Yrityksille
Teidän agenttinne ovat älykkäämpiä
kuin käytäntönne.
Tekoälyagentti, joka ymmärtää koodikantaanne, voi myös ymmärtää pääsynhallintamallinne. Käytäntöpohjainen tietoturva on neuvottelua jonkin kanssa, joka paranee neuvottelussa. Clavitor korvaa käytännön matematiikalla.
Matematiikkaa, ei käytäntöjä
Muut ratkaisut lisäävät tekoälyvalintaruudun olemassa olevaan säilöön. Agentti saa MCP-käytön – haku, selaus, löytäminen. Se on teitä älykkäämpi. Se löytää käytäntöjen reunatapaukset. Se luettelee tunnistetietoja, joita sen ei ollut tarkoitus nähdä. Ei siksi, että se olisi haitallinen – vaan koska agentit tekevät niin, kun niille annetaan hakupäätepiste ja tavoite.
Clavitor ei anna agenteille säilön käyttöoikeutta. Se myöntää tietyt tunnistetiedot tietyille agenteille kapean API:n kautta. Ei selausta. Ei löytämistä. Ei luettelointia. Ei hakupäätepistettä. Agentti saa sen, mikä sille on myönnetty, eikä voi löytää sitä, mitä sille ei ole myönnetty. Tämä ei ole konfiguraatiovaihtoehto tai käytäntökytkin – se on protokollan toimintatapa. Agenttipuolen päätepistettä, joka palauttaa luettelon tunnistetiedoista, ei ole olemassa. Kykyä ei ole binäärissä.
Sen lisäksi jokainen agenttitunniste sidotaan lähde-IP-osoitteeseen ensimmäisessä yhteydenotossa. Valkoisen listan voi päivittää järjestelmänvalvoja – mutta varastettu tunniste, jota käytetään listaamattomasta IP-osoitteesta, hylätään ennen kuin mikään käsittelijä käynnistyy. Ja jokainen agentti on nopeusrajoitettu: yli kolme yksilöllistä tunnistetietoa minuutissa tai kymmenen tunnissa laukaisee hidastuksen. Toinen rikkomus kahden tunnin sisällä lukitsee agentin kokonaan – jäätyneenä, kunnes tietoturvatiiminne avaa sen laitteistopainalluksella. Tavallinen agentti tarvitsee kaksi tai kolme tunnistetietoa. Kymmenen lukeva agentti on joko virheellisesti konfiguroitu tai vaarantunut. Kummassakin tapauksessa se pysähtyy.
Tulos: vaarantuneen agentin vaikutusalue on rajattu sen laajuuteen, sen IP-osoitteesta, nopeudella, joka laukaisee lukituksen ennen merkittävää tietovuotoa. Ei säännöllä, jota voidaan kiertää, vaan polun puuttumisen vuoksi – sellaista polkua ei yksinkertaisesti ole.
Rakennettu tietoturvatiimillenne
Laitteistopohjaiset rajat
Jokainen järjestelmänvalvojan toimenpide – agenttitunnisteiden luominen, laajuuksien muokkaaminen, käyttöoikeuslistojen muuttaminen, tunnistetietojen peruuttaminen – vaatii fyysisen vahvistuksen valtuutetun henkilön sormenjäljellä, kasvoilla tai turva-avaimella. Tämä ei ole ohjelmistoportti, jonka etuoikeutettu prosessi voi ohittaa. Se on kryptografinen haaste, joka vaatii rekisteröidyn laitteen henkilön kädessä.
Mikään agentti ei voi korottaa omia oikeuksiaan. Mikään vaarantunut työasema ei voi luoda uusia tunnisteita. Mikään sosiaalisen manipuloinnin hyökkäys ei voi huijata ketään myöntämään käyttöoikeutta puhelimitse – laitteistopainallus vaaditaan, ja se on sidottu selaimen alkuperään. Tietoturvatiiminne hallitsee luottamusrajaa jollakin, mitä mikään hyökkääjä ei voi etänä jäljitellä.
Kryptografinen eristys
Jokaisen työntekijän säilö on erillinen salattu tietokanta – ei rivi jaetussa taulukossa, ei nimiavaruus monen vuokralaisen tallennustilassa. Yhden säilön murto tuottaa salatekstiä. Salausavain ei ole palvelimella, ei varmuuskopiossa, ei missään datakeskuksessa.
Laajuudet hallitsevat, mitkä merkinnät agentti voi nähdä. Salaustasot hallitsevat, mitä kuka tahansa voi purkaa. Luottokortit ja valtion henkilöllisyystodistukset salataan automaattisesti identiteettitasolla – vain laitteistoavaimella, purkamaton ilman fyysistä laitetta. Yrityksenne voi ylentää minkä tahansa kentän tälle tasolle: pankkitunnukset, hankintatunnistetiedot, HR-järjestelmät, allekirjoitusavaimet. Nämä kentät ovat salatekstiä jokaisella palvelimella, jokaisessa varmuuskopiossa, jokaisessa murtoskenaariossa. Purkuavaimia ei sijoiteta yhdessä suojaamiensa tietojen kanssa.
Vaatimustenmukaisuus
SOC 2 Type II
Auditoituja valvontatoimia tietoturvan, saatavuuden ja luottamuksellisuuden varmistamiseksi. Auditointi kattaa infrastruktuurin toiminnot, pääsynhallinnan, salausavainten käsittelyn ja häiriöihin reagoinnin. Raportit saatavilla NDA:n alaisena yritysasiakkaille, jotka arvioivat alustaa.
ISO 27001
Tietoturvan hallintajärjestelmä sertifioitu. Kattaa koko elinkaaren – säilön provisioinnista tunnistetietojen myöntämiseen ja poistamiseen sekä varmuuskopioiden säilytykseen. Sertifioinnin laajuus sisältää kaikki Points of Presence (POP) -pisteet, keskitetyn järjestelmänvalvojan infrastruktuurin ja kehitysprosessin.
99,99 % lukutakuu
99,99 % käyttöaika lukutapahtumille. Puolipallojen välinen vikasietoisuus Calgaryn ja Zürichin välillä – kaksi paikkaa valittu geologisen vakauden ja maksimaalisen etäisyyden vuoksi. Jos emme saavuta tavoitetta, saat täyden kuukauden hyvityksen seuraavasta laskustasi. Automaattinen, ei vaatimuslomaketta, ei neuvottelua. SLA on sopimuksellinen, ei pyrkimys.
Integraatio
SCIM-hakemistosynkronointi
Työntekijä liittyy Azure AD:hen, Oktaan tai Google Workspaceen – säilö provisioidaan automaattisesti. Laajuudet määritetään ryhmäjäsenyyden perusteella. Työntekijä lähtee – säilö jäädytetään, kaikki tunnisteet peruutetaan, kaikki agentit lukitaan ulos. Ei manuaalista siivousta, ei tikettejä, ei "muistiko joku pyörittää tunnistetiedot".
Provisiointi on reaaliaikaista, ei eräajoa. Uuden työntekijän säilö on valmis ennen hänen kannettavaansa. Poistuneen työntekijän käyttöoikeus on poistettu ennen kuin hän ehtii parkkipaikalle.
SIEM-integraatio
Reaaliaikainen syöte Splunkiin, Datadogiin tai Sentineliin. Jokainen tunnistetietojen käyttö, jokainen epäonnistunut yritys, jokainen laajuusrikkomus, jokainen tunnisteen luonti, jokainen pyöritys. Ei päivittäistä yhteenvedoa – reaaliaikainen virta strukturoituja tapahtumia, joista SOC voi hälyttää.
Kun agentti käyttää enemmän kuin kolmea yksilöllistä tunnistetietoa minuutissa tai kymmentä tunnissa, se hidastuu automaattisesti. Toinen rikkomus laukaisee kovan lukituksen. SIEM näkee tapahtuman ennen kuin agentin seuraava pyyntö valmistuu.
Auditointi ja attribuutio
Jokainen tunnistetietojen käyttö attribuoidaan tietylle toimijalle – ihmiselle tai agentille. Ei "joku jaetulla salasanalla". Nimi, laajuus, aikaleima, lähde-IP. Kun CISO kysyy, kuka käytti tuotantotietokantaa tiistaina klo 2 yöllä, vastaus on yhden kyselyn päässä.
Salasanojen pyörityksillä on sama attribuutio. Mikä tunnistetieto muuttui, kuka sen käynnisti, mitkä agentit ottivat uuden arvon käyttöön. Jos pyöritys rikkoo käyttöönoton, jäljität sen tarkkaan muutokseen sekunneissa.
Tämä on aina päällä. Ei konfiguraatiota. Ei valintaa. Auditointiloki on vaatimustenmukaisuuden todisteesi, häiriöihin reagoinnin työkalusi ja vastauksesi jokaiselle viranomaiselle, joka kysyy, miten hallitset pääsyä arkaluonteisiin järjestelmiin.
Yritysten hinnoittelu
Käyttäjäkohtainen hinnoittelu. Kolme agenttia per käyttäjä. Hinta eliniäksi – hintasi ei koskaan nouse. Ei vuoden kuluttua. Ei viiden vuoden kuluttua. Ei sen jälkeen, kun henkilöstösi kaksinkertaistuu. Saatamme nostaa hintoja uusille asiakkaille, mutta hintasi on lukittu tasollasi, valuutassasi, tilausjakson eliniäksi.
Puhutaan.
Teidän agenttinne ovat jo täällä. Teidän tunnistetietokerroksenne pitäisi myös olla.