Para manter uma empresa segura no universo digital de hoje, é preciso uma vila – especificamente, todos os funcionários da empresa, que precisam estar em guarda praticamente o tempo todo para evitar phishing, acumulação de crédito e outros tipos de vetores e técnicas de ataque comuns que levar a que seus dados e os de seus negócios sejam comprometidos. Uma startup de Londres chamada Push Security acredita que pode ajudar nesse esforço – não bloqueando a atividade online e o uso de aplicativos, mas monitorando quando os usuários estão fazendo escolhas duvidosas com aplicativos baseados na web e mostrando como corrigi-los. Hoje está anunciando US$ 15 milhões em financiamento em estágio inicial para expandir esse esforço.
A Série A está sendo liderada pelo GV (Google Ventures), com a participação de Decibel e vários anjos. (Os indivíduos incluem os cofundadores da Duo Security, Dug Song e Jon Oberheide.)
O financiamento segue uma semente de $ 4 milhões e alguns sinais notáveis de tração inicial. A startup diz que desde seu lançamento em julho de 2022, suas ferramentas foram adotadas por ‘centenas’ de equipes e cerca de 50.000 usuários, com clientes como Reachdesk, Upvest e Tray.io (cujo fundador e CEO Rich Waldron também é um investidor anjo em nesta rodada).
Adam Bateman, cofundador e CEO da Push Security, disse que teve a ideia do Push depois de anos trabalhando como hacker ético e observando muitos dos erros e práticas mais comuns entre os funcionários.
Uma coisa que sempre voltava à tona era o fato de que, não importa o quão fortes fossem as políticas de segurança de uma empresa – e não importa o quanto ela investisse em firewalls, soluções de endpoint e o resto – ações humanas em torno de escolhas incorretas de senha, clicando inadvertidamente em links duvidosos e, sem saber, compartilhar coisas que não deveriam, muitas vezes provou ser a primeira brecha na armadura.
O ponto de partida de Push é aceitar que existem certos comportamentos que serão uma segunda natureza para as pessoas: ou seja, eles vão querer usar aplicativos baseados na web no trabalho que os ajudem a trabalhar melhor, mesmo que essas ferramentas não tenham sido fornecidas pela TI. Isso explodiu como uma tendência, especialmente nos últimos dois anos, com mais pessoas trabalhando remotamente e arquiteturas baseadas em nuvem se tornando a norma para eles.
A abordagem do Push segue algumas trilhas diferentes: ele observa como esses aplicativos são usados e então automaticamente “envia” sugestões aos funcionários quando os identifica usando esses aplicativos de maneiras menos seguras – digamos, escolhendo senhas fáceis de adivinhar; ele “envia” notificações para as equipes de segurança e TI para fornecer resumos de atividades para que sejam mantidos informados; e, em seguida, adiciona o aplicativo a um painel para essas equipes monitorarem e sinalizar quando esses aplicativos representam um perigo porque eles próprios podem ter problemas de segurança e bloqueia aqueles que podem ser totalmente duvidosos.
A chave é que o Push tenta ser livre de atrito ao não barrar a atividade, mas permite melhores práticas ao enviar sugestões melhores para todos.
Bateman compara sua abordagem à do Grammarly. “Você não precisa, mas isso pode impedir que você cometa erros”, disse ele em uma entrevista. “É o mesmo conosco. Push mantém você seguro. Muito do trabalho que fazemos no nível humano não é ser o executor, ser o guarda-corpo, não um portão.
Portanto, embora existam centenas de empresas no mercado oferecendo gerenciamento de senhas, gerenciamento de aplicativos, gerenciamento de desktop, firewalls, listas negras e listas brancas e muito mais, o que chamou a atenção dos investidores aqui é a ideia de uma ferramenta que permite que as pessoas continuem trabalhando como estão. .
“A força de trabalho global está se movendo em direção a uma maior liberdade e flexibilidade com aplicativos SaaS, que introduz novas complexidades e desafios de segurança”, disse Karim Faris, sócio geral da GV, em um comunicado. “Essa tendência apresenta uma necessidade crítica de ferramentas melhores e mais simples que envolvam os funcionários e reduzam a carga da TI centralizada para gerenciar a expansão do SaaS. A GV está entusiasmada em fazer parceria com a equipe Push, pois ajuda as equipes de segurança modernas a navegar no cenário de ameaças à segurança cibernética em evolução.”
Tudo isso funciona atualmente para funcionários que já usam e-mails do Office 365 ou do Google Workspace para gerenciar seus logins em aplicativos que usam para o trabalho, disse Bateman. Se alguém tentar se inscrever em um aplicativo de trabalho usando um e-mail não comercial, isso também será sinalizado.
O Push Security foi projetado apenas para funcionar em desktops e laptops — não em dispositivos móveis. Isso porque o gerenciamento de dispositivos móveis, que normalmente inclui aplicativos e outros usos móveis, já é uma área muito bem coberta. Mais obscuros são os desktops onde as pessoas podem baixar SaaS da internet com muita facilidade.
O crescimento do SaaS abriu um novo mundo de produtividade para os trabalhadores, mas também abriu uma lata de worms de segurança. Dado que muitos aplicativos pedem para “acessar seus contatos” e outros dados para funcionar com mais eficiência (e é por isso que tantos fazem login com suas credenciais de trabalho), isso cria um possível vazamento de dados se essas contas forem subseqüentemente gerenciados de forma responsável.
Na pesquisa de Push, descobriu-se que 23% das integrações da Microsoft e 17% das integrações do Google monitoradas por meio de sua plataforma “concederam acesso a ativos e dados de alto risco, como e-mail, calendário e unidades compartilhadas” e como uma medida de quantos lugares pessoas estão usando essas credenciais, entre as integrações de aplicativos da Microsoft, apenas um terço foi aprovado pela TI via OAuth. (Os outros dois terços, disse Push, foram fornecidos “diretamente por funcionários sem supervisão ou visibilidade de TI”.) Ele não forneceu dados correspondentes para integrações de aplicativos baseados no Google.
A Push diz que adicionou cerca de 500 aplicativos SaaS aos painéis de TI desde que foi lançado, há menos de um ano. Em outras palavras, além dos aplicativos mais populares ou aprovados usados por seus clientes, houve outros 500 coletados coletivamente organicamente por funcionários dessa base de clientes, representando um potencial pesadelo de vazamento.