er anderen in seiner Community von den Tools, falls sie nützlich waren. (Daf hatte bereits einen Ruf als ethischer Hacker und Autor in der Sicherheitscommunity, daher gab es ein bereites Publikum dafür.)
Eines Tages wurde ein von ihm entwickeltes Tool zur Unterstützung von Penetrationstests - ohne speziellen Grund Burp genannt - eine seiner Kreationen, die er mit anderen teilte. Es verbreitete sich schnell, und Daf beschloss zu sehen, wie weit er es bringen konnte.
Springen Sie heute in die Gegenwart und Sie können die Früchte von Dafs Instinkten bezüglich des Werts des Tools sehen. Burp ist jetzt Burp Suite, das Mittelstück eines Startups namens - im Hinblick auf das Trinkthema - PortSwigger. Es hat mehr als 20.000 Organisationen als Kunden in 170 Ländern, mit 80.000 Einzelpersonen und „weit über“ 1.000 Unternehmen und Organisationen, die die kostenpflichtige Enterprise-Edition nutzen. (Die Unternehmen umfassen Microsoft, Amazon, FedEx, Salesforce und mehr.) Eine weitere Operation unter dem PortSwigger-Dach, eine Bildungsplattform namens Web Security Academy, hat mehr als 1 Million Benutzer. Und ja, es gibt jetzt Dutzende von Mitarbeitern neben Daf.
PortSwigger, 17 Jahre alt, wurde von Anfang an bootgestrappt und profitabel. Nun, zum ersten Mal, hat Daf beschlossen, eine wesentliche externe Investition von 112 Millionen US-Dollar anzunehmen, um das Unternehmen auf die nächste Stufe zu heben. Brighton Park Capital aus den USA ist der einzige Investor.
„Wir benötigen mehr Expertise, um unsere Ambitionen zu erreichen“, sagte Daf in einem Interview. „Der Markt wird größer und komplizierter und die Bedürfnisse unserer Kunden werden größer.“
„Aber das Kapital war nicht der größte Treiber, da wir Cashflow-positiv sind und die Qual der Wahl hatten, mit welchen Firmen wir zusammenarbeiten möchten“, fuhr er fort. Das eingehende Interesse kam nicht nur von Investoren, sondern auch von potenziellen Käufern.
Das Unternehmen verdankt einen Teil seines Erfolgs Dafs Ruf und seiner bescheidenen Zugänglichkeit.
(„Habe heute eine E-Mail von Daffyd Stuttard @portswigger erhalten als Antwort auf eine Frage zum Burp-Extender“, bemerkte einmal jemand auf Twitter, jetzt bekannt als X. „Fühlt sich irgendwie an, als ob Gott mir eine E-Mail geschickt hätte.“)
Aber sein Aufstieg fällt auch in eine Zeit, in der Cybersecurity ein viel größeres Profil erhalten hat. Es gibt eine Vielzahl von Einzellösungen von Anbietern in einer riesigen, komplexen und sich schnell entwickelnden Sicherheitslandschaft - eine Landschaft, die sich daraus gebildet hat, dass Sicherheitsverletzungen und Schwachstellen in Rekordzahlen zunehmen und mehr Schaden als je zuvor verursachen, nicht zuletzt aufgrund der Integration von KI in die Gleichung. Dies hat zur Schaffung noch mehr Anwendungen und Ansätze geführt, um damit umzugehen.
Aber eine Konstante in diesem Mix war die Rolle von Personen mit tiefgreifendem Fachwissen: Ethical Hacker und Human Tester spielen weiterhin eine wichtige Rolle dabei, Probleme zu identifizieren und zu beheben.
Aber diese Personen benötigen Unterstützung und Tools, und hier kommt ein Unternehmen wie PortSwigger ins Spiel. Es gibt auch andere wie HackerOne und Bugcrowd, die darauf abzielen, die Rolle einzelner White-Hat-Hacker in Sicherheitsoperationen zu produktisieren. Daf stellt jedoch klar, dass diese keine Konkurrenten für PortSwigger sind: Sie sind Partner, und sein Startup bietet Tools für diese Plattformen und andere, die wiederum von deren Benutzern verwendet werden.
Mittelfristig wird es interessant sein zu sehen, welchen Einfluss neuere Technologien und Architekturen auf die Rolle von Einzelpersonen bei der Bewältigung und Lösung von Sicherheitsproblemen haben werden.
Obwohl man annehmen könnte, dass eine neuere Innovation wie KI in dieser Hinsicht eine Bedrohung darstellen könnte, ist dies zumindest derzeit nicht der Fall. Daf stellt fest, dass es eine Reihe von sich wiederholenden Aktionen gibt, die Penetrationstester durchführen könnten, die mit Automatisierung verbessert werden können.
Sein einziger Investor stimmt dem zu.
„Wir glauben, dass trotz der Automatisierung Penetrationstester weiterhin erforderlich sein werden“, sagte Tim Drager, Partner bei Brighton Park, in einem Interview. „Experten verstehen wirklich. Die Angriffsfläche ist massiv gewachsen, und APIs sind zu Hauptzielen geworden. Aber wenn man das mit dem Mangel an Cyber-Profis mit tiefgreifendem Fachwissen kombiniert... deshalb benötigen Sie Tools, um denen zu helfen, die wissen, was zu tun ist, effizienter zu arbeiten. Wir sehen darin ein großes Wachstumspotenzial. PortSwigger verleiht ihnen Superkräfte.“
