No mundo da cibernética, a identidade é frequentemente pensada como um 'perímetro' ao redor de uma organização. Muitas violações começam através de técnicas como roubo de senhas, phishing e preenchimento de credenciais; portanto, garantir as identidades não apenas dos usuários, mas também de aplicativos e máquinas, é a chave para garantir todo o sistema.
Mais fácil de falar do que fazer - como o recente ataque de segurança ao Tesouro dos EUA demonstrou. Agora, a Clutch Security - uma das startups que estão construindo ferramentas focadas no espaço de identidade não-humana (máquina) - está anunciando $20 milhões em financiamento, destacando a demanda no mercado para abordar o problema.
SignalFire está liderando esta rodada com a participação também da Lightspeed Venture Partners e Merlin Ventures, investidores existentes que investiram em sua rodada seed anterior de $8,5 milhões. A Clutch disse que utilizará o financiamento para pesquisa e desenvolvimento, desenvolvimento de produtos e expansão de seu desenvolvimento de negócios.
A Clutch hoje possui integrações com quase 60 serviços de infraestrutura, aplicativos e provedores de identidade mais populares entre as empresas. Ela garante uma variedade de dados que são usados para interagir entre si, incluindo chaves de API, contas de serviço, 'segredos', tokens e outras credenciais. A plataforma da Clutch fornece serviços como visibilidade de rede, postura e gerenciamento de riscos, gerenciamento de ciclo de vida, por meio de uma abordagem de confiança zero. Existe espaço para cobrir muito mais: o número médio de identidades de máquinas em uma típica grande empresa cresceu nos últimos anos, de 320.000 em 2022 para 1 milhão em 2024, de acordo com pesquisas da Venafi (uma concorrente da Clutch).
O foco da Clutch em violações de perímetro, por coincidência, surgiu no momento em que outro perímetro foi violado. A startup de Tel Aviv foi fundada em outubro de 2023, mais ou menos nos calcanhares de Israel sendo atacado pelo Hamas e, por sua vez, entrando em guerra contra Gaza.
O CEO Ofir Har-Chen - que co-fundou a Clutch com Sagi Haas e Tal Kimhi (foto acima; Har-Chen está à esquerda) - disse que construir uma empresa naquele momento foi uma bênção e uma maldição. Por um lado, as pessoas estavam muito distraídas e angustiadas com os eventos que estavam se desenrolando, e muitas simplesmente não estavam disponíveis para trabalhar, pois estavam assumindo posições de apoio à situação em mãos, muitas se juntando às forças armadas. Por outro lado, para aqueles que estavam trabalhando, definitivamente focou suas mentes.
Ele disse que a empresa teve dificuldades para contratar qualquer pessoa no início, finalmente contratando seus primeiros funcionários em fevereiro. Mas então, construiu seu primeiro produto mínimo viável em apenas três meses. 'Eu diria que provavelmente temos uma das melhores equipes de engenharia em Israel, porque todos são veteranos no espaço,' disse ele. Har-Chen está entre esses veteranos: ele passou 20 anos trabalhando em uma variedade de funções técnicas e executivas de segurança cibernética, tanto dentro do governo israelense quanto em empresas privadas. (Enquanto isso, Haas e Kimhi são ex-alunos da Axonius, outra empresa de cibernética.)
O problema que a Clutch decidiu perseguir, enquanto isso, é 'tão antigo quanto o tempo,' continuou Har-Chen. Contas de serviço no Active Directory do Windows têm sido exemplos de onde as identidades de máquinas podem ser exploradas por hackers maliciosos, e estas estão em operação desde 1994, disse ele. 'Não há nada de novo aqui.' Mas o advento da computação em nuvem e a explosão do software como serviço como a principal forma que os aplicativos são usados, ele acrescentou, 'exacerbou o problema.'
Some a isso a entrada de IA, e especificamente agentes de IA, que se tornaram o mais novo alvo de hackers maliciosos.
“Acho que estamos vendo o pêndulo oscilar do ser humano como elo mais fraco, para o não-humano, ou a máquina”, disse ele. “Os agentes de IA estão sendo rapidamente adotados pelas empresas, substituindo tarefas manuais feitas por humanos.” Ele disse acreditar que haverá uma maior influxo agora de ataques visando comprometer esses agentes, 'apenas uma proliferação de ataques.'
A Clutch está longe de ser a primeira empresa a identificar os problemas aqui. O mercado lotado inclui nomes como Semperis, que no ano passado levantou uma avaliação de $1 bilhão para se concentrar apenas na questão legada do Active Directory; Astrix Security, que levantou $45 milhões em dezembro passado; Oasis, uma startup israelense badalada que arrecadou $40 milhões há um ano; CyberArk, que adquiriu a empresa de segurança máquina-a-máquina Venafi por mais de $1,5 bilhão no ano passado; Silverfort, que está adotando uma abordagem holística para a identidade; e Token Security, que também levantou $20 milhões dias atrás.
A velocidade com que a Clutch está se desenvolvendo é uma das razões pelas quais os investidores estão especialmente interessados nessa startup sobre (ou ao lado) de todos os outros. “O que a Clutch alcançou em tão pouco tempo é notável - eles não estão apenas construindo uma plataforma inovadora, estão remodelando toda a indústria,” disse Guru Chahal, Partner na Lightspeed Venture Partners, em um comunicado. “Seu trabalho já está impulsionando a segurança cibernética de maneiras significativas, e à medida que as empresas começam a adotar IA agentica, acredito que a Clutch será transformadora.”
