Эксперты по безопасности часто называют идентификацию «новым периметром» в мире безопасности: В мире облачных сервисов, где сетевые активы и приложения могут располагаться далеко друг от друга, самые большие уязвимости часто связаны с утечкой и подделкой учетных данных для входа в систему.
Стартап под названием SGNL разработал новый подход, который, по его мнению, лучше защищает идентификационные данные, используемые для доступа к приложениям и многому другому - он основан на развивающейся концепции нулевых привилегий, когда доступ пользователя является условным, а не «постоянным» - и сегодня он объявил о получении 30 миллионов долларов на фоне сильного роста.
Финансирование, серия А, возглавляет Brightmind Partners, новый венчурный фонд, специализирующийся на кибербезопасности (он еще не объявил о своем первом фонде: он должен появиться позже в этом году). В проекте также участвуют Costanoa, которая возглавила посевной раунд SGNL в 2022 году, и стратегические инвесторы Microsoft (через M12) и Cisco Investments, чей вклад в этот последний раунд фактически датируется 2023 годом.
SGNL уже привлекла 42 миллиона долларов, и хотя в данных PitchBook указана оценка в 100 миллионов долларов, наши источники говорят, что это неточно (и слишком низко). Компания не раскрывает никаких подробностей об оценке, но SGNL растет и утверждает, что у нее есть «несколько» крупных корпоративных клиентов, в том числе один, который имеет «крупные медиа, развлечения и технологические операции» и использует SGNL для оптимизации управления доступом в своих облачных средах.
Стартап не раскрывает список своих клиентов, но отмечает, что примерами нарушений, которые стали следствием дыр в системе идентификации - таких, которые лучше устранить с помощью технологии, подобной SGNL, - являются нарушения в MGM (100 миллионов долларов), T-Mobile (350 миллионов долларов), AT&T, Microsoft и Caesars.
SGNL - детище Скотта Криза (CEO) и Эрика Густавсона (CPO), которые ранее были сооснователями другой компании по управлению доступом к идентификаторам под названием Bitium. Google приобрела этот стартап в 2017 году, и там, по словам Криза, ему и его команде было поручено не только создавать службы каталогов для таких продуктов, как Google Workspace и Google Cloud Platform, но и создавать и поддерживать управление доступом к идентификаторам для самой компании, в частности, как сотрудники Google могли получать доступ к данным.
Именно там Криз и Густавсон увидели пробел в управлении службами идентификации в корпоративных инструментах доступа к идентификационным данным, включая их собственные.
«По сути, мы поняли, что в области безопасности идентификации не хватает решения, которое было бы характерно не только для Google, но и для всей отрасли», - говорит он. «Компании стремились достичь такого уровня, чтобы не иметь постоянного доступа».
В двух словах, сказал Криз, доступ к идентификатору требует определенного уровня контекста: для каждого приложения нужны пароли, а также привилегии доступа. «Но даже в тех [сервисах], где это делалось - Okta была одной из них, Microsoft - другой, - они были очень хороши в открытии дверей. А вот закрывать двери они умели не очень хорошо».
Другими словами, как только менялось какое-то обстоятельство - наиболее очевидным был статус занятости, но также и другие, например, закончена ли конкретная работа, - доступ не закрывался. Это, в свою очередь, создавало потенциальные уязвимости для злоумышленников.
По словам Криза, до сих пор компании, занимающиеся безопасностью, не могли закрыть такой доступ по нескольким причинам. Первым из них было отсутствие соглашения между поставщиками о стандарте. Прорыв в этом вопросе произошел благодаря бывшему гуглеру Атулу Тулшибагвале, который является изобретателем CAEP (протокола непрерывной оценки доступа), лежащего в основе платформы SGNL. CAEP был принят OpenID Foundation, а Тулшибагвале теперь является техническим директором SGNL.
«Это не наша собственная разработка, но, как вы знаете, именно мы стояли у ее истоков, и теперь она принята в Microsoft, в Apple, в Cisco, в крупнейших компаниях», - сказал Криз.
Вторая разработка, уникальная для SGNL, заключается в том, как она создала то, что Криз называет «богатым контекстом», который она использует для управления доступом. По сути, это позволяет компаниям устанавливать несколько политик доступа, а также ряд условий, которые дополнительно должны быть выполнены, чтобы человек мог получить доступ к определенному приложению или другим данным.
SGNL создала не только структуру, позволяющую разрешать (или закрывать) доступ, но и то, что она называет «тканью данных» - граф идентификации, позволяющий системе работать без зависимости от актуальности отдельных источников данных. Криз отметил, что у одного из его клиентов было 400 000 сотрудников и 30 000 ролей в AWS, и он помог ему сократить это до шести политик (плюс множество условий, связанных с ними). (Что касается AI в названии компании, то она использует AI для создания и управления этой сетью данных).
В настоящее время множество крупных компаний, в том числе CyberArt и SailPoint, а также ряд стартапов, делают все возможное, чтобы добиться нулевых привилегий, но это не отпугивает инвесторов.
«Мне нравится, что они основали и вывели компанию, а также провели приличное количество времени в Google.
Оригинал
Уникальность
