Corsha, startup keamanan siber yang berbasis di Washington, DC, telah mendapatkan investasi Seri A senilai $12 juta untuk menghadirkan autentikasi multi-faktor (MFA) ke lalu lintas API mesin-ke-mesin.
API, yang memungkinkan dua aplikasi di internet untuk berkomunikasi satu sama lain, menjadi pusat upaya transformasi digital organisasi selama pandemi. Ini telah menjadikan API sebagai target utama bagi peretas jahat, dengan Gartner memperkirakan bahwa API akan menjadi vektor serangan terbesar dalam kejahatan dunia maya pada tahun ini. Kerentanan API baru-baru ini menjadi penyebab sejumlah pelanggaran keamanan profil tinggi: Peloton menumpahkan informasi akun pribadi pengguna; Experian membeberkan sejarah keuangan jutaan orang Amerika; dan Facebook, LinkedIn, dan Clubhouse semuanya memiliki data pengguna yang tergores karena API yang tidak aman.
Dalam upaya melindungi organisasi lain agar tidak mengalami nasib yang sama, Corsha telah mengembangkan solusi MFA otomatis untuk lalu lintas API mesin-ke-mesin.
Biasanya, jika aplikasi atau layanan ingin melakukan panggilan API, aplikasi atau layanan tersebut memanfaatkan faktor autentikasi utama seperti sertifikat PKI atau token web JSON. Corsha memperkuat permintaan tersebut dengan kredensial MFA sekali pakai yang dibuat dari identitas dinamis mesin dan diperiksa dengan jaringan ledger terdistribusi yang dapat diverifikasi secara kriptografis. Permintaan API hanya diterima jika ada kecocokan antara kredensial MFA dan identitas mesin tersebut, dan setiap panggilan API memerlukan kredensial sekali pakai yang baru, memungkinkan akses tanpa kepercayaan untuk layanan API organisasi.
“Dengan MFA manusia, segera setelah autentikator Anda diunduh dan disiapkan, Anda menyematkan akses ke mesin tepercaya Anda. Itulah yang kami lakukan di dunia API, ”kata salah satu pendiri Corsha dan CTO Anusha Iyer kepada TechCrunch.
Meskipun MFA sama sekali tidak kebal terhadap peretas — pelaku ancaman di masa lalu dapat melewati MFA menggunakan pertukaran SIM dan serangan man-in-the-middle (MITM) — Corsha menggambarkan teknologi yang dipatenkannya sebagai “MFA++”.
“Kami dapat melakukan ini secara unik, karena tidak ada repositori pusat tempat kami menyimpan perangkat master rahasia ini di mana seseorang dapat membahayakan kami. Kami telah membaliknya, jadi asal mula MFA terjadi pada mesin itu sendiri. Menjaga agar tidak terlihat oleh penyerang adalah kunci bagi kami,” kata salah satu pendiri dan CEO Corsha, Chris Simkins.
Sebelum mendirikan startup pada tahun 2018, Simkin’s bekerja untuk Departemen Kehakiman sebagai bagian dari divisi keamanan nasionalnya.
Tautan startup ke pemerintah AS tidak berhenti di situ, karena Corsha mengamankan Angkatan Udara AS sebagai pelanggan pertamanya pada tahun 2020, yang menggunakan teknologi untuk mengamankan data penting misi yang bergerak di seluruh platform Angkatan Udara. “Pelanggan pertama kami di luar blok adalah pemerintah AS, dan itu menjadi validator yang cukup baik bagi kami,” tambah Simkins.
Investasi Seri A startup, yang dipimpin bersama oleh Ten Eleven Ventures dan Razor’s Edge Ventures dengan partisipasi dari 1843 Capital, akan membuat Corsha memperluas upaya go-to-market di perusahaan tersebut. Ini juga sedang dalam proses perekrutan yang cepat, kata Simkins kepada TechCrunch, karena tampaknya akan memperkuat tim yang terdiri dari 10 karyawan saat ini.
