Polski startup Secfense ułatwia adopcję silnego uwierzytelniania w organizacjach

polski-start-up-secfense-ulatwia-adopcje-silnego-uwierzytelniania-w-organizacjach
secfense pomaga wdrozyc wieloskladnikowe uwierzytelnianie w calej organizacji
Secfense pomaga wdrożyć wieloskładnikowe uwierzytelnianie w całej organizacji

Startup Secfense założony w 2018 roku w Krakowie jako cel postawił sobie przedefiniowanie sposobu w jaki wykonuje się wdrożenie silnego uwierzytelniania w organizacjach.

rozwiazanie secfense robi dla 2fa to co wirtualizacja zrobila dla infrastruktury
Rozwiązanie Secfense robi dla 2FA to, co wirtualizacja zrobiła dla infrastruktury.

Pierwsza runda inwestowania w Secfense odbyła się w 2018 roku, kiedy to startup uzyskał 700 000 EUR od krakowskiego funduszu venture capital Bitspiration. Partnerami w funduszu Bitspiration są między innymi osoby, które wprowadzały na rynek polski technologicznego giganta Google (Paulina Mazurek i Wojtek Burkot). Partnerami w funduszu są również współzałożyciel ASPIRE (Oskar Grzegorczyk) oraz założyciel Eventory, PLNOGi CONFidence (Andrzej Targosz).

Fundusz Inwestycyjny Bitspiration jako pierwszy zainwestowal w Secfense
Fundusz Inwestycyjny Bitspiration jako pierwszy zainwestował w Secfense

Czym więc zajmuje się Secfense i dlaczego fundusz Bitspiration zdecydował się zaufać wizji założycieli Tomka Kowalskiego i Marcina Szarego?

Słowniczek

Zanim przejdziemy do specyfiki tego czym zajmuje się Secfense, krótkie intro najważniejszych pojęć związanych z ich działalnością:

2FA  (Two-Factor Authentication), znane po polsku jako dwuskładnikowe uwierzytelnianie to podzbiór MFA (Multi-Factor Authentication) czyli uwierzytelniania wieloskładnikowego.

2FA i MFA to po prostu dodatkową warstwa bezpieczeństwa stosowana, aby upewnić się, że ludzie próbujący uzyskać dostęp do chronionych zasobów naprawdę są tymi, za kogo się podają.

2FA i MFA jest również znane jako silne uwierzytelnianie.

Po wprowadzeniu przez użytkownika swojego loginu i hasła, zostanie on poproszony o podanie tak zwanego drugiego składnika czyli kolejnej informacji, którą może być:

  • Coś, co dana osoba wie: kod PIN / kod uwierzytelniający, hasło dodatkowe, odpowiedzi na „tajne pytania” itp. ;
  • Coś, co dana osoba ma: klucz, karta, smartfon, token sprzętowy [USB] itp .;
  • Coś, czym dana osoba jest: zwykle dane biometryczne (skanowanie odcisków palców / tęczówki, głos, wzór w interwałach naciśnięcia klawiszy itp.);
  • Gdzieś gdzie dana osoba się znajduje: połączenie z określoną siecią, lokalizacja GPS itp.

Potencjalne naruszenie któregoś z tych czynników nie zezwoli użytkownikowi na dostęp do chronionego zasobu. Drugi składnik nie przepuści użytkownika przez proces dwuskładnikowego logowania i nie dopuści go do chronionej aplikacji.

Dwuskładnikowe uwierzytelnianie zapewnia więc, że nawet jeśli hasło użytkownika zostanie skradzione prawdopodobieństwo, że ktoś inny będzie miał możliwość dostępu do danych znacznie spada (lub jest wyeliminowane, w zależności od siły drugiego składnika).

W artykule pojawią się też zamiennie określenia takie jak instalacja, wdrożenie, czy adopcja oznaczające po prostu wprowadzenie nowej technologii do użycia tak aby działała ona z istniejącą infrastrukturą informatyczną firmy.

Różne przykłady drugiego składnika:

  • SMS (wiadomość tekstowa): użytkownik otrzymuje kod na swoje urządzenie mobilne; metoda najczęściej wykorzystana w aplikacjach bankowych skutecznie zastępowana nowszymi metodami;
  • Hasło jednorazowe (OTP): podobne do SMS, ale kod jest generowany na dedykowanych urządzeniach;
  • Powiadomienie oparte o push: użytkownik musi potwierdzić logowanie na smartfonie za pomocą dedykowanej aplikacji;
  • Universal 2nd Factor (U2F): dedykowany token USB zweryfikuje fizyczną obecność i tożsamość użytkownika;
  • FIDO2 lub WebAuthn: uważane za jedno z najbezpieczniejszych rozwiązań dostępnych na rynku; Fast IDentity Online / FIDO2 może korzystać z dowolnych urządzeń lokalnych z uwierzytelnianiem biometrycznym (np. Czytnik linii papilarnych w smartfonie lub laptopie); WebAuthn jest standardem pozwalającym na używanie lokalnych uwierzytelniaczy zamiast haseł.

Czym zajmuje się Secfense?

Marcin Szary, współzałożyciel i CTO w Secfense, mówi, że ich rozwiązanie pozwala na dodanie dowolnej metodę 2FA lub MFA do dowolnej aplikacji, bez dotykania kodu danej aplikacji. Rozwiązanie pozwala też na skalowanie, czyli wdrożenie metody na masową skalę na wszystkich aplikacjach webowych w organizacji.

„Podchodzimy do starego problemu (adopcji silnego uwierzytelniania) w nowy sposób. Większość firm chroni swoje aplikacje wyłącznie za pomocą haseł. Niektóre firmy używają tokenów lub metod opartych o MFA. Secfense idzie o krok dalej i dostarcza organizacjom pełen pakiet metod silnego uwierzytelniania na wszystkich wykorzystywanych aplikacjach. Rozwiązanie Secfense to broker bezpieczeństwa. Oznacza to, że umożliwia ono wdrożenie każdej dostępnej na rynku metody MFA na dowolnej aplikacji w ciągu kilku minut”.

podchodzimy do starego problemu adopcji silnego uwierzytelniania w nowy sposob
Podchodzimy do starego problemu (adopcji silnego uwierzytelniania) w nowy sposób.

Tradycyjne wdrożenie uwierzytelniania MFA wymaga zwykle aktualizacji przynajmniej części kodu źródłowego aplikacji docelowej, jeśli nie całkowitego przeprojektowania jej. Jeśli dajmy na to bank ma wiele krytycznych aplikacji / systemów, złożoność rośnie wykładniczo. Przy ingerencji w kod krytycznych aplikacji zawsze pojawia się tysiąc rzeczy, które mogą pójść nie tak i zablokować pracę całej firmy.

Secfense podchodzi do tematu wdrożenia uwierzytelniania MFA w zupełnie inny sposób. Nie z perspektywy rozwoju oprogramowania (software development), ale raczej z punktu widzenia sieci (network).

„Zmieniamy paradygmat implementacji MFA. Zamiast łączyć każdą aplikację indywidualnie z wybraną metodą 2FA przekierowujemy ruch sieciowy tak aby płynął przez brokera Secfense. Instalacja rozwiązania jest tak prosta jak zmiana wpisu DNS lub reguły firewalla”.- wyjaśnia Marcin Szary.

Zmieniamy paradygmat implementacji MFA.
Zmieniamy paradygmat implementacji MFA.

Należy wyraźnie podkreślić. Secfense nie jest dostawcą uwierzytelniania wieloskładnikowego. Secfense jest brokerem uwierzytelniania wieloskładnikowego.

Różnica polega na tym że rozwiązanie Secfense umożliwia organizacjom wybór dowolnej metody w oparciu o aktualne lub przyszłe potrzeby firmy. Rozwiązanie Secfense umożliwia bowiem podmianę metody w dowolnym momencie i zastąpienie jej inną.

Biorąc pod uwagę już nasycony rynek rozwiązań MFA, Secfense podjęło strategiczną decyzję, aby nie konkurować z nimi, przynajmniej nie bezpośrednio.

Marcin Szary:

„Powtarzamy to jak mantrę, ale jest to naprawdę ważne. Nie jesteśmy dostawcą uwierzytelniania wieloskładnikowego. Jesteśmy brokerem uwierzytelniania wieloskładnikowego”.

Tomasz Kowalski uzupełnia:

„Naturalne pytanie które pojawia się zawsze w tym miejscu brzmi: Czy klient będzie musiał zapłacić osobno za rozwiązanie MFA oraz za brokera Secfense? Istnieją bezpłatne standardy uwierzytelniania (takie jak aplikacje uwierzytelniające, OTP oparte na SMS-ach, lokalne uwierzytelniacze oparte na FIDO2), a także urządzenia uwierzytelniające, które należy zakupić (klucze YubiKeys, klucze Feitian itp.). To do naszych klientów należy decyzja, której metody chcą użyć”.

czy klient bedzie musial zaplacic osobno za rozwiazanie mfa oraz za brokera secfense
Czy klient będzie musiał zapłacić osobno za rozwiązanie MFA oraz za brokera Secfense?

Jak rozwiązanie Secfense wygląda z technicznego punktu widzenia?

Broker Secfense stawiany jest między aplikacją a użytkownikiem przed, obok lub w miejsce load balancera. Broker uczy się wzorców ruchu związanych z uwierzytelnianiem i dodaje dodatkową warstwę bezpieczeństwa między użytkownikami a ich aplikacjami.

:Broker wie, do której aplikacji użytkownik chce uzyskać dostęp i prosi go o zastosowanie metody 2FA, która została wybrana dla tej konkretnej aplikacji” – wyjaśnia Marcin Szary.

Trzy opcje instalacji brokera Secfense w organizacji:

inline secfense terminujacy ssltls
Inline (Secfense terminujący SSL/TLS)
inline secfense pracujacy na odszyfrowanym ruchu
Inline (Secfense pracujący na odszyfrowanym ruchu)

Idąc krok dalej, w 2019 Secfense wprowadził nową funkcjonalność brokera – mikroautoryzacje.

Mikroautoryzacje

Mikroautoryzacje to funkcjonalność, która dodaje po prostu kolejną warstwę ochrony, prosząc użytkownika o ponowne uwierzytelnienie za każdym razem, gdy proszą oni o dostęp do określonego obszaru lub chcą wykonać określone zadanie w chronionej aplikacji.

Posługując się przykładem bankowości z początku artykułu, już po zalogowaniu przy użyciu 2FA użytkownik ponownie musi uwierzytelnić się raz jeszcze dla każdej transakcji, która będzie tego wymagać. Dlaczego miałby zostać wprowadzony taki pozornie paranoiczny system? Aby zmniejszyć ryzyko narażenia wrażliwych danych lub wykonywania nieautoryzowanych operacji. Pracownik z wystarczającymi uprawnieniami dostępu może zagrozić całej firmie, niezależnie od tego, czy jest to robione celowo, czy nie; a według danych branżowych 34% cyberataków następuje od wewnątrz.

Ważną rzeczą przy wykorzystaniu mikroautoryzacji jest to aby metoda wykorzystana do niej była nieuciążliwa dla użytkownika. Warto jest więc wybrać metodę o minimalnej uciążliwości (takiej jak przyłożenie palca do czytnika lub skan twarzy) a nie metody, która wymaga wysiłku (takiej jak wpisywanie kodów).  

Jak działają mikroautoryzacje od Secfense

Model Biznesowy i Klienci

Secfense pobiera od swoich klientów roczną opłatę abonamentową za każdego użytkownika oraz jednorazową opłatę instalacyjną. Rozwiązanie nie jest jednak oferowane w modelu SaaS (oprogramowanie jako usługa). Ze względu na wrażliwy charakter danych przepływających przez aplikację wszyscy obecni klienci Secfense preferują wdrożenia lokalne. Jednakże startup nie wyklucza rozszerzenia swojej oferty na SaaS w przyszłości.

Secfense ma obecnie sześciu klientów, a trzech kolejnych jest gotowych do sprzedaży (sales ready) – mówi Tomasz Kowalski, dodając, że firma wykonała nieco ponad 20 wdrożeń testowych proof of concept (PoC). „Naszymi klientami są głównie instytucje finansowe, ale także administracja publiczna, firmy z sektora handel i usługi, przemysł czy energetyka”.

Pandemia dodatkowo zwiększyła zainteresowanie rozwiązaniem. Do marca 2020 roku działania marketingowe skupione były głównie na wychodzeniu na zewnątrz, do klienta (outbound marketing). Od kwietnia 2020 sytuacja się zmieniła. Wszystko to wiąże się nową rzeczywistością pracy zdalnej i koniecznością utrzymania wysokiego poziomu bezpieczeństwa pracowników zdalnych pracujących z domu z niezabezpieczonych sieci. – mówi Tomasz Kowalski

Dwie trzecie zespołu pracuje zdalnie

Secfense powstało w marcu 2018 roku i obecnie liczy 9 ​​osób, z czego 3 pracuje w centrali startupu w Polsce, a reszta zdalnie.

Obaj założyciele firmy mają blisko 20-letnie doświadczenie w branży IT, a ich ścieżki zawodowe wielokrotnie przecinały się poczynając od pierwszego spotkania w 2003 roku.

CEO, Tomasz Kowalski był zaangażowany w wiele wdrożeń sprzętu i oprogramowania w dużych i średnich firmach z branży finansowej, telekomunikacyjnej i wdrożeń w sektorze wojskowym. Największą część swojej kariery zawodowej spędził w firmie Polcom, jako menedżer ds. Telekomunikacji i sprzedaży mediów.

Marcin Szary, CTO Secfense, odpowiedzialny jest za rozwój produktu. Jego doświadczenie techniczne skupia się na bezpieczeństwie, w szczególności na aspektach związanych z zarządzaniem tożsamością. Przed Secfense, Marcin Szary pełnił rolę CTO w start-upach w segmentach mobile, telco i security.

Uwaga: Secfense nie należy mylić z Secfence, indyjską firmą specjalizującą się w innych rozwiązaniach z zakresu cyberbezpieczeństwa, takich jak m.in. testy penetracyjne.

Więcej informacji o Secfense

W poniższym filmie współzałożyciele Secfense demonstrują, jak za pomocą brokera Secfense dodać 2FA na dowolnej aplikacji (na potrzeby demo na przykładzie aplikacji webowej amazon.com).

 

Dodanie uwierzytelniania dwuskładnikowego na przykładzie portalu Amazon.com

Oczywiście Secfense nie ma dostępu do infrastruktury Amazon, więc jak możliwym jest wdrożenie 2FA na aplikacji, której Secfense nie kontroluje?

Wystarczy zmienić wpis DNS, aby ruch przepływał przez brokera Secfense, co nie stanowi problemu, ponieważ na potrzeby demo mamy pełną kontrolę nad laptopem używanym w wersji demonstracyjnej. DNS to w zasadzie książka telefoniczna w Internecie, tłumaczy nazwy domen na numeryczny adres IP potrzebny do lokalizacji serwerów obsługujących strony internetow. Na przykład, jeśli wpiszemy http://172.217.22.164/ w przeglądarce, otrzymamy google.com. Aby broker Secfense faktycznie dodał na stałe dwuskładnikowe uwierzytelnianie do aplikacji Amazon musiałby zostać postawiony w infrastrukturze firmy.

Demo Secfense rodzi też pytanie: „Czy Secfense wykorzystuje podejście typu man-in-the-middle do przechwytywania żądań uwierzytelnienia?”

Zasadniczo tak, ale celem tutaj nie jest kradzież danych uwierzytelniających, a wprowadzenie dodatkowej warstwy zabezpieczeń. Jeśli klient kontroluje DNS aplikacji, broker Secfense może zostać na niej wdrożony.

Zespół Secfense proponują spojrzenie na User Access Security Broker w następujący sposób:

„Pomyśl o brokerze Secfense jak o Cloudflare dla 2FA. To, co Secfense robi dla 2FA, to to, co VMware zrobił dla infrastruktury IT”.

Secfense i UiPath

W grudniu 2020 odbył się finał konkursu UiPath Automation Awards 2020 przeznaczonego dla najbardziej innowacyjnych firm skupiających się na automatyzacji procesów biznesowych. UiPath to jeden z niewielu europejskich jednorożców, czyli startupów które przekroczyły już 1 miliard USD ewaluacji rynkowej.  

 

Secfense wśród najlepszych firm skupionych na automatyzacji procesów biznesowych

Oczekuje się, że UiPath uzyska wycenę ponad 20 miliardów dolarów w pierwszej ofercie publicznej, która prawdopodobnie nastąpi w pierwszej połowie 2021 roku, jak podał Bloomberg. Według tego samego źródła osiągnął około 500 mln USD rocznych cyklicznych przychodów.

Secfense został wybrany przez UiPath jako jeden z trzech najciekawszych startupów b2b zajmujących się automatyzacją oprogramowania z ponad 200 aplikacji z 21 krajów. Secfense został też wytypowany jako najciekawszy startup według publiczności Automation Awards 2020.

Automatyzacja adopcji silnego uwierzytelniania (czyli kluczowa wartość rozwiązania Secfense) jest ważna z kilku powodów:

  • Większość firm chroni tylko kilka aplikacji za pomocą 2FA, podczas gdy reszta pozostaje bez ochrony.
  • Aplikacje pozostają niezabezpieczone, ponieważ tradycyjna instalacja jest trudna, kosztowna, a czasem nawet niemożliwa.

Odkąd powstał Secfense User Access Security Broker, otrzymaliśmy wiele pozytywnych opinii, które zostały potwierdzone chociażby w ostatnim konkursie UiPath, ale także w success stories naszych klientów. Nasz ostatni klient jest jednym z 5 największych banków w Polsce. Secfense pomógł bankowi zabezpieczyć prawie 100 aplikacji wdrażając dwuskładnikowe uwierzytelnianie. Nie byłoby to możliwe bez narzędzia takiego jak Secfense, które pomaga zautomatyzować proces wdrażania.

Aby dowiedzieć się więcej o:

  • szczegółach technologii i działania brokera Secfense poprzednich wdrożeniach i problemach rozwiązanych dzięki brokerowi Secfense
  • możliwości umówienia się na testowanie produktu Secfense

zachęcamy do wypełnienia formularza kontaktowego i umówienie się z nami na rozmowę.

Oryginalny artykuł o Secfense pojawił się w języku angielskim na łamach portalu IK KEY: Polish Cyber Security Startup Secfense Is Looking to Expand in the UK

Antoni takes care of all the marketing content that comes from Secfense. Czytaj więcej

Polecane artykuły

Bądźmy w kontakcie

Czytaj więcej

Przewodnik po PSD3: Co to jest, kogo dotyczy i jak zapewnić zgodność

Co to jest PSD3? PSD3 (Payment Services Directive 3) to trzecia wersja unijnej dyrektywy regulującej rynek usług płatniczych. Głównym celem PSD3 jest zwiększenie bezpieczeństwa transakcji…
Avatar of Antoni Sikora Antoni Sikora

READ TIME 4 MIN

Jak zintegrować passkeys z infrastrukturą on-premise

Wdrożenie passkeys jako formy uwierzytelniania bez hasła staje się coraz bardziej popularne, a wiele organizacji szuka sposobów na integrację tego standardu z istniejącą infrastrukturą on-premise….
Avatar of Antoni Sikora Antoni Sikora

READ TIME 2 MIN

Passkeys są teraz bardziej przenośne i łatwiejsze do wdrożenia dzięki CXP i Passkey Central

Passkeys szybko stają się popularnym rozwiązaniem dla bezpiecznego, bezhasłowego uwierzytelniania, rozwiązując wieloletnie problemy związane z tradycyjnymi hasłami. Największe firmy technologiczne, takie jak Apple, Google i…
Avatar of Antoni Sikora Antoni Sikora

READ TIME 4 MIN

Referencje

Każdego dnia stajemy przed coraz to nowymi wyzwaniami. Musimy być stale o krok przed atakującymi, przewidywać ich działania. W technologii User Access Security Broker dostrzegliśmy rozwiązanie, które zapewnia nowy poziom bezpieczeństwa zarówno przy pracy z biura, jak i z domu. Współpracę z Secfense postrzegamy jako szansę na dzielenie się naszym doświadczeniem w ramach rozwiązania, którego twórcy są świadomi znaczenia nieszablonowego myślenia.

Krzysztof Słotwiński

Dyrektor Pionu Bezpieczeństwa i Zarządzania Ciągłością Działania

Bank BNP Paribas Polska

W ramach analizy przedwdrożeniowej zweryfikowaliśmy, że użytkownicy korzystają z bardzo różnych platform klienckich: komputerów stacjonarnych, laptopów, tabletów, smartfonów i tradycyjnych telefonów komórkowych. Każde z tych urządzeń różni się zaawansowaniem technologicznym i funkcjami, a także poziomem zabezpieczeń. Z uwagi na to, a także ze względu na rekomendację KNF zdecydowaliśmy się na wprowadzenie dodatkowej ochrony w postaci mechanizmów uwierzytelniania wieloskładnikowego opartego na FIDO. Dzięki temu użytkownicy naszych aplikacji mogą się do nich bezpiecznie logować, unikając popularnych cyberzagrożeń – phishingu, przejęcia konta oraz kradzieży danych swoich i klientów.

Marcin Bobruk

Prezes Zarządu

Sandis

Cieszymy się, że możemy współpracować z Secfense w celu zwiększenia bezpieczeństwa dostępu użytkowników do naszych aplikacji internetowych. Integrując ich brokera bezpieczeństwa dostępu użytkowników, zapewniamy bezproblemową i bezpieczną ochronę naszych aplikacji i systemów, zapewniając naszym klientom najwyższy poziom bezpieczeństwa i wygody.

Charm Abeywardana

IT & Infrastructure

Visium Networks

Przed inwestycją w Secfense mieliśmy okazję porozmawiać z jej dotychczasowymi klientami. Ich reakcje były jednomyślne: to takie proste w użyciu! Szczególne wrażenie zrobił na nas fakt, że wdrożenie Secfense nie wymaga zaangażowania programistów IT. Daje to ogromną przewagę nad konkurencją, a jednocześnie otwiera drzwi potencjalnym klientom, którzy do tej pory bali się zmian związanych z wdrażaniem rozwiązań uwierzytelniania wieloskładnikowego.

Mateusz Bodio

Dyrektor Zarządzający

RKKVC

Jednym z największych wyzwań, przed którymi stoi dziś świat, jest zabezpieczenie naszej tożsamości online – mówi Stanislav Ivanov, partner założyciel w Tera Ventures. – Dlatego tak bardzo zależało nam na tym, aby Secfense znalazł się w naszym portfolio. Firma umożliwia wprowadzenie silnego uwierzytelniania w sposób zautomatyzowany. Do tej pory organizacje musiały selektywnie chronić aplikacje, ponieważ wdrożenie nowej technologii było bardzo trudne, a nawet niemożliwe. Dzięki Secfense implementacja uwierzytelniania wieloskładnikowego nie stanowi już problemu, a wszystkie organizacje mogą korzystać z najwyższych standardów bezpieczeństwa.

Stanislav Ivanov

Partner i współzałożyciel

Tera Ventures

Nawet jeśli sieć i infrastruktura są wystarczająco zabezpieczone, socjotechnika i skradzione hasła mogą zostać wykorzystane do przejęcia kontroli przez atakujących. Uwierzytelnianie wieloskładnikowe (MFA) to aktualny trend. Secfense rozwiązuje problem trudnej implementacji MFA i umożliwia zbudowanie polityk bezpieczeństwa w organizacji opartej na modelu zero trust i bez stosowania hasła.

Eduard Kučera

Partner

Presto Ventures

Wiadomo, że uwierzytelnianie dwuskładnikowe jest jednym z najlepszych sposobów ochrony przed phishingiem, jednak jego implementacja zawsze jest trudna. Secfense jako broker zabezpieczeń pomógł nam rozwiązać problem z wdrożeniem. Udało nam się od razu wprowadzić różne metody 2FA do pracy z naszymi aplikacjami.

Dariusz Pitala

Dyrektor Działu IT, MPEC S.A.