Às vezes, as ideias de startup mais bem-sucedidas vêm de pessoas que criam ferramentas para resolver suas próprias necessidades. Esse foi o caso de Dafydd Stuttard, um especialista em segurança conhecido como Daf.
Quase duas décadas atrás, morando na pequena cidade mercantil de Knutsford, em Cheshire, no noroeste da Inglaterra, Daf trabalhava como consultor de segurança para diferentes clientes.
Paralelamente, ele criou aplicativos que ele mesmo poderia usar para acelerar algumas das partes mais rotineiras de seu trabalho. Ele dava um nome aleatório a cada ferramenta, usava-a por um tempo e seguia em frente; às vezes ele contava a outras pessoas da sua comunidade sobre as ferramentas, caso fossem úteis. (Daf já tinha reputação de hacker ético e autor na comunidade de segurança, então havia um público pronto para isso.)
Um dia, as ferramentas que ele criou para auxiliar nos testes de penetração – chamadas Burp sem nenhum motivo específico – foram uma de suas criações que ele compartilhou com outras pessoas. A coisa pegou rápido e Daf decidiu ver até onde ele conseguiria aguentar.
Avançando até hoje, você pode ver os frutos dos instintos de Daf sobre o valor da ferramenta.
Arrotar é agora Suíte Burpque é a peça central de uma startup chamada – brincando com o tema da bebida – PortSwigger. Tem mais de 20.000 organizações como clientes em 170 países, com 80.000 indivíduos e “bem mais” de 1.000 empresas e organizações que utilizam seus serviços. edição empresarial paga. (As empresas incluem Microsoft, Amazon, FedEx, Salesforce e muito mais.) Outra operação sob a égide do PortSwigger, uma plataforma educacional chamada Academia de Segurança Internet, tem mais de 1 milhão de usuários. E sim, agora existem dezenas de funcionários além de Daf.
PortSwigger, aos 17 anos, foi inicializado e lucrativo desde o início. Agora, pela primeira vez, a Daf decidiu assumir um investimento externo substancial de 112 milhões de dólares para levar a empresa ao próximo nível. Brighton Park Capital, dos EUA, é o único investidor.
“Precisamos de mais experiência para alcançar a nossa ambição”, disse Daf numa entrevista. “O mercado está ficando maior e mais complicado e as necessidades dos nossos clientes estão cada vez maiores.”
“Mas o capital não foi o maior impulsionador, uma vez que temos um fluxo de caixa positivo e tínhamos a nossa escolha de empresas com quem trabalhar”, continuou ele. Esse interesse interno veio não apenas de investidores, mas também de potenciais adquirentes.
A empresa deve parte de seu sucesso à reputação e à modesta acessibilidade de Daf.
(“Recebi um e-mail de Daffyd Stuttard @portswigger hoje em resposta a uma pergunta sobre extensor de arroto”, alguém anotado uma vez no Twitteragora conhecido como X. “Parece que Deus acabou de me enviar um eml.”
Mas a sua ascensão também ocorre ao mesmo tempo que a segurança cibernética assumiu um perfil muito maior.
Há uma série de soluções pontuais fornecidas por fornecedores em um cenário de segurança vasto, complexo e em rápida evolução – um cenário que foi formado a partir do fato de que as violações e vulnerabilidades de segurança estão aumentando em taxas recordes e causando mais danos do que nunca, principalmente por causa da injeção de IA na equação – e isso levou à criação de ainda mais aplicações e abordagens para lidar com isso.
Mas uma constante nessa mistura tem sido o papel de indivíduos com profundo conhecimento na área: hackers éticos e testadores humanos continuam a desempenhar um papel importante na forma como os problemas são identificados e resolvidos.
Mas essas pessoas precisam de assistência e ferramentas, e é aí que entra uma empresa como a PortSwigger.
Existem outros, como HackerOne e Bugcrowd, que têm como objetivo produzir o papel de hackers de chapéu branco individuais em operações de segurança. Daf observa que estes não são concorrentes do PortSwigger: eles são parceiros e sua startup fornece ferramentas para essas plataformas e outras semelhantes, que por sua vez são usadas por seus usuários.
A longo prazo, será interessante ver qual o impacto que as novas tecnologias e arquitecturas terão no papel dos indivíduos na abordagem e resolução de problemas de segurança.
Embora se possa presumir que uma inovação mais recente como a IA possa representar uma ameaça a esse respeito, esse não é o caso, pelo menos por enquanto. Daf observa que há uma série de ações repetitivas que os testadores de penetração podem realizar e que podem ser melhoradas com a automação.
Seu único investidor concorda.
“Acreditamos que, apesar da automação, ainda serão necessários pen testers”, disse Tim Drager, sócio da Brighton Park, em entrevista. “Os especialistas realmente entendem. A superfície de ataque cresceu enormemente e as APIs tornaram-se alvos principais, mas quando você combina isso com a escassez de profissionais cibernéticos com profundo conhecimento no domínio… é por isso que você precisa de ferramentas para ajudar aqueles que sabem o que fazer a serem mais eficientes. Vemos isso como uma área privilegiada para crescimento. PortSwigger dá a eles superpoderes.”
