O Active Directory – o serviço de diretório da Microsoft utilizado para conectar usuários a recursos de rede – é empregado por mais de 90% das empresas da Fortune 1000 e muitas outras. Portanto, não é surpresa que seja um alvo gigante para hackers mal-intencionados.
Isso também significa uma grande atenção das empresas de segurança que estão desenvolvendo ferramentas para proteger e recuperar serviços de Active Directory (AD).
Hoje, a Semperis – uma startup de Hoboken, NJ, focada na proteção contra comprometimento de Active Directory – está anunciando um financiamento significativo de US$ 125 milhões obtido com JP Morgan e Hercules Capital. Esse financiamento será direcionado para pesquisa, desenvolvimento e expansão dos negócios. Além do Active Directory, a Semperis também fornece detecção de ameaças, resposta, recuperação e serviços relacionados para usuários do Entra ID (anteriormente conhecido como Azure Active Directory) e Okta, nos casos em que os clientes os utilizam para alguns ou todos seus serviços na nuvem. Entre seus clientes estão empresas como Lenovo, Prime Healthcare, Sanofi, United Airlines, Starbucks, Hertz e muitos outros, abrangendo cerca de 100 milhões de identidades de usuários.
Esse financiamento está chegando quase exatamente dois anos após a Semperis ter arrecadado US$ 200 milhões na Série C.
Diferentemente daquela rodada, este financiamento é uma mistura de capital e dívida – mais adiante explicaremos por que a empresa optou por tomar dívida – e, ao contrário daquela rodada, o TechCrunch confirmou a avaliação da Semperis, que agora é superior a US$ 1 bilhão. Nas palavras de Mickey Bresman, fundador e CEO da Semperis, “eu tenho uma buzina”.
Os US$ 651 milhões anotados no Pitchbook não são precisos.
Junto com o financiamento, a Semperis também está adicionando três executivos que, segundo Bresman, serão fundamentais para os próximos passos do negócio. Ele salientou que atualmente o foco está em um IPO, mas não descartou uma fusão e aquisição, dada a consolidação que o mercado de segurança cibernética vem presenciando nos últimos anos.
Jeff Bray assumirá o cargo de CFO; Mike DeGaetano ingressará como diretor de receitas e Annabel Lewis será a diretora jurídica e secretária corporativa. Todos os três executivos possuem vasta experiência em algumas das empresas de segurança cibernética mais bem-sucedidas da última década.
A Semperis existe desde 2013 (com os serviços lançados formalmente em 2015), e Bresman gosta de comentar que a empresa chegou ao mercado cedo e tarde ao mesmo tempo.
Cedo porque a segurança cibernética não era uma grande preocupação há dez anos, e a discussão sobre gerenciamento de identidade não tinha a mesma relevância que possui atualmente. Tarde porque, na verdade, o Active Directory foi lançado em 1999 e já era amplamente utilizado, estabelecendo o ambiente para os constantes ataques que viriam a atingir as organizações que o utilizam. Houve uma série de ataques explorando vulnerabilidades através da arquitetura do Active Directory.
E apesar do avanço dos serviços em nuvem (e mais especificamente das estratégias de marketing em torno desses serviços), os serviços locais ainda são amplamente utilizados, e o Active Directory é fundamental para quantificar esse uso entre as empresas. Um dos ataques mais recentes e prejudiciais ao Active Directory foi o NotPetya, descrito como um dos ataques cibernéticos “mais devastadores” da história.
Desde então, surgiram vários focados no Active Directory. Entre eles estão Palo Alto Networks, Bitsight, BigID, Wiz e muitos outros.
Um dos problemas com muitos dos ataques ao Active Directory é que, em um sistema distribuído, as violações podem ser complicadas, caras e difíceis de corrigir. A proposta da Semperis é que esse tempo de resposta pode ser reduzido em 90%. Como o tempo de inatividade muitas vezes custa mais para uma empresa do que a própria violação, minimizar ou evitá-lo completamente se torna o foco principal dos compradores de soluções de segurança cibernética.
“À medida que os CISOs mudam seu foco para proteger e construir resiliência em sua infraestrutura de identidade, vemos uma enorme demanda por proteção híbrida especializada de AD e Entra ID”, disse Bray em um comunicado.
“A Semperis é uma líder incontestável na área urgentemente necessária de defesa de sistemas de identidade, com uma abordagem que integra prevenção, detecção e resposta a ataques baseada em aprendizado de máquina”, acrescentou Scott Bluestein, CEO e CIO da Hercules Capital. “Organizações líderes em todo o mundo dependem da Semperis para proteger seu ambiente híbrido do Active Directory, que é crucial para a infraestrutura de TI e frequentemente alvo de invasores.”
Quanto à decisão da empresa de optar por dívida em vez de capital próprio, Bresman explicou simplesmente que a empresa tinha múltiplas opções, mas escolheu esta porque mantém na sua tabela de capitalização o mix de investidores desejado. (Ele não mencionou, mas isso também significa que a empresa terá de ceder menos capital no caminho para um IPO.)
“A Semperis, com novo apoio do JP Morgan e Hercules Capital, e nossa equipe existente de apoiadores de classe mundial, como KKR, Insight Partners, Ten Eleven Partners, Paladin, Advocate Health, entre outros, continuará a impulsionar inovações para interromper ataques cibernéticos”, afirmou Zurro. “O financiamento do crescimento complementa um balanço já forte, permitindo à Semperis acelerar o investimento em pesquisa e desenvolvimento e expandir nossa presença global para atender à crescente demanda do mercado.”