Los expertos en seguridad a menudo describen la identidad como el “nuevo perímetro” en el mundo de la seguridad: en el mundo de los servicios en la nube donde los activos de red y las aplicaciones pueden estar dispersos, las mayores vulnerabilidades suelen ser las credenciales de inicio de sesión que se filtraron y falsificaron.
Una startup llamada SGNL ha desarrollado un nuevo enfoque que cree que es mejor para asegurar cómo se utilizan las identidades para acceder a aplicaciones y más, se basa en el concepto emergente de privilegio de cero permanencia, donde el acceso de usuario es condicional en lugar de “permanente” y hoy está anunciando $30 millones respaldado por un fuerte crecimiento.
La financiación, una Serie A, está siendo liderada por Brightmind Partners, un nuevo VC enfocado en ciberseguridad (aún no ha anunciado su primer fondo: eso se espera para más adelante este año). También participan Costanoa, que lideró la ronda semilla de SGNL en 2022 e inversores estratégicos como Microsoft (a través de M12) y Cisco Investments, cuya contribución a esta última ronda data de 2023.
SGNL ha recaudado hasta ahora $42 millones, y aunque los datos de PitchBook indican una valoración de $100 millones, nuestras fuentes nos dicen que esto es inexacto (y demasiado bajo). La compañía no ha revelado detalles sobre la valoración, pero SGNL está creciendo y afirma tener “varios” clientes empresariales importantes, incluido uno con “operaciones importantes en medios de comunicación, entretenimiento y tecnología” que utiliza SGNL para agilizar la gestión de acceso en sus entornos en la nube.
La startup no revela su lista de clientes, pero señala que ejemplos de las brechas que han resultado de agujeros en la postura de identidad -como las brechas en MGM ($100 millones), T-Mobile ($350 millones), AT&T, Microsoft y Caesars- podrían ser mejorar utilizando tecnología como la de SGNL.
SGNL es idea de Scott Kriz (CEO) y Erik Gustavson (CPO), quienes anteriormente habían cofundado otra compañía de gestión de acceso de identidad llamada Bitium. Google adquirió esa startup en 2017 y allí, Kriz dijo, él y su equipo tenían la tarea de no solo brindar servicios de directorio para productos como Google Workspace y Google Cloud Platform, sino también construir y mantener la gestión de acceso de identidad para la propia compañía, específicamente cómo los empleados de Google podían acceder a los datos.
Fue allí donde Kriz y Gustavson vieron una brecha en cómo se estaban gestionando los servicios de ID a través de las herramientas de acceso ID empresarial en ese momento, incluida la suya propia.
“Básicamente, nos dimos cuenta de que faltaba una solución en seguridad de identidad que no era solo única para Google, sino en toda la industria”, dijo. “Había un deseo de que las empresas llegaran a un punto en el que no hubiera acceso permanente”.
En resumen, Kriz dijo, el acceso de identificación requiere un nivel de contexto: se necesitan contraseñas, pero también privilegios de acceso, para cada aplicación. “Pero incluso en [servicios] donde se hacía eso - Okta era uno, Microsoft era otro - eran muy buenos abriendo puertas. Lo que no eran muy buenos era cerrando esa puerta”.
En otras palabras, una vez que una circunstancia cambiaba -el estado laboral siendo el más obvio, pero también otros como si un trabajo en particular estaba terminado- el acceso no se cerraba. Eso, a su vez, creaba posibles vulnerabilidades para que los actores malintencionados las explotaran.
Kriz dijo que un par de factores han impedido a las empresas de seguridad cerrar ese acceso, hasta ahora. El primero ha sido la falta de acuerdo entre los vendedores para un estándar. El avance para eso provino de otro exgoogler llamado Atul Tulshibagwale, quien fue el inventor de CAEP (el protocolo de evaluación de acceso continuo), que es lo que sustenta la plataforma de SGNL. CAEP ha sido adoptado por la OpenID Foundation, y Tulshibagwale es ahora el CTO de SGNL.
“No es de nuestra propiedad, pero somos los que originamos eso, y ahora tiene adopción en Microsoft, en Apple, en Cisco, en las compañías más grandes”, dijo Kriz.
El segundo desarrollo, único en SGNL, es cómo ha construido lo que Kriz describe como “el contexto rico” que utiliza para crear su gestión de acceso. Esto permite, esencialmente, que las empresas configuren múltiples políticas de acceso, además de una serie de condiciones que también deben cumplirse para que alguien pueda acceder a una aplicación o otros datos en particular.
SGNL no solo ha creado la estructura para cómo se puede permitir el acceso (o cerrarlo) sino también lo que describe como “el tejido de datos”, un gráfico de identidad que permite que el sistema funcione sin depender de que las fuentes de datos individuales estén actualizadas. Kriz señaló que uno de sus clientes tenía 400,000 empleados y 30,000 roles dentro de AWS, y les ayudó a reducirlo a seis políticas (más múltiples condiciones conectadas a ellas). (En cuanto al IA en su nombre, utiliza inteligencia artificial para construir y gestionar este tejido de datos).
Hay múltiples grandes empresas haciendo más alrededor del privilegio de cero permanencia, como CyberArt y SailPoint, además de varias startups; pero eso no está desalentando a los inversores.
“Me encanta el hecho de que hayan fundado y vendido una compañía, y hayan pasado un tiempo considerable en Google. Esas cosas son muy importantes. Entienden cómo funcionan las grandes empresas”, dijo Stephen Ward, uno de los fundadores de Brightmind (y él mismo ex CISO de HomeDepot y ex especialista en seguridad gubernamental). “No es algo popular entre las empresas de riesgo, pero con una idea tan grande, se puede crear un gran foso solo construyendo la plataforma”.
