Yrityksille
Teidän agenttinne ovat älykkäämpiä
kuin käytäntönne.
Tekoälyagentti, joka ymmärtää koodikantaanne, voi myös ymmärtää pääsynhallintamallinne. Käytäntöpohjainen tietoturva on neuvottelua jonkin kanssa, joka paranee jatkuvasti neuvottelussa. Clavitor korvaa käytännön matematiikalla.
Matematiikkaa, ei käytäntöjä
Muut ratkaisut lisäävät tekoälyvalintaruudun olemassa olevaan holviin. Agentti saa MCP-käyttöoikeuden — haku, selaus, löytäminen. Se on älykkäämpi kuin te. Se löytää käytäntöjen reunatapaukset. Se luetteloi tunnistetiedot, joita sen ei ollut tarkoitus nähdä. Ei siksi, että se olisi haitallinen — vaan koska agentit tekevät niin, kun niille annetaan hakupäätepiste ja tavoite.
Clavitor ei anna agenteille holvin käyttöoikeutta. Se myöntää tietyt tunnistetiedot tietyille agenteille kapean API:n kautta. Ei selausta. Ei löytämistä. Ei luettelointia. Ei hakupäätepistettä. Agentti saa sen, mitä sille on myönnetty, eikä voi löytää sitä, mitä sille ei ole myönnetty. Tämä ei ole konfiguraatiovaihtoehto tai käytäntökytkin — se on protokollan toimintatapa. Agenttipuolen päätepistettä, joka palauttaa luettelon tunnistetiedoista, ei ole olemassa. Kykyä ei ole binäärissä.
Sen lisäksi jokainen agenttitunniste sidotaan lähde-IP-osoitteeseen ensimmäisellä yhteydenotolla. Järjestelmänvalvoja voi päivittää sallittujen luettelon — mutta varastettu tunniste, jota käytetään luettelon ulkopuolisesta IP-osoitteesta, hylätään ennen kuin mikään käsittelijä suoritetaan. Ja jokainen agentti on nopeusrajoitettu: yli kolme yksilöllistä tunnistetietoa minuutissa tai kymmenen tunnissa laukaisee rajoituksen. Toinen rikkomus kahden tunnin sisällä lukitsee agentin kokonaan — se on jäädytetty, kunnes tietoturvatiiminne avaa sen laitteistopainalluksella. Tavallinen agentti tarvitsee kaksi tai kolme tunnistetietoa. Kymmenen lukeva agentti on joko virheellisesti määritetty tai vaarantunut. Kummassakin tapauksessa se pysähtyy.
Tulos: vaarantuneen agentin räjähdyssäde on rajattu sen laajuuteen, sen IP-osoitteesta, nopeudella, joka laukaisee lukituksen ennen merkityksellistä exfiltraatiota. Ei säännöllä, jota voidaan kiertää, vaan sellaisen polun puuttumisen vuoksi, joka sen mahdollistaisi.
Rakennettu tietoturvatiimillenne
Laitteistopohjaiset rajat
Jokainen järjestelmänvalvojan toimenpide — agenttitunnisteiden luominen, laajuuksien muokkaaminen, käyttöoikeusluetteloiden muuttaminen, tunnistetietojen peruuttaminen — vaatii fyysisen vahvistuksen sormenjäljellä, kasvoilla tai turva-avaimella valtuutetulta henkilöltä. Tämä ei ole ohjelmistoportti, jonka etuoikeutettu prosessi voi ohittaa. Se on kryptografinen haaste, joka vaatii rekisteröidyn laitteen henkilön kädessä.
Mikään agentti ei voi eskaloida omia käyttöoikeuksiaan. Mikään vaarantunut työasema ei voi luoda uusia tunnisteita. Mikään sosiaalisen manipuloinnin hyökkäys ei voi huijata ketään myöntämään käyttöoikeutta puhelimitse — laitteistopainallusta vaaditaan, ja se on sidottu selaimen alkuperään. Tietoturvatiiminne hallitsee luottamusrajaa jollakin, mitä hyökkääjä ei voi etänä jäljitellä.
Kryptografinen eristys
Jokaisen työntekijän holvi on erillinen salattu tietokanta — ei rivi jaetussa taulukossa, ei nimiavaruus monen vuokralaisen tallennustilassa. Yhden holvin murto tuottaa salatekstiä. Salausavain ei ole palvelimella, ei varmuuskopiossa, ei missään datakeskuksessa.
Laajuudet hallitsevat, mitkä merkinnät agentti voi nähdä. Salaustasot hallitsevat, mitä kukaan voi purkaa. Luottokortit ja valtion henkilöllisyystodistukset salataan automaattisesti identiteettitasolla — vain laitteistoavaimella, purkamattomissa ilman fyysistä laitetta. Yrityksenne voi ylentää minkä tahansa kentän tälle tasolle: pankkikirjautumiset, hankintatunnistetiedot, HR-järjestelmät, allekirjoitusavaimet. Nämä kentät ovat salatekstiä jokaisella palvelimella, jokaisessa varmuuskopiossa, jokaisessa murto-skenaariossa. Purkuavaimia ei sijoiteta yhdessä suojaamiensa tietojen kanssa.
Vaatimustenmukaisuus
SOC 2 Type II
Auditoituja valvontatoimia tietoturvan, saatavuuden ja luottamuksellisuuden varmistamiseksi. Auditointi kattaa infrastruktuurin toiminnot, pääsynhallinnan, salausavainten käsittelyn ja häiriöiden reagoinnin. Raportit saatavilla NDA:n alaisena yritysasiakkaille, jotka arvioivat alustaa.
ISO 27001
Tietoturvan hallintajärjestelmä sertifioitu. Kattaa koko elinkaaren — holvin toimituksesta tunnistetietojen myöntämiseen, poistamiseen ja varmuuskopioiden säilytykseen. Sertifioinnin laajuus sisältää kaikki palvelupisteet (POP), keskitetyn järjestelmänvalvojan infrastruktuurin ja kehitysprosessin.
99,99 % lukutakuu
99,99 % käyttöaika lukutoiminnoille. Maanosien välinen vikasietoisuus Calgaryn ja Zürichin välillä — kaksi sijaintia valittu geologisen vakauden ja maksimaalisen etäisyyden vuoksi. Jos emme saavuta tavoitetta, saat täyden kuukauden hyvityksen seuraavasta laskustasi. Automaattinen, ei vaatimuslomaketta, ei neuvottelua. SLA on sopimusperusteinen, ei pyrkimys.
Integraatio
SCIM-hakemistosynkronointi
Työntekijä liittyy Azure AD:hen, Oktaan tai Google Workspaceen — holvi toimitetaan automaattisesti. Laajuudet määritetään ryhmäjäsenyyden perusteella. Työntekijä lähtee — holvi jäädytetään, kaikki tunnisteet perutaan, kaikki agentit lukitaan ulos. Ei manuaalista siivousta, ei tikettejä, ei "muistiko joku pyörittää tunnistetietoja".
Toimitus on reaaliaikaista, ei eräajoa. Uuden työntekijän holvi on valmis ennen hänen kannettavaansa. Poistuneen työntekijän käyttöoikeus on poissa ennen kuin hän ehtii parkkipaikalle.
SIEM-integraatio
Reaaliaikainen syöte Splunkiin, Datadogiin tai Sentineliin. Jokainen tunnistetietojen käyttö, jokainen epäonnistunut yritys, jokainen laajuusrikkomus, jokainen tunnisteen luonti, jokainen rotaatio. Ei päivittäistä tiivistelmää — suora virta jäsenneltyjä tapahtumia, joista SOC voi hälyttää.
Kun agentti käyttää enemmän kuin kolmea yksilöllistä tunnistetietoa minuutissa tai kymmentä tunnissa, se rajoitetaan automaattisesti. Toinen rikkomus laukaisee kovan lukituksen. SIEM näkee tapahtuman ennen kuin agentin seuraava pyyntö valmistuu.
Auditointi ja attribuutio
Jokainen tunnistetietojen käyttö on yhdistetty tiettyyn toimijaan — ihmiseen tai agenttiin. Ei "joku jaetulla salasanalla". Nimi, laajuus, aikaleima, lähde-IP. Kun CISO:nne kysyy, kuka käytti tuotantotietokantaa tiistai-aamuna klo 2, vastaus on yhden kyselyn päässä.
Salasanojen rotaatiot kantavat saman attribuution. Mikä tunnistetieto muuttui, kuka sen käynnisti, mitkä agentit noutivat uuden arvon. Jos rotaatio rikkoo käyttöönoton, jäljität sen tarkkaan muutokseen sekunneissa.
Tämä on aina päällä. Ei konfiguraatiota. Ei valintaa. Auditloki on vaatimustenmukaisuustodisteenne, häiriöiden reagointityökalunne ja vastauksenne jokaiselle sääntelijälle, joka kysyy, miten hallitsette pääsyä herkkiin järjestelmiin.
Yritysten hinnoittelu
Käyttäjäkohtainen hinnoittelu. Kolme agenttia per käyttäjä. Hinta eliniäksi — hintanne ei koskaan nouse. Ei vuoden kuluttua. Ei viiden vuoden kuluttua. Ei senkään jälkeen, kun henkilöstönne kaksinkertaistuu. Voimme nostaa hintoja uusille asiakkaille, mutta hintanne on lukittu tasollanne, valuutassanne, tilauksenne eliniäksi.
Puhutaan.
Teidän agenttinne ovat jo täällä. Tunnistetietokerroksenne pitäisi myös olla.