Corsha, ein in Washington DC ansässiges Cybersicherheits-Startup, hat sich eine Serie-A-Investition in Höhe von 12 Millionen US-Dollar gesichert, um Multi-Faktor-Authentifizierung (MFA) in den Machine-to-Machine-API-Verkehr zu bringen.
APIs, die es zwei Anwendungen im Internet ermöglichen, miteinander zu kommunizieren, wurden während der Pandemie zu einem zentralen Bestandteil der Bemühungen von Unternehmen zur digitalen Transformation. Dies hat APIs zu einem Hauptziel für böswillige Hacker gemacht, wobei Gartner voraussagt, dass APIs bis zu diesem Jahr den größten Angriffsvektor in der Cyberkriminalität darstellen werden. API-Schwachstellen waren in letzter Zeit die Ursache für eine Reihe hochkarätiger Sicherheitsverletzungen: Peloton hat die privaten Kontoinformationen von Benutzern preisgegeben; Experian ausgesetzt die Finanzgeschichten von Millionen von Amerikanern; und bei Facebook, LinkedIn und Clubhouse wurden alle Benutzerdaten aufgrund schlecht gesicherter APIs gelöscht.
Um andere Organisationen vor dem gleichen Schicksal zu schützen, hat Corsha eine automatisierte MFA-Lösung für den Machine-to-Machine-API-Verkehr entwickelt.
Wenn eine Anwendung oder ein Dienst einen API-Aufruf tätigen möchte, nutzt sie in der Regel einen primären Authentifizierungsfaktor wie ein PKI-Zertifikat oder ein JSON-Web-Token. Corsha härtet diese Anforderungen mit einem einmalig verwendbaren MFA-Berechtigungsnachweis ab, der aus der dynamischen Identität der Maschine erstellt und mit einem kryptografisch verifizierbaren Distributed-Ledger-Netzwerk abgeglichen wird. Die API-Anforderung wird nur akzeptiert, wenn eine Übereinstimmung zwischen den MFA-Anmeldeinformationen und der Identität dieses Computers besteht, und jeder API-Aufruf erfordert eine neue, einmalige Anmeldeinformation, die einen Zero-Trust-Zugriff für die API-Dienste einer Organisation ermöglicht.
„Mit menschlicher MFA fixieren Sie den Zugriff auf Ihren vertrauenswürdigen Computer, sobald Sie Ihren Authentifikator heruntergeladen und eingerichtet haben. Das machen wir in der API-Welt“, sagt Corsha-Mitbegründerin und CTO Anusha Iyer gegenüber Tech.
Während MFA keineswegs immun gegen Hacker ist – Bedrohungsakteure konnten MFA in der Vergangenheit mithilfe von SIM-Swap- und Man-in-the-Middle-Angriffen (MITM) umgehen – beschreibt Corsha seine patentierte Technologie als „MFA++“.
„Wir können dies auf einzigartige Weise tun, da es kein zentrales Repository gibt, in dem wir dieses geheime Master-Gerät aufbewahren, wo uns jemand kompromittieren könnte. Wir haben es umgedreht, sodass der Ursprung des MFA auf der Maschine selbst liegt. Es war für uns entscheidend, es außerhalb der Sichtweite des Angreifers zu halten“, sagte Chris Simkins, Mitbegründer und CEO von Corsha.
Vor der Gründung des Startups im Jahr 2018 arbeitete Simpkin’s für das Justizministerium (DoJ) als Teil seiner Abteilung für nationale Sicherheit.
Die Verbindung des Startups zur US-Regierung endet hier nicht, da Corsha bereits im Jahr 2020 die US Air Force als seinen ersten Kunden im Jahr 2020 gewonnen hat, der die Technologie nutzt, um unternehmenskritische Daten in Bewegung über Air Force-Plattformen zu sichern. „Unser erster Kunde aus dem Block war die US-Regierung, und das war ein ziemlich guter Beweis für uns“, fügte Simkins hinzu.
Die Serie-A-Investition des Startups, die gemeinsam von Eleven Ventures und Razor’s Edge Ventures mit Beteiligung von 1843 Capital geleitet wurde, wird dazu führen, dass Corsha seine Markteinführungsbemühungen im Unternehmen ausweitet. Es befindet sich auch in einem rasanten Einstellungsrausch, sagt Simkins gegenüber Tech, da es versucht, sein derzeitiges Team von 10 Mitarbeitern zu verstärken.