Cuando las personas escuchan el término «gestión de identidad» en un contexto empresarial, normalmente piensan en aplicaciones que ayudan a los usuarios a autenticar quiénes son en una red para poder acceder a ciertos servicios. Sin embargo, en un contexto de seguridad, los usuarios humanos son sólo la punta del iceberg cuando se trata de gestionar el acceso y asegurarse de que no sea vulnerado.
Todo un universo, considerablemente más complejo, de autenticaciones basadas en máquinas sustenta cómo casi todo lo que TI funciona con todo lo demás: un universo que posiblemente sea considerablemente más vulnerable a la piratería simplemente debido a ese tamaño y complejidad, con unos 50 «no humanos». “Identidades para cada ser humano típicamente en una organización, y a veces más. Hoy, una startup de Israel llamó Seguridad Oasis está saliendo del sigilo con la tecnología que ha creado para abordar esto.
Está surgiendo del sigilo apenas hoy, pero ya ha recaudado fondos y adquirido clientes mientras todavía estaba fuera del radar. La cadena de comida rápida Chipotle, la empresa inmobiliaria JLL y Mercury Financial se encuentran entre sus primeros usuarios.
Mientras tanto, la financiación habla del entusiasmo inicial de los inversores. Dirigido por Sequoia (específicamente Doug Leone y Bogomil Balkansky); Accel, Cyberstarts, Maple Capital, Guy Podjarny (fundador de Snyk) y Michael Fey (cofundador y director ejecutivo de la startup de navegadores Island) también participaron en dos rondas diferentes que se anuncian hoy: una semilla de $5 millones y una serie de $35 millones. A.
Nota al margen sobre la financiación: un inversor me mencionó a Oasis hace meses y describió las maniobras entre los capitalistas de riesgo para respaldar el aún no lanzado Oasis como un «frenesí increíble».
El quid de lo que Oasis está abordando es el hecho de que la identidad no humana, que cubre no sólo cómo dos aplicaciones pueden interactuar entre sí mediante una autenticación, sino también cómo dos máquinas o cualquier proceso pueden funcionar en conjunto en una organización, puede tener convertirse en un aspecto amorfo pero esencial de cómo funcionan las empresas modernas hoy en día. Pero debido a que gran parte de esto no involucra a personas en absoluto, existe una gran falta de visibilidad sobre cuánto funciona, incluso cuando no funciona.
La gestión de la identidad humana ya es un terreno fértil para los malos actores, que utilizan el phishing y muchas otras técnicas para tomar a las personas con la guardia baja, robar sus identidades y utilizarlas esencialmente para infiltrarse en las redes. El fundador y director ejecutivo de Oasis, Danny Brickman, dice que la identidad no humana es en gran medida la próxima frontera para esos malos actores.
“Si sólo estamos jugando al juego de las estadísticas, si es cierto que la identidad es el nuevo perímetro cuando se trata de seguridad, entonces esto es el nuevo riesgo para las organizaciones”, dijo en una entrevista en Londres. «Si tienes 50 veces más identidades no humanas que humanas, eso significa que la superficie de ataque es 50 veces mayor». Para los CISO, añadió, cómo manejar las identidades no humanas “es una prioridad en este momento”.
Para abordar esto, Oasis ha creado un sistema de tres partes, que en sus términos más simples puede describirse como «descubrir, resolver y automatizar».
El primero de ellos construye y rastrea una imagen completa de cómo se ve y opera una red y crea, esencialmente, una recreación gigante de todos los lugares donde las máquinas o cualquier identidad no humana interactúan entre sí. Describe esto como un mapa visualizado.
Luego puede usar este mapa para rastrear qué datos se mueven, dónde y cuándo parece que algo no funciona como debería. Esto podría estar relacionado o no con una autenticación: también podría estar relacionado con cómo se mueven los datos a través de un sistema una vez autenticados. En ambos casos, Oasis proporciona sugerencias de solución para responder a cualquier cosa inusual. Como ocurre con muchas soluciones de remediación, estas sugerencias pueden llevarse a cabo automáticamente o ser evaluadas por humanos.
La tercera parte es el trabajo continuo proactivo: una actualización automática del mapa y la observación continua a su alrededor.
El historial de Brickman es tan esquivo como la amenaza que su startup pretende contener, pero los conceptos básicos dan alguna pista de por qué los inversores estaban dispuestos a darle dinero antes de que se lanzara el producto, y por qué la startup puede firmar. usuarios tan pronto.
Pasó más de siete años en las Fuerzas de Defensa de Israel, donde trabajó en ciberseguridad. Allí, me cuenta que dirigió un equipo que identificó y luego solucionó un problema importante en el ejército.
¿Cuál fue ese problema y cómo se solucionó? Brickman no lo dijo, no importa cuántas veces se lo pregunté.
Al frente de un equipo de ingenieros, dijo: “Trabajamos en un sótano. Nadie sabía de nuestro proyecto. No queríamos perder impulso”. Finalmente, lograron un gran avance y ganaron un premio a la innovación otorgado por el jefe del ejército por su trabajo. Lo cual, al parecer, todavía nadie sabe.
Fue a través de ese trabajo que Brickman conoció a muchos otros ingenieros, incluido Amit Zimmerman, quien se convirtió en su co-colaborador en ese proyecto secreto y galardonado y ahora es su cofundador en Oasis, donde es el director de producto.
Hay una serie de empresas que ahora se están centrando en el desafío de rastrear la autenticación y la gestión de identidades no humanas de máquina a máquina. Uno de ellos, otra startup israelí llamada Silverfort, la semana pasada anunció su propia gran ronda de financiación. Silverfort está adoptando un enfoque más amplio del problema, incluyendo la identidad humana como parte de su cometido más amplio: su premisa es que los dos siguen estando inextricablemente vinculados, por lo que hay que considerarlos simultáneamente para asegurar verdaderamente un sistema.
Esto no es algo que Oasis quiera considerar, al menos por ahora. Fiel a su nombre, cree que hay algo destacado, distinto y, en última instancia, más lucrativo en cuantificar y resolver definitivamente primero la miríada de problemas en el espacio no humano.
«Estamos centrados en la identidad no humana», dijo Brickman. «Queremos impulsar el valor desde allí».
«La identidad es el nuevo perímetro, y la identidad no humana es el enorme agujero en ese perímetro», dijo Balkansky de Sequoia Capital en un comunicado. “Estamos entusiasmados de trabajar con el equipo de Oasis para resolver uno de los mayores desafíos actuales en ciberseguridad. La empresa ha salido muy fuerte y rápidamente, captando clientes de primera línea menos de un año después de su fundación, lo que es un testimonio de la demanda latente de una solución de este tipo y de las capacidades y el compromiso de este equipo”.