Os especialistas em segurança geralmente descrevem a identidade como o “novo perímetro” no mundo da segurança: no mundo dos serviços em nuvem, onde os ativos e aplicativos de rede podem variar em toda parte, as maiores vulnerabilidades são frequentemente vazadas e as credenciais de login falsificadas.
Uma startup chamada Sgnl Construiu uma nova abordagem que acredita ser melhor para garantir como as identidades são usadas para acessar aplicativos e muito mais-é baseado no conceito emergente de privilégio zero, onde o acesso ao usuário é condicional em vez de “ficar em pé”-e hoje está anunciando US $ 30 milhões com um forte crescimento.
O financiamento, uma série A, está sendo liderado pela BrightMind Partners, um novo VC com foco na segurança cibernética (ainda não anunciou seu primeiro fundo: isso deve vir ainda este ano). Também participam dos investidores estratégicos da Microsoft (via M12) e Cisco Investments, juntamente com o Cosnoa, que LED SGNL’s Seed Round em 2022.
A SGNL já levantou US $ 42 milhões e, embora a avaliação não esteja sendo divulgada, a empresa está definitivamente crescendo. Ele afirma ter “múltiplos” grandes clientes corporativos, incluindo um que possui “operações importantes de mídia, entretenimento e tecnologia” e está usando o SGNL para otimizar o gerenciamento de acesso em seus ambientes em nuvem.
A startup não divulga sua lista de clientes, mas observa que exemplos dos tipos de violações que resultaram de orifícios na postura de identidade – do tipo que seria melhor conectado ao usar tecnologia como a SGNL – incluem as violações em MGM (US $ 100 milhões)Assim, T-Mobile (US $ 350 milhões)Assim, AT&TAssim, Microsofte Caesars.
A SGNL é uma ideia de Scott Kriz (CEO) e Erik Gustavson (CPO), que já havia co-fundado outra empresa de gerenciamento de acesso à ID chamada Bitium. O Google adquiriu essa startup em 2017 E lá, disse Kris, ele e sua equipe foram encarregados não apenas de serviços de diretório para produtos como o Google Workspace e o Google Cloud Platform, mas também a criação e manutenção de gerenciamento de acesso à ID da própria empresa, especificamente como os funcionários do Google foram capazes de acessar dados .
Foi lá que Kriz e Gustavson viram uma lacuna na maneira como os serviços de identificação estavam sendo gerenciados em ferramentas de acesso a identificação corporativa na época, incluindo as suas.
“Essencialmente, percebemos que havia uma solução ausente na segurança de identidade que não era apenas exclusiva do Google, mas em todo o setor”, disse ele. “Havia esse desejo de as empresas chegarem a um lugar onde não havia acesso permanente”.
Em poucas palavras, disse Kriz, o acesso de identidade requer um nível de contexto: você precisa de senhas, mas também os privilégios de acesso para cada aplicativo. “Mas mesmo em (serviços) onde isso estava sendo feito – Okta era um, a Microsoft era outra – eles eram muito bons em abrir portas. O que eles não eram muito bons era fechar aquela porta. ”
Em outras palavras, uma vez que uma circunstância mudou – o status de emprego é o mais óbvio, mas também outras como se um trabalho em particular foi concluído – o acesso não estava sendo fechado. Isso, por sua vez, criou possíveis vulnerabilidades para atores maliciosos explorarem.
Kriz disse que alguns fatores impediram que as empresas de segurança pudessem fechar esse acesso até agora. O primeiro foi a falta de acordo entre os fornecedores de um padrão. O avanço para isso veio de outro ex-jogador chamado Atul Tulshibagwale, que era o inventor de Caep (O protocolo de avaliação de acesso contínuo), que é o que sustenta a plataforma da SGNL. O CAEP foi adotado pela OpenID Foundation, e Tulshibagwale agora é o CTO da SGNL.
“Não é proprietário para nós, mas somos os que você sabe que originou isso, e agora tem adoção na Microsoft, na Apple, na Cisco, nas maiores empresas”, disse Kriz.
O segundo desenvolvimento, exclusivo do SGNL, é como ele construiu o que Kriz descreve como “o contexto rico” que ele usa para criar seu gerenciamento de acesso. Isso permite, essencialmente, as empresas configuram várias políticas de acesso, além de várias condições que também precisam ser atendidas, para que alguém possa acessar um aplicativo específico ou outros dados.
A SGNL criou não apenas a estrutura de como o acesso pode ser permitido (ou fechado), mas também o que descreve como o “Fabric Data”, um gráfico de identidade que permite que o sistema funcione sem depender das fontes de dados individuais estarem atualizadas. Kriz observou que um de seus clientes tinha 400.000 funcionários e 30.000 funções na AWS, e ajudou a reduzir isso para seis políticas (além de várias condições conectadas a eles). (Quanto à IA em seu nome, ele usa a IA para construir e gerenciar esse tecido de dados.)
Existem várias grandes empresas que estão fazendo mais em torno de privilégios zero, incluindo Cyberart e Sailpoint, juntamente com várias startups; Mas isso não está impedindo os investidores.
“Adoro o fato de que eles fundaram e saíram de uma empresa e passaram um tempo decente no Google. Essas coisas são muito importantes. Eles entendem como as grandes empresas funcionam ”, disse Stephen Ward, um dos fundadores da Brightmind (e um ex-CISO de Homedepot e ex-especialista em segurança do governo). “Não é uma coisa de empreendimento popular de se dizer, mas, com uma ideia tão grande, você pode criar um grande fosso apenas a construir a plataforma”.
