Эксперты по безопасности часто описывают идентичность как «новый периметр» в мире безопасности: в мире облачных сервисов, где сетевые активы и приложения могут варьироваться далеко, самые большие уязвимости часто протекают и подделывают учетные данные.
Стартап под названием SGNL создал новый подход, который, по его мнению, лучше обеспечивает то, как идентичности используются для доступа к приложениям и большему количеству-он основан на новой концепции нулевой привилегии, где доступ пользователя является условным, а не «стоящим»— И сегодня это объявляет 30 миллионов долларов на сильном росте.
Финансирование, серия A, возглавляется Brightmind Partners, новым венчурным капиталом, посвященным кибербезопасности (оно еще не объявило о своем первом фонде: это должно быть позже в этом году). Также участвуют стратегические инвесторы Microsoft (через M12) и Cisco Investments, а также Costanoa, которые возглавляли Seed Round SGNL в 2022 году.
SGNL в настоящее время собрал 42 миллиона долларов, и, хотя оценка не раскрывается, компания определенно растет. Он утверждает, что у него есть «несколько» крупных корпоративных клиентов, в том числе тот, который имеет «крупные медиа, развлечения и технологические операции» и использует SGNL для оптимизации управления доступом в своих облачных средах.
Стартап не раскрывает свой список клиентов, но отмечает, что примеры видов нарушений, которые возникли в результате отверстий в позе личных -Мобиль (350 миллионов долларов), AT & T, Microsoft и Caesars.
SGNL является детищем Скотта Криза (генерального директора) и Эрика Густавсона (CPO), который ранее соучредил другую компанию по управлению доступом к идентификатору под названием Bitium. Google приобрел этот стартап в 2017 году, и там, по словам Криса, он и его команде были поручны не только каталогами услуг для таких продуктов, как Google Workspace и Google Cloud Platform, но и на создание и поддержание управления идентификационным доступом для самой компании, в частности, как сотрудники в Google смог получить доступ к данным.
Именно там Криз и Густавсон увидели разрыв в том, как в то время управлялись услуги идентификации в инструментах доступа к предприятию, включая их собственные.
«По сути, мы поняли, что в безопасности идентичности было недостающее решение, которое было не только уникальным для Google, но и по всей отрасли», — сказал он. «У компаний было стремление добраться до места, где не было никакого доступа к постоянному доступу».
В двух словах, сказал Криз, идентификационный доступ требует уровня контекста: вам нужны пароли, а также привилегии доступа к каждому приложению. «Но даже в [services] Где это было сделано — Окта была одной, Microsoft была другой — они были очень хороши в открытии двери. То, в чем они не были очень хороши, было закрыть эту дверь ».
Другими словами, после того, как одно обстоятельство изменилось — статус занятости является наиболее очевидным, но также и другие, например, была ли определенная работа — доступ не был закрыт. Это, в свою очередь, создало потенциальную уязвимость для злонамеренных актеров для эксплуатации.
Криз сказал, что несколько факторов не дают охранным компаниям возможность закрыть этот доступ до сих пор. Первым было отсутствие согласия между поставщиками для стандарта. Прорыв для этого произошел от другого бывшего гуглера по имени Атул Тулшибагвале, который был изобретателем CAEP (протокол оценки непрерывного доступа), что является тем, что лежит в основе платформы SGNL. CAEP был принят Фондом OpenID, а Тулшибагвейл в настоящее время является техническим директором SGNL.
«Это не собственности для нас, но мы — те, которые, как вы знаете, возникла, и теперь он имеет внедрение в Microsoft, в Apple, в Cisco, в крупнейших компаниях», — сказал Криз.
Вторая разработка, уникальная для SGNL, - это то, как она создала то, что Криз описывает как «богатый контекст», который он использует для создания управления доступом. Это позволяет, по сути, компании устанавливают несколько политик доступа, а также ряд условий, которые необходимо выполнить, чтобы кто -то мог получить доступ к конкретному приложению или другим данным.
SGNL создал не только структуру для того, как доступ может быть разрешен (или закрыт), но и то, что он описывает как «ткань данных», идентификационный график, который позволяет системе работать, не зависит от того, что отдельные источники данных обновлены. Криз отметил, что у одного из его клиентов было 400 000 сотрудников и 30 000 ролей в AWS, и это помогло ему сократить это до шести политик (плюс подключенные к ним условия). (Что касается ИИ в его имени, он использует ИИ для создания и управления этой тканью данных.)
Существует несколько крупных компаний, которые занимаются более нулевой привилегией, в том числе Cyberart и Sailpoint, наряду с рядом стартапов; Но это не сдерживает инвесторов.
«Мне нравится тот факт, что они основали и вышли из компании, и они провели приличное количество времени в Google. Эти вещи очень важны. Они понимают, как работают крупные предприятия »,-сказал Стивен Уорд, один из основателей Brightmind (и сам бывший CISO Homedepot и бывшего специалиста по безопасности правительства). «Это не популярное предприятие, но, с такой большой идеей, вы можете создать большой ров только от создания платформы».
