A startup australiana de segurança em nuvem Kivera levantou US$ 3,5 milhões em financiamento inicial da General Advance, Round 13 Capital e investidores anjos, incluindo Srinath Kuruvadi (MD e chefe de segurança em nuvem no JPMorgan Chase), Ely Kahn (vice-presidente de gerenciamento de produtos para segurança em nuvem no SentinelOne), e outros.
O principal objetivo do financiamento é expandir o recrutamento de pessoal técnico após a mudança da sede de Sydney, na Austrália, para Nova York. A empresa já emergiu do sigilo, mas está mantendo um perfil relativamente discreto enquanto continua a desenvolver seu produto e trabalhar com os primeiros clientes (principalmente no setor financeiro).
O Kivera Cloud Security Protection Platform (CSPP) visa prevenir violações de nuvem, eliminando sua causa principal: configuração incorreta na nuvem pública. Já em 2019, o Gartner relatou: “Quase todos os ataques bem-sucedidos a serviços em nuvem são resultado de configuração incorreta, má administração e erros do cliente”. Pouca coisa mudou desde então.
O Gartner acrescentou: “Os líderes de segurança e gerenciamento de riscos devem investir em processos e ferramentas de gerenciamento de postura de segurança na nuvem (CSPM) para identificar e remediar esses riscos de maneira proativa e reativa”. A premissa de Kivera é que identificar erros de configuração que já existem geralmente é tarde demais. A maioria dos CSPMs identifica erros de configuração dezenas de minutos a horas depois – e o crime organizado com ferramentas automatizadas de busca na Internet pode encontrar e explorar os erros tão rapidamente quanto os CSPMs podem reconhecê-los. É melhor, afirma Kivera, prevenir erros de configuração do que encontrá-los: prevenir é melhor do que remediar.
A principal causa de configurações incorretas é que elas são possíveis. Os desenvolvedores estão sob constante pressão para produzir com velocidade, os provedores de serviços em nuvem (CSPs) precisam tornar seus serviços fáceis de usar ou perder clientes para os concorrentes, eles continuamente introduzem novos recursos e serviços e as equipes de segurança muitas vezes desconhecem os detalhes da interação entre a empresa e o CSP.
“Oferecemos algo que é prevenção em primeiro lugar e detecção em segundo lugar”, disse Neil Brown, cofundador e vice-presidente de operações da Kivera. “Nós detectamos o risco antes que ele seja criado, em vez de encontrá-lo mais tarde.” O resultado é um conjunto de políticas de configuração que podem ser aplicadas durante o desenvolvimento. “Isso significa que os desenvolvedores podem avançar rapidamente porque qualquer política de configuração será capturada pelas barreiras estabelecidas pelas políticas da empresa impostas pela Kivera.”
Ele acrescentou: “As equipes de segurança na nuvem estão sobrecarregadas com um acúmulo de alertas e merecem sair do modo de triagem e assumir o controle de sua segurança na nuvem, evitando riscos antecipadamente. Ao lidar com cargas de trabalho sensíveis, as consequências de um único erro, como expor acidentalmente um recurso à Internet, podem ser consideráveis.”
Ele fornece criptografia como um exemplo. “Digamos que eu queira construir uma máquina virtual, mas não incluí criptografia. Kivera irá capturar isso e dizer, ‘ei, esta máquina está exposta à internet e nossa política da empresa diz que ela deve ser criptografada.’ Assim, o Kivera reconhecerá o erro e aplicará controles preventivos no momento da compilação — interromperemos os riscos antes que eles entrem no ambiente de nuvem. Bloqueamos o processo e enviamos uma mensagem ao engenheiro para que o erro de configuração seja corrigido.” O problema nunca atinge AWS ou Google Cloud ou Azure.
Embora cada cliente possa desenvolver suas próprias apólices, a Kivera “tem milhares de apólices prontas para uso já incorporadas em pacotes de apólices pré-fabricados”, acrescentou. “Eles estão alinhados com estruturas comuns, como NIST 853 ou CSA Cloud Controls Matrix e outros padrões de conformidade.”
Tentativas acidentais – ou não tão acidentais – de contornar os controles Kivera por meio do trabalho remoto são aplicadas no final do CSP. Todos os CSPs têm uma identidade nativa e solução de autorização de gerenciamento de acesso. Kivera usa isso – se a tentativa de acesso do engenheiro não vier por Kivera, ela será simplesmente bloqueada.
A Kivera foi originalmente fundada em Sydney, Austrália, por Neil Brown (vice-presidente de operações) e Vernon Jefferson (CTO) em 2019. Joe Lea, membro do conselho da Viakoo e consultor estratégico da AI EdgeLabs e SecureX.AI, ingressou como CEO em junho de 2023 A empresa mudou sua sede para Nova York para atender melhor o mercado norte-americano.
: