SGNL 获得3000万美元投资，推出基于零信任原则的新身份安全解决方案

SGNL公司获得3000万美元投资，用于开发基于零常设权限的新身份安全解决方案 | TechCrunch

安全专家经常将身份识别描述为安全领域的“新边界”：在云服务的世界里，网络资产和应用程序可能遍布各地，最大的漏洞通常是泄露和伪造的登录凭证。

一家名为SGNL的初创公司构建了一种新的方法，它认为这种方法更擅长保护身份如何被用来访问应用程序等——这种方法基于新兴的零常设权限概念，用户访问是有条件的而非“常设”的——今天它宣布在强劲增长的支持下获得了3000万美元的资金。

这笔资金是A轮融资，由专注于网络安全的新风投公司Brightmind Partners领投，该公司尚未宣布其首只基金，预计将在今年晚些时候公布。其他参与者包括Costanoa，它在2022年领导了SGNL的种子轮融资，以及通过M12的微软和思科投资的战略投资者，它们对这一轮的贡献实际上可以追溯到2023年。

SGNL迄今已筹集了4200万美元，尽管PitchBook的数据显示其估值为1亿美元，但我们的消息人士称这是不准确的（太低）。公司没有披露任何关于估值的细节，但SGNL正在增长，并声称拥有“多个”主要企业客户，包括一家拥有“主要媒体、娱乐和技术运营”的公司，该公司正在使用SGNL来简化其云环境中的访问管理。

SGNL没有透露其客户名单，但指出了一些由于身份姿态漏洞导致的违规行为的例子——这类违规行为本可以通过使用像SGNL这样的技术更好地堵塞——包括MGM（1亿美元）、T-Mobile（3.5亿美元）、AT&T、微软和凯撒娱乐的违规行为。

SGNL是由Scott Kriz（首席执行官）和Erik Gustavson（首席产品官）创立的，他们之前共同创立了另一家名为Bitium的身份访问管理公司。谷歌在2017年收购了这家公司，在那里，Kriz说，他和他的团队不仅要为Google Workspace和Google Cloud Platform等产品提供目录服务，还要构建和维护公司自身的ID访问管理，特别是谷歌员工如何访问数据。

正是在那里，Kriz和Gustavson看到了当时企业ID访问工具中ID服务管理的空白，包括他们自己的。

“本质上，我们意识到身份安全中缺少一个解决方案，这不仅仅是谷歌独有的，而是整个行业的，”他说。“公司渴望达到一个没有常设访问的地方。”

简而言之，Kriz说，ID访问需要一定程度的上下文：你需要密码，但也需要每个应用程序的访问权限。“即使在正在这样做的服务中——Okta是一个，微软是另一个——它们非常擅长开门。它们不擅长的是关上门。”

换句话说，一旦一个情况发生变化——雇佣状态是最明显的，但也有其他情况，比如特定的工作是否完成——访问权限并没有被切断。这反过来又为恶意行为者创造了潜在的漏洞。

Kriz说，有几个因素一直阻碍着安全公司关闭这种访问，直到现在。首先是供应商之间缺乏一个标准的协议。这一突破来自另一位前谷歌员工Atul Tulshibagwale，他是CAEP（持续访问评估协议）的发明者，这是SGNL平台的基础。CAEP已被OpenID基金会采纳，Tulshibagwale现在是SGNL的首席技术官。

“它不是我们的专有技术，但我们是你知道的原创者，现在它在微软、苹果、思科和最大的公司中得到了采纳，”Kriz说。

SGNL独特的第二个发展是它如何构建Kriz所描述的“丰富的上下文”，它用来构建其访问管理。这基本上允许公司设置多个访问策略，以及必须满足的额外条件，以便某人能够访问特定应用程序或其他数据。

SGNL不仅创建了允许访问（或关闭访问）的结构，还创建了它所描述的“数据织物”，一个身份图，让系统能够在不依赖各个数据源更新的情况下工作。Kriz提到，它的一个客户有40万名员工和3万个AWS角色，它帮助将其减少到六个策略（加上与它们相关的多个条件）。（至于它名字中的AI，它使用AI来构建和管理这个数据织物）。

包括CyberArt和SailPoint在内的多家大公司都在围绕零常设权限做更多的工作，同时也有一些初创公司；但这并没有阻止投资者。

“我喜欢他们创立并退出了一家公司，他们在谷歌度过了相当长的时间。这些事情非常重要。他们了解大型企业如何运作，”Brightmind的创始人之一Stephen Ward说（他本人是Home Depot的前首席信息安全官和前政府安全专家）。“这不是一个流行的风险投资说法，但有了这么大的想法，你可以仅仅通过构建平台就创造一个大护城河。”