Les experts en sécurité décrivent souvent l’identité comme le «nouveau périmètre» dans le monde de la sécurité: dans le monde des services cloud où les actifs et les applications du réseau peuvent aller de loin, les plus grandes vulnérabilités sont souvent divulguées et usurpées d’identification de connexion.
Une startup appelée SGNL a construit une nouvelle approche qui, selon elle, est mieux pour assurer la façon dont les identités sont utilisées pour accéder aux applications et plus – il est basé sur le concept émergent du privilège de mise en place de zéro, où l’accès des utilisateurs est conditionnel plutôt que «debout» – Et aujourd’hui, il annonce 30 millions de dollars sur le dos d’une forte croissance.
Le financement, une série A, est dirigé par BrightMind Partners, un nouveau VC axé sur la cybersécurité (il n’a pas encore annoncé son premier: cela doit arriver à la fin de cette année). Les investisseurs stratégiques sont également des investisseurs stratégiques Microsoft (via M12) et Cisco Investments, ainsi que Costanoa, qui a dirigé les semences de SGNL en 2022.
SGNL a maintenant levé 42 millions de dollars, et bien que l’évaluation ne soit pas divulguée, la société est définitivement en croissance. Il prétend avoir de «multiples» grandes douanes d’entreprise, dont une qui possède «les principales opérations de médias, de divertissement et de technologie» et utilise SGNL pour rationaliser la gestion de l’accès à travers ses nuages.
La startup ne révèle pas sa liste de clients mais note que des exemples des types de violations qui ont résulté de trous dans la posture d’identité – le type que Wow Beter a branché en utilisant une technologie comme SGNL – incluent les violations de MGM (100 M $), T – Mobile (350 millions de dollars), AT&T, Microsoft et Caesars.
SGNL est une idée originale de Scott Kriz (PDG) et d’Erik Gustavson (CPO), qui avait auparavant cofondcé une autre société de gestion d’accès d’identité appelé Bitium. Google a acquis cette startup en 2017 et là, a déclaré Kris, lui et son équipe, nous avons chargé non seulement des services d’annuaire pour des produits comme Google Workspace et Google Cloud Platform, mais aussi la création et la gestion de l’accès aux ID pour l’entreprise elle-même, spécifique à la façon dont Google était Capable d’accéder aux données.
C’est là que Kriz et Gustavson ont vu une lacune dans la façon dont les services ID étaient gérés à travers les outils d’accès aux identifiants d’entreprise à l’époque, y compris leur.
« Essentiellement, nous avons réalisé qu’il y avait une solution manquante dans la sécurité de l’identité qui n’était pas seulement pour Google, mais dans l’industrie », a-t-il déclaré. «Il y avait ce désir que les entreprises se rendent à la place où il n’y avait pas d’accès debout.»
En un mot, a déclaré Kriz, l’accès à l’identification requis au niveau de contexte: vous avez besoin de mots de passe, mais également d’accès aux privilèges pour chaque application. «Mais même dans (services) où cela a été battu – Okta en était un, Microsoft en était un autre – ils étaient très bons pour ouvrir des portes. Ce qui n’était pas très bon était fermé cette porte. »
En d’autres termes, une fois qu’une circonstance a changé – le statut d’emploi étant le plus évident, mais aussi d’autres comme si un travail particulier était terminé – l’accès n’était pas fermé. Cela, à son tour, a créé une vulnérabilité potentielle pour les acteurs malveillants à exploiter.
Kriz a déclaré que quelques facteurs ont empêché les sociétés de sécurité de pouvoir fermer cet accès, jusqu’à présent. Le premier a été un manque d’autorisation entre les vendeurs pour une norme. La percée pour cela est venue d’un autre ex-Googler appelé Atul Toulshibagwale, qui était l’inventeur de CAEP (le protocole d’évaluation d’accès continu), ce qui sous-tend la plate-forme de SGNL. CAEP a été adopté par la Fondation OpenID, et Tlshibagwale est maintenant CTO de SGNL.
« Ce n’est pas propriétaire pour nous, objectif, nous sommes ceux que vous connaissez originaux, et maintenant il a l’adoption à Microsoft, à Apple, à Cisco, dans les grandes entreprises », a déclaré Kriz.
Le deuxième développement, unique à SGNL, est la façon dont il a construit ce que Kriz décrit comme «le contenu riche» qu’il a utilisé pour créer une gestion d’accès informatique. Cela permet, essentiellement, les entreprises mettent en place des policiers d’accès multiples, ainsi qu’un certain nombre de conditions supplémentaires doivent être, afin que quelqu’un puisse accéder à une application particulière ou à d’autres données.
SGNL a créé non seulement la structure de la façon dont l’accès peut être autorisé (ou fermé), mais aussi ce qu’il décrit comme la «fabrication de données», un graphique d’identité qui permet au système de fonctionner sans dépendre des sources de données individuelles à jour. Kriz note que l’un de ses clients comptait 400 000 employés et 30 000 rôles au sein d’AWS, et cela l’aide à réduire cela à six policiers (plus de conditions multiples liées à eux). (Quant à l’IA dans ses noms, il a utilisé l’IA pour construire et gérer cette fabrication de données.)
Il y a plusieurs grandes entreprises qui font plus autour de privilèges de mise en place de zéro, notamment Cyberart et Sailpoint, aux côtés d’un certain nombre de startups; Mais cela ne dissuade pas les investisseurs.
«J’adore le fait qu’ils aient fondé et exita une entreprise, et ils ont passé un temps décent chez Google. Ces choses sont très importantes. Ils comprennent comment les grandes entreprises fonctionnent », a déclaré Stephen Ward, l’un des fondateurs de Brightmind (et lui-même un formulaire CISO de Homedepot et ancien spécialiste de la sécurité du gouvernement). « Ce n’est pas une entreprise populaire à dire mais, avec une idée aussi grande, vous pouvez créer un grand fossé juste en construisant la plate-forme. »
