Izraelski startup Hush Security izašao je iz „stealth” faze i osigurao 11 milijuna dolara početnog ulaganja koje predvode fondovi Battery Ventures i YL Ventures. Tvrtka, koju čini tim odgovoran za Meta Networks (prodan Proofpointu 2019.), tvrdi da je pronašla način kako ukloniti najveću bolnu točku suvremenog razvoja softvera – upravljanje statičnim API ključevima i tokenima.
„Pokrenuli smo Hush jer nas godinama frustrira kako se provodi autentikacija između strojeva”, rekao je suosnivač i izvršni direktor Micha Rave.
Problemi sa statičnim tajnama • Moderne aplikacije i mikroservisi razmjenjuju tisuće poruka dnevno i pritom koriste nepregledan broj dugovječnih ključeva. • Ako se ključ nađe u javnom repozitoriju ili zapisniku, napadač dobiva neograničen pristup dok se ključ ručno ne rotira. • U prosječnom poduzeću danas postoji desetak puta više „mašinskih” identiteta nego ljudskih, a rotacija i nadzor postali su operativni teret i sigurnosni rizik.
Politike umjesto ključeva Hush ukida statične tajne i uvodi „just-in-time” pristup temeljen na politikama:
- Platforma u stvarnom vremenu mapira sve stroj-do-stroj komunikacije i pretvara ih u precizne politike pristupa.
- Pristup se izdaje samo kada je potreban i samo entitetu navedenom u politici; sav promet prolazi kroz Hush koji provjerava pravila.
- Rješenje se oslanja na otvoreni standard SPIFFE i, prema Raveu, može se uvesti „bez višegodišnje transformacije i bez dodatnog tereta za razvojne timove”.
Tri glavne funkcije • Vidljivost i otkrivanje u izvođenju – stalno prati workloadove, usluge i AI agente od koda do produkcije. • Analiza stanja u izvođenju – procjenjuje rizik prema stvarnom ponašanju, a ne statičkim pretpostavkama. • Prevencija i upravljanje – provodi dinamične politike pristupa i uklanja prijetnje vezane uz kredencijale na izvoru.
Zašto sada? Analitičari predviđaju da će do 2027. čak 40 % organizacija prijeći na arhitekture bez tajni kako bi izbjegle sigurnosne rupe i kompleksnost trezora. Partner u Battery Venturesu Barak Schoster ističe da „statične tajne više ne mogu pratiti moderno okruženje, brze razvojne cikluse i AI radna opterećenja”. Managing partner YL Venturesa Yoav Leitersdorf dodaje da Hush predvodi „novu eru sigurnosti mašinskih identiteta”.
Tvrtka već ima nekoliko klijenata s popisa Fortune 500 te nudi besplatan alat koji otkriva gdje se u kodu i okruženju kriju API ključevi. Jednim klikom, tvrde iz Husha, klijenti potom mogu migrirati na njihov sustav i „u potpunosti ukloniti raštrkanost kredencijala”.
Ambicija je jasna: zamijeniti dvadesetogodišnji standard statičnih ključeva modelom sličnim SSO-u, ali za strojeve, bez da se diraju poslovni prioriteti ili razvojni procesi.