Los expertos en seguridad a menudo describen la identidad como el “nuevo perímetro” en el mundo de la seguridad: en el mundo de los servicios en la nube donde los activos y aplicaciones de red pueden variar a lo largo y amplio, las vulnerabilidades más grandes a menudo son credenciales de inicio de sesión filtradas y falsificadas.
Una startup llamada SGNL ha creado un nuevo enfoque que cree que es mejor para asegurar cómo se utilizan las identidades para acceder a las aplicaciones y más, se basa en el concepto emergente de privilegio cero, donde el acceso al usuario es condicional en lugar de “de pie”– Y hoy está anunciando $ 30 millones en la parte posterior del fuerte crecimiento.
La financiación, una Serie A, está siendo dirigida por Brightmind Partners, un nuevo VC centrado en la ciberseguridad (aún no ha anunciado su primer fondo: eso debe llegar a finales de este año). También se participan en los inversores estratégicos Microsoft (a través de M12) y Cisco Investments, junto con Costanoa, que lideró la ronda de semillas de SGNL en 2022.
SGNL ahora ha recaudado $ 42 millones, y aunque no se revela la valoración, la compañía definitivamente está creciendo. Afirma tener “múltiples” clientes empresariales importantes, incluidos uno que tiene “operaciones importantes de medios, entretenimiento y tecnología” y está utilizando SGNL para optimizar la gestión de acceso en sus entornos en la nube.
El inicio no revela su lista de clientes, pero señala que los ejemplos de los tipos de violaciones que han resultado de los agujeros en la postura de identidad, el tipo que estaría mejor conectado al usar tecnología como SGNL, incluyen las infracciones a MGM ($ 100M), T -Mobile ($ 350 millones), AT&T, Microsoft y Caesars.
SGNL es una creación de Scott Kriz (CEO) y Erik Gustavson (CPO), quienes anteriormente cofundaron otra compañía de gestión de acceso a identificación llamada Bitium. Google adquirió esa startup en 2017 y allí, dijo Kris, él y su equipo tuvieron la tarea de no solo los servicios de directorio para productos como Google Workspace y Google Cloud Platform, sino también construyendo y manteniendo la gestión de acceso a ID para la propia empresa, específicamente cómo los empleados AT Google pudo acceder a los datos.
Fue allí donde Kriz y Gustavson vieron una brecha en la forma en que los servicios de identificación se estaban gestionando en las herramientas de acceso de identificación empresarial en ese momento, incluida la suya.
“Esencialmente, nos dimos cuenta de que faltaba una solución en seguridad de identidad que no solo era exclusiva de Google, sino en toda la industria”, dijo. “Hubo este deseo de que las empresas llegaran a un lugar donde no hubiera acceso permanente”.
En pocas palabras, dijo Kriz, el acceso a ID requiere un nivel de contexto: necesita contraseñas, pero también accede a privilegios, para cada aplicación. “Pero incluso en [services] Donde eso se estaba haciendo, Okta era uno, Microsoft era otro, eran muy buenos para abrir puertas. En lo que no eran muy buenos era cerrar esa puerta “.
En otras palabras, una vez que una circunstancia cambió, el estado laboral es el más obvio, pero también otros como si se terminó un trabajo en particular, el acceso no se estaba cerrando. Eso, a su vez, creó vulnerabilidades potenciales para que los actores maliciosos exploten.
Kriz dijo que un par de factores han impedido que las compañías de seguridad puedan cerrar ese acceso, hasta ahora. El primero ha sido la falta de acuerdo entre los proveedores para un estándar. El avance de eso vino de otro ex portador llamado Atul Tulshibagwale, quien fue el inventor de CAEP (el protocolo de evaluación de acceso continuo), que es lo que sustenta la plataforma de SGNL. CAEP ha sido adoptado por la Fundación OpenID, y Tulshibagwale ahora es el CTO de SGNL.
“No es propietario para nosotros, pero nosotros somos los que sabes que originaron eso, y ahora tiene adopción en Microsoft, en Apple, en Cisco, en las compañías más grandes”, dijo Kriz.
El segundo desarrollo, exclusivo de SGNL, es cómo ha creado lo que Kriz describe como “el contexto rico” que utiliza para construir su gestión de acceso. Esto permite, esencialmente, las empresas configurar múltiples políticas de acceso, además de una serie de condiciones que además deben cumplirse, para que alguien pueda acceder a una aplicación en particular u otros datos.
SGNL ha creado no solo la estructura de cómo se puede permitir el acceso (o cerrarse), sino también lo que describe como el “tejido de datos”, un gráfico de identidad que permite que el sistema funcione sin depender de que las fuentes de datos individuales estén actualizadas. Kriz señaló que uno de sus clientes tenía 400,000 empleados y 30,000 roles en AWS, y lo ayudó a reducir eso a seis políticas (más múltiples condiciones relacionadas con ellos). (En cuanto a la IA en su nombre, utiliza AI para construir y administrar este tejido de datos).
Hay múltiples grandes empresas que hacen más en torno a un privilegio cero, incluidos Cyberart y Sailpoint, junto con varias nuevas empresas; Pero eso no es disuadir a los inversores.
“Me encanta el hecho de que han fundado y salido de una empresa, y han pasado una cantidad decente de tiempo en Google. Esas cosas son muy importantes. Entienden cómo funcionan las grandes empresas ”, dijo Stephen Ward, uno de los fundadores de Brightmind (y él mismo, un ex CISO de Homedepot y ex especialista en seguridad del gobierno). “No es una aventura popular de decir, pero, con una idea tan grande, puedes crear un gran foso solo para construir la plataforma”.
