SGNL تعطل 30 مليون دولار للحصول على أمن الهوية الجديد بناءً على امتيازات قائمة صفرية

غالبًا ما يصف خبراء الأمن الهوية بأنها “محيط جديد” في عالم الأمن: في عالم الخدمات السحابية حيث يمكن أن تتراوح أصول وتطبيقات الشبكة على نطاق واسع ، وغالبًا ما يتم تسريب أكبر نقاط الضعف وبيانات اعتماد تسجيل الدخول.

قامت شركة ناشئة تسمى SGNL ببناء نهج جديد يعتقد أنه أفضل في تأمين كيفية استخدام الهويات للوصول إلى التطبيقات وأكثر من ذلك-فهي تستند إلى المفهوم الناشئ للامتياز الصفر ، حيث يكون وصول المستخدم مشروطًا بدلاً من “الوقوف”- واليوم تعلن عن 30 مليون دولار على خلفية النمو القوي.

يقود BrightMind Partners ، وهو التمويل ، سلسلة A ، وهو VC جديد يركز على الأمن السيبراني (لم يعلن بعد عن أول صندوق له: من المقرر أن يأتي في وقت لاحق من هذا العام). كما تشارك المستثمرون الاستراتيجيون Microsoft (عبر M12) و Cisco Investments ، إلى جانب Costanoa ، الذي قاد جولة SGNL في عام 2022.

جمعت SGNL الآن 42 مليون دولار ، وعلى الرغم من عدم الكشف عن التقييم ، فإن الشركة تنمو بالتأكيد. تدعي أن لديها عملاء “متعددة” للمؤسسات الرئيسية ، بما في ذلك واحد يحتوي على “عمليات الوسائط الرئيسية والترفيه والتكنولوجيا” ويستخدم SGNL لتبسيط إدارة الوصول عبر بيئاتها السحابية.

لا تكشف بدء التشغيل عن قائمة عملائها ولكنها تلاحظ أن أمثلة على أنواع الانتهاكات التي نتجت عن ثقوب في وضعية الهوية – النوع الذي سيتم توصيله بشكل أفضل باستخدام تقنية مثل SGNL – تشمل الخرقات في MGM (100 مليون دولار) ، T. -mobile (350 مليون دولار) ، AT&T ، Microsoft ، و Caesars.

SGNL هو من بنات أفكار سكوت كريز (الرئيس التنفيذي) وإريك غوستافسون (CPO) ، الذين شاركوا سابقًا في تأسيس شركة أخرى لإدارة الوصول إلى الهوية تسمى بيتيوم. وقال كريس إن Google قد اكتسبت هذه الناشئة في عام 2017 وهناك ، لم يتم تكليف هو وفريقه بخدمات الدليل فقط لمنتجات مثل Google Workspace و Google Cloud Platfor تمكنت Google من الوصول إلى البيانات.

لقد رأى Kriz و Gustavson فجوة في كيفية إدارة خدمات الهوية عبر أدوات الوصول إلى معرف المؤسسة في ذلك الوقت ، بما في ذلك.

وقال “في الأساس ، أدركنا أن هناك حلًا مفقودًا في أمان الهوية لم يكن فريدًا فقط بالنسبة إلى Google ، ولكن عبر الصناعة”. “كانت هناك هذه الرغبة في أن تصل الشركات إلى مكان لا يوجد فيه وصول قائم”.

وقال Kriz ، باختصار ، إن الوصول إلى المعرف يتطلب مستوى من السياق: تحتاج إلى كلمات مرور ، ولكن أيضًا امتيازات الوصول لكل تطبيق. “لكن حتى في [services] حيث تم ذلك – كان أوكتا واحدًا ، كانت Microsoft أخرى – كانت جيدة جدًا في فتح الأبواب. ما لم يكن جيدًا فيه هو إغلاق هذا الباب “.

بمعنى آخر ، بمجرد تغيير أحد الظروف – حالة التوظيف هي الأكثر وضوحًا ، ولكن أيضًا الآخرين مثل ما إذا كانت هناك وظيفة معينة – لم يتم إغلاق الوصول. وهذا بدوره خلق نقاط الضعف المحتملة للجهات الفاعلة الخبيثة لاستغلالها.

قال كريز إن هناك عاملان منعت شركات الأمن من القدرة على إغلاق هذا الوصول ، حتى الآن. الأول كان نقص الاتفاق بين البائعين للحصول على معيار. جاء هذا الاختراق بالنسبة إلى ذلك من مركب سابق آخر يدعى Atul Tulshibagwale ، الذي كان مخترع CAEP (بروتوكول تقييم الوصول المستمر) ، وهو ما يدعم منصة SGNL. تم تبني CAEP من قبل مؤسسة OpenID ، و Tulshibagwale هو الآن CTO’s CTO.

وقال كريز: “إنها ليست ملكية بالنسبة لنا ، لكننا ننشأ ذلك ، والآن لديها اعتماد في Microsoft ، في Apple ، في Cisco ، في أكبر الشركات”.

التطوير الثاني ، فريد من نوعه لـ SGNL ، هو كيف قام ببناء ما يصفه كريز بأنه “السياق الغني” الذي يستخدمه لبناء إدارة الوصول. يتيح ذلك ، في الأساس ، أن تقوم الشركات بإعداد سياسات وصول متعددة ، بالإضافة إلى عدد من الشروط التي يجب الوفاء بها بالإضافة إلى ذلك ، حتى يتمكن شخص ما من الوصول إلى تطبيق معين أو بيانات أخرى.

قامت SGNL بإنشاء ليس فقط هيكل كيفية السماح للوصول (أو إغلاقه) ولكن أيضًا ما يصفه بأنه “نسيج البيانات” ، وهو رسم بياني للهوية يتيح للنظام العمل دون الاعتماد على مصادر البيانات الفردية. أشارت كريز إلى أن أحد عملائه كان لديه 400000 موظف و 30000 من الأدوار في AWS ، وساعدها على تقليل ذلك إلى ست سياسات (بالإضافة إلى شروط متعددة متصلة بهم). (أما بالنسبة ل AI باسمها ، فإنه يستخدم الذكاء الاصطناعي لإنشاء وإدارة نسيج البيانات هذا.)

هناك العديد من الشركات الكبيرة التي تفعل المزيد حول الامتياز الصفر ، بما في ذلك Cyberart و SailPoint ، إلى جانب عدد من الشركات الناشئة ؛ لكن هذا لا يردع المستثمرين.

“أحب حقيقة أنهم أسسوا وخرجوا من شركة ، وقضوا وقتًا لائقًا في Google. هذه الأشياء مهمة جدا. قال ستيفن وارد ، أحد مؤسسي برايدميند (ونفسه “و Ciso السابق لـ Homedepot وأخصائي الأمن السابق للحكومة السابقة). “إنه ليس شيئًا مشاريعًا أن نقوله ، لكن مع وجود فكرة كبيرة ، يمكنك إنشاء خندق كبير فقط من بناء المنصة.”