几乎所有的估计都显示,软件即服务 (SaaS) 已成为一股泛行业力量。 SaaS 一直在逆转风险投资放缓的许多趋势,而Gartner的数据表明,SaaS 占去年云最终用户支出(3320 亿美元)的最大份额(1230 亿美元)。
但是 SaaS 的普遍性,以及更广泛的云运动带来的易于访问,已经创造了一个被称为SaaS 蔓延的野兽,一些公司通过浏览器访问多达 200 个应用程序。这样的统计数据对于任何崭露头角的 SaaS 初创公司来说都是好兆头,但对于使用该软件的公司来说,它引发了许多重要的安全问题——他们如何保持领先地位,并确保他们的员工采用强大的安全卫生?
这是总部位于伦敦的Push Security正在着手解决的问题,其平台使员工能够使用他们工作所需的任何 SaaS 应用程序,而不会影响基本的安全原则。
“不管你喜不喜欢,SaaS 应用程序现在构成了公司基础设施的一部分,但许多人甚至不知道什么存在什么不存在,而且它还在不断增长,”Push Security 联合创始人兼首席执行官 Adam Bateman 告诉 TechCrunch。
该公司今天正式启动,获得了由 Decibel 牵头的 400 万美元种子资金,包括 Duo Security 联合创始人 Jon Oberheide 在内的知名天使也参与其中。
这个怎么运作
初始设置涉及将 Push Security 连接到 Office 365 或 Google Workspace,后者会导入公司的员工资料并查看其安全状态。
“这是我们的起点,因为这样平台就知道它需要与谁发起对话,”贝特曼说。
然后 Push 会提示员工安装浏览器扩展程序,该扩展程序用于识别公司 SaaS 蔓延的程度以及其中的任何安全问题。
经理或 IT 人员可以在仪表板中查看整个公司的所有 SaaS 以及用户数量。这些数据还显示在各个员工仪表板中,准确显示谁在使用什么 SaaS 以及他们用来访问它的浏览器,同时突出显示他们在多个服务中使用相同密码的实例。
推送安全:员工 SaaS 仪表板
Push 可以识别所有 SaaS 应用程序和相关的安全问题,例如弱或重复的用户名和密码登录,以及工作人员在这些应用程序中启用的任何第三方集成、扩展和机器人。
使用可以集成到 Slack 等通信工具中的聊天机器人式提示,Push 可以引导用户完成重要的安全程序,例如设置双因素身份验证 (2FA),或提示他们改进密码或激活特定安全设置。应用程序。
推送安全提示
影子 IT
Push 希望解决的核心问题是所谓的“影子 IT ”,即员工在没有 IT 明确批准的情况下使用软件和系统——这种做法在 SaaS 领域变得更加容易。
事实上,鉴于 IT 和安全团队几乎可以注册任何软件,因此审查和审查员工想要用来完成工作的每个应用程序变得更加困难。而且通常是出于好意,例如,员工可能只是想试用 SaaS 应用程序,以此作为说服当权者值得投资的先兆。但是当他们出于自己的意愿这样做时,通常意味着弱密码和未能激活任何形式的安全控制,例如 2FA。
在实践中,这可能意味着营销团队试驾第三方社交媒体管理工具可能会无意中危及公司的 Twitter 和 Facebook 帐户,或者管理员可能会涉足移动设备管理 (MDM) 软件并为黑客部署提供便利恶意软件到整个员工的移动设备。
虽然公司确实可以通过执行严格的 IT 政策和监督来防止这种情况发生,但它从来都不是万无一失的——而且它也不总是完全有效的。
“这让想要使用他们喜欢的工具和功能的员工感到沮丧,”贝特曼说。 “此外,如果你的竞争对手在他们的公司中允许更多的 SaaS,他们的员工能够比你的员工更快地工作并更快地推出产品和功能。你实际上是在阻碍你的员工尽可能高效地工作。”
虽然市场上还有其他影子 IT 发现工具,但它们通常都是为 IT 和安全团队提供数据以限制 SaaS 的使用。 Push 旨在支持 SaaS 的使用,并使其更加安全。
“对我们来说,关键是通过直接与员工合作,我们可以随着时间的推移建立相互信任,让他们继续自由地采用他们想要的工具,而不会从他们的安全团队中敲响警钟,”贝特曼说。 “安全团队将知道员工正在安全登录并对他们的 SaaS 使用负责,他们不再需要成为阻止者或执行者。双赢。”
故事到此为止
这三位联合创始人都来自另一家名为 MWR Infosecurity 的安全公司,四年前 F-Secure 以 1.06 亿美元的价格收购了该公司。大约 18 个月后,这三人在没有具体想法的情况下离开推出 Push Security——计划只是在进行一些市场调查后弄清楚他们将要解决什么问题。去年 3 月,他们软启动了 MVP,并邀请人们进行早期访问预览。
“这只是为了让我们进行更有意义的对话,深入了解我们将要解决的确切问题,并测试我们的市场信息,以了解什么会引起共鸣并将人们带入应用程序,”贝特曼说。
去年 8 月,他们开始尝试筹集资金,并完成了 400 万美元的种子轮融资,尽管他们选择在平台全面启动时仅在今天宣布这一消息。
基本精神——争取员工帮助保护公司的基础设施——为其他公司所共有。例如, Kolide 最近筹集了 1700 万美元,为设备安全带来了一种更加以用户为中心的方法,例如在他们的笔记本电脑磁盘空间不足时提示用户,或者客户数据导出文件在下载文件夹中未被触及。 Push 的总体理念是相同的——通过合作而不是命令来保证安全。
“我们强烈主张安全团队’强制和阻止’员工已成为过去,”贝特曼说。 “今天,安全就是让企业及其员工能够快速、安全、可靠地行动。”
创始人非常习惯于在他们以前的角色中为一些世界上最大的公司提供安全支持和服务,但是通过 Push,这一切都是为了将大型企业已经在内部部署的以用户为中心的安全类型引入小型企业。虽然它不能透露任何早期客户的名字,但它确实表示它正在与金融科技、安全、保险、制药、零售等领域的企业合作。
“我们一生都在保护大型企业,因此希望专注于为 [other] 99% 的人提供安全保障,”贝特曼说。 “我们建立了这个,以便中小企业和员工少于 2,000 人的公司可以使用它。但我们也得到了大公司的兴趣。对我们来说很酷的事情是,我们有 16,000 名员工的公司,也有只有 10-12 名员工的公司,这意味着每个试图解决这些问题的人都可以访问我们。”
原文: https://techcrunch.com/2022/07/19/push-security-launches-to-make-saas-sprawl-and-shadow-it-safer/