Wenn Menschen im Unternehmenskontext den Begriff „Identitätsmanagement“ hören, denken sie normalerweise an Apps, die Benutzern dabei helfen, sich in einem Netzwerk zu authentifizieren, um auf bestimmte Dienste zuzugreifen. Im Sicherheitskontext sind menschliche Benutzer jedoch nur die Spitze des Eisbergs, wenn es darum geht, den Zugriff zu verwalten und sicherzustellen, dass er nicht gehackt wird.
Ein ganzes, wesentlich komplexeres Universum maschinenbasierter Authentifizierungen bildet die Grundlage dafür, wie praktisch alles in der IT mit allem anderen zusammenarbeitet – ein Universum, das allein aufgrund seiner Größe und Komplexität mit etwa 50 „nichtmenschlichen“ Authentifizierungen wohl noch deutlich anfälliger für Hackerangriffe ist „Identitäten für jeden Menschen in der Regel in einer Organisation, und manchmal auch mehr.“ Heute hat ein Startup aus Israel angerufen Oasensicherheit kommt mit der Technologie, die es entwickelt hat, um dieses Problem anzugehen, aus der Tarnung heraus.
Das Unternehmen kommt erst heute aus seiner Tarnung heraus, hat aber bereits Finanzmittel aufgebracht und Kunden gewonnen, während es noch unter dem Radar blieb. Die Fast-Casual-Food-Kette Chipotle, das Immobilienunternehmen JLL und Mercury Financial gehören zu den ersten Nutzern.
Die Finanzierung zeugt unterdessen von der anfänglichen Begeisterung der Anleger. Unter der Leitung von Sequoia (insbesondere Doug Leone und Bogomil Balkansky); Accel, Cyberstarts, Maple Capital, Guy Podjarny (Gründer von Snyk) und Michael Fey (Mitbegründer und CEO des Enterprise-Browser-Startups Island) nahmen ebenfalls an zwei verschiedenen Runden teil, die heute bekannt gegeben werden: einer 5-Millionen-Dollar-Seed-Runde und einer 35-Millionen-Dollar-Serie A.
Nebenbemerkung zur Finanzierung: Ein Investor erwähnte Oasis mir gegenüber vor Monaten und beschrieb das Gerangel zwischen VCs, das noch nicht gestartete Oasis zu unterstützen, als „unglaubliche Raserei“.
Der Kern dessen, womit sich Oasis befasst, ist die Tatsache, dass nichtmenschliche Identitäten – die nicht nur die Art und Weise abdecken, wie zwei Apps über eine Authentifizierung miteinander interagieren können, sondern auch die Art und Weise, wie zwei Maschinen oder beliebige Prozesse in einer Organisation zusammenarbeiten können – möglicherweise haben werden zu einem amorphen, aber wesentlichen Aspekt der heutigen Arbeitsweise moderner Unternehmen. Aber weil so vieles davon überhaupt keine Menschen involviert, mangelt es stark an Transparenz darüber, wie vieles davon funktioniert, auch wenn es nicht funktioniert.
Das menschliche Identitätsmanagement ist bereits ein fruchtbarer Boden für Kriminelle, die Phishing und viele andere Techniken nutzen, um Menschen zu überraschen, ihre Identitäten zu stehlen und sie praktisch dazu zu nutzen, sich in Netzwerke einzuschleichen. Danny Brickman, Gründer und CEO von Oasis, sagt, dass die nichtmenschliche Identität die nächste Herausforderung für diese schlechten Schauspieler sei.
„Wenn wir nur das Statistikspiel spielen und es wahr ist, dass die Identität der neue Maßstab ist, wenn es um Sicherheit geht, dann ist dies der Fall Die „Es stellt ein neues Risiko für Organisationen dar“, sagte er in einem Interview in London. „Wenn man 50-mal mehr nicht-menschliche als menschliche Identitäten hat, bedeutet das, dass die Angriffsfläche 50-mal größer ist.“ Für CISOs, fügte er hinzu, sei der Umgang mit nichtmenschlichen Identitäten „derzeit oberste Priorität“.
Um dieses Problem anzugehen, hat Oasis ein dreiteiliges System entwickelt, das im einfachsten Sinne als „Entdecken, Lösen, Automatisieren“ beschrieben werden kann.
Die erste davon erstellt und verfolgt ein vollständiges Bild davon, wie ein Netzwerk aussieht und funktioniert, und erstellt im Wesentlichen eine riesige Nachbildung aller Orte, an denen Maschinen oder nichtmenschliche Identitäten miteinander interagieren. Es beschreibt dies als visualisierte Karte.
Mithilfe dieser Karte kann dann nachverfolgt werden, welche Daten wohin verschoben werden und wann sich herausstellt, dass etwas nicht so funktioniert, wie es sollte. Das kann mit einer Authentifizierung zusammenhängen oder auch nicht: Es könnte sich auch darauf beziehen, wie sich Daten nach der Authentifizierung durch ein System bewegen. In beiden Fällen unterbreitet Oasis dann Abhilfevorschläge, um auf Ungewöhnliches zu reagieren. Wie bei vielen Sanierungslösungen können diese Vorschläge automatisch ausgeführt oder von Menschen geprüft werden.
Der dritte Teil ist die proaktive Weiterarbeit: eine automatische Aktualisierung der Karte und die fortlaufende Beobachtung der Umgebung.
Brickmans Erfolgsbilanz ist ebenso schwer fassbar wie die Bedrohung, die sein Startup eindämmen will, aber die Grundlagen geben Hinweise darauf, warum Investoren bereit waren, ihm Geld zu geben, bevor das Produkt überhaupt auf den Markt kam, und warum das Startup sich anmelden konnte Benutzer so früh.
Er verbrachte mehr als sieben Jahre bei den israelischen Streitkräften, wo er im Bereich Cybersicherheit arbeitete. Dort erzählt er mir, dass er ein Team geleitet hat, das ein großes Problem im Militär identifiziert und dann behoben hat.
Was war das für ein Problem und wie wurde es behoben? Brickman würde es nicht sagen, egal wie oft ich ihn fragte.
Er leitete ein Team von Ingenieuren und sagte: „Wir haben in einem Keller gearbeitet. Niemand wusste von unserem Projekt. Wir wollten nicht an Schwung verlieren.“ Schließlich gelang ihnen der Durchbruch und sie gewannen für ihre Arbeit einen Innovationspreis, der vom Oberbefehlshaber der Armee verliehen wurde. Anscheinend weiß noch niemand davon.
Durch diese Arbeit lernte Brickman viele andere Ingenieure kennen, darunter Amit Zimmerman, der sein Mitarbeiter an diesem geheimen, preisgekrönten Projekt wurde und jetzt sein Mitbegründer bei Oasis ist, wo er als Chief Product Officer tätig ist.
Es gibt eine Reihe von Unternehmen, die sich nun auf die Herausforderung konzentrieren, nichtmenschliche Maschine-zu-Maschine-Authentifizierung und Identitätsmanagement zu verfolgen. Eines davon, ein weiteres israelisches Startup namens Silverfort, kündigte erst letzte Woche eine eigene große Finanzierungsrunde an. Silverfort verfolgt einen ganzheitlichen Ansatz zur Lösung des Problems und bezieht die menschliche Identität als Teil seines größeren Aufgabenbereichs ein: Es geht davon aus, dass beide weiterhin untrennbar miteinander verbunden sind und man sie daher gleichzeitig berücksichtigen muss, um ein System wirklich zu sichern.
Oasis möchte sich damit zumindest vorerst nicht befassen. Getreu seinem Namen glaubt es, dass es etwas Besonderes, Besonderes und letztendlich Lukrativeres ist, zuerst die unzähligen Probleme im nichtmenschlichen Raum endgültig zu quantifizieren und zu lösen.
„Wir konzentrieren uns auf nichtmenschliche Identität“, sagte Brickman. „Von dort aus wollen wir den Wert steigern.“
„Identität ist der neue Perimeter, und nichtmenschliche Identität ist das klaffende Loch in diesem Perimeter“, sagte Balkansky von Sequoia Capital in einer Erklärung. „Wir freuen uns, mit dem Oasis-Team zusammenzuarbeiten, um eine der größten Herausforderungen der heutigen Cybersicherheit zu lösen. Das Unternehmen ist sehr stark und schnell aus der Startphase hervorgegangen und hat weniger als ein Jahr nach seiner Gründung erstklassige Kunden gewonnen, was ein Beweis für die latente Nachfrage nach einer solchen Lösung und für die Fähigkeiten und das Engagement dieses Teams ist.“