总部位于华盛顿特区的网络安全初创公司 Corsha 已获得 1200 万美元的 A 轮投资,旨在将多因素身份验证 (MFA) 引入机器对机器 API 流量。
API 允许互联网上的两个应用程序相互通信,在大流行期间成为组织数字化转型工作的核心。这使得 API 成为恶意黑客的主要目标,Gartner 预测 API 将在今年成为网络犯罪中最大的攻击媒介。 API 漏洞最近引发了一些备受瞩目的安全漏洞:Peloton 泄露了用户的私人账户信息;益博睿揭露了数百万美国人的财务历史; Facebook 、 LinkedIn和Clubhouse都因为 API 安全性差而被盗用了用户数据。
为了保护其他组织免受同样的命运,Corsha 开发了一种用于机器对机器 API 流量的自动化 MFA 解决方案。
通常,如果应用程序或服务想要进行 API 调用,它会利用 PKI 证书或 JSON Web 令牌等主要身份验证因素。 Corsha 使用由机器的动态身份构建的一次性 MFA 凭证来强化这些请求,并根据可加密验证的分布式账本网络进行检查。仅当 MFA 凭据与该机器的身份匹配时才接受 API 请求,并且每个 API 调用都需要一个新的一次性使用凭据,从而为组织的 API 服务启用零信任访问。
“使用人工 MFA,一旦您下载并设置了身份验证器,您就可以锁定对受信任机器的访问权限。这就是我们在 API 世界中所做的事情,”Corsha 联合创始人兼首席技术官 Anusha Iyer 告诉 TechCrunch。
虽然 MFA 对黑客绝不免疫——威胁行为者过去能够使用 SIM 交换和中间人 (MITM) 攻击绕过 MFA——但 Corsha 将其专利技术描述为“MFA++”。
“我们能够以独特的方式做到这一点,因为我们没有中央存储库来保存这个秘密的主设备,有人可能会破坏我们。我们已经翻转了它,所以 MFA 的起源发生在机器本身上。让它远离攻击者是我们的关键,”Corsha 的联合创始人兼首席执行官 Chris Simkins 说。
在 2018 年创立这家初创公司之前,Simkin 曾在司法部 (DoJ) 工作,作为其国家安全部门的一部分。
这家初创公司与美国政府的联系并不止于此,Corsha 早在 2020 年就将美国空军作为其 2020 年的第一个客户,该公司正在使用该技术来保护跨空军平台传输的关键任务数据。 “我们的第一个客户是美国政府,这对我们来说是一个很好的验证者,”Simkins 补充道。
这家初创公司的 A 系列投资由 Eleven Ventures 和 Razor’s Edge Ventures 共同牵头,1843 Capital 参投,Corsha 将扩大其在企业中的上市努力。 Simkins 告诉 TechCrunch,它也在快速招聘,因为它希望加强其现有的 10 名员工团队。
来源: https://techcrunch.com/2022/04/05/corsha-mfa-api-traffic/