Для предприятий
Ваши агенты умнее
ваших политик.
ИИ-агент, понимающий Вашу кодовую базу, способен также понять Вашу модель контроля доступа. Политика безопасности — это переговоры с тем, кто становится всё лучше в переговорах. Clavitor заменяет политику математикой.
Математика, а не политика
Другие решения добавляют галочку «ИИ» к существующему хранилищу. Агент получает доступ по MCP — поиск, просмотр, обнаружение. Он умнее Вас. Он найдёт граничные случаи в Ваших политиках. Он перечислит учётные данные, которые ему никогда не предназначалось видеть. Не потому что он вредоносен — потому что именно так ведут себя агенты, когда им предоставляется конечная точка поиска и цель.
Clavitor не предоставляет агентам доступ к хранилищу. Он выдаёт конкретные учётные данные конкретным агентам через узкий API. Никакого просмотра. Никакого обнаружения. Никакого перечисления. Никакой конечной точки поиска. Агент получает то, что ему выдано, и не может найти то, чего ему не выдавали. Это не параметр конфигурации и не переключатель политики — так работает протокол. Конечной точки, возвращающей агенту список учётных данных, не существует. Этой возможности нет в исполняемом файле.
Кроме того, каждый токен агента при первом контакте привязывается к исходному IP-адресу. Белый список может обновить администратор — но украденный токен, используемый с IP-адреса, не входящего в список, отклоняется до запуска любого обработчика. Каждый агент имеет ограничение частоты запросов: более трёх уникальных учётных данных в минуту или десяти в час вызывает замедление. Второе нарушение в течение двух часов полностью блокирует агента — он заморожен до тех пор, пока Ваша команда безопасности не разблокирует его аппаратным подтверждением. Обычному агенту требуется два-три учётных данных. Агент, запрашивающий десять, либо неправильно настроен, либо скомпрометирован. В любом случае он останавливается.
Результат: радиус поражения скомпрометированного агента ограничен его областью действия, его IP-адресом и частотой запросов, которая вызывает блокировку прежде, чем может произойти сколько-нибудь значимая эксфильтрация. Не правилом, которое можно обойти, а отсутствием пути, который это позволил бы.
Создано для Вашей команды безопасности
Аппаратно защищённые границы
Каждая административная операция — создание токенов агентов, изменение областей действия, изменение списков доступа, отзыв учётных данных — требует физического подтверждения отпечатком пальца, лицом или ключом безопасности от уполномоченного лица. Это не программный барьер, который может обойти привилегированный процесс. Это криптографический запрос, требующий зарегистрированного устройства в руках конкретного человека.
Ни один агент не может повысить собственные привилегии. Ни одна скомпрометированная рабочая станция не может выпустить новые токены. Ни одна атака социальной инженерии не позволит обманом предоставить доступ по телефону — требуется аппаратное подтверждение, привязанное к источнику браузера. Ваша команда безопасности контролирует границу доверия с помощью того, что злоумышленник не может воспроизвести удалённо.
Криптографическая изоляция
Хранилище каждого сотрудника — это отдельная зашифрованная база данных, а не строка в общей таблице и не пространство имён в мультиарендном хранилище. Взлом одного хранилища даёт лишь зашифрованный текст. Ключ шифрования не хранится на сервере, не входит в резервную копию, не находится ни в одном центре обработки данных.
Области действия определяют, какие записи может видеть агент. Уровни шифрования определяют, что кто-либо вообще может расшифровать. Банковские карты и документы, удостоверяющие личность, автоматически шифруются на уровне идентификации — только с аппаратным ключом, без физического устройства расшифровка невозможна. Ваше предприятие может перевести любое поле на этот уровень: банковские учётные данные, реквизиты для закупок, HR-системы, ключи подписи. Эти поля представляют собой зашифрованный текст на каждом сервере, в каждой резервной копии, при любом сценарии взлома. Ключи расшифровки не хранятся совместно с защищаемыми данными.
Соответствие требованиям
SOC 2 Type II
Проверенные средства контроля безопасности, доступности и конфиденциальности. Аудит охватывает операции инфраструктуры, управление доступом, обращение с ключами шифрования и реагирование на инциденты. Отчёты предоставляются под NDA корпоративным клиентам, оценивающим платформу.
ISO 27001
Сертифицированная система менеджмента информационной безопасности. Охватывает полный жизненный цикл — от развёртывания хранилища до выдачи учётных данных, их удаления и хранения резервных копий. Область сертификации включает все точки присутствия (POP), центральную административную инфраструктуру и конвейер разработки.
SLA на чтение 99,99%
99,99% времени безотказной работы при чтении. Межконтинентальное переключение между Калгари и Цюрихом — два объекта выбраны с учётом геологической стабильности и максимального расстояния между ними. Если мы не выполним целевой показатель, Вы получите полный месячный кредит на следующий счёт. Автоматически, без формы претензии, без переговоров. SLA закреплён договором, а не является декларируемым намерением.
Интеграция
Синхронизация каталога SCIM
Сотрудник добавляется в Azure AD, Okta или Google Workspace — хранилище создаётся автоматически. Области действия назначаются по членству в группе. Сотрудник увольняется — хранилище замораживается, все токены отзываются, все агенты блокируются. Никакой ручной очистки, никаких заявок, никаких вопросов «а кто-нибудь помнил сменить учётные данные».
Предоставление доступа происходит в режиме реального времени, а не пакетами. Хранилище нового сотрудника готово раньше, чем его ноутбук. Доступ уволенного сотрудника закрыт до того, как он покинет парковку.
Интеграция с SIEM
Поток событий в реальном времени в Splunk, Datadog или Sentinel. Каждый доступ к учётным данным, каждая неудачная попытка, каждое нарушение области действия, каждое создание токена, каждая ротация. Не ежедневный дайджест — живой поток структурированных событий, по которым Ваш SOC может настраивать оповещения.
Когда агент обращается к более чем трём уникальным учётным данным в минуту или десяти в час, он автоматически замедляется. Второе нарушение вызывает жёсткую блокировку. Ваш SIEM получает событие до того, как завершится следующий запрос агента.
Аудит и атрибуция
Каждый доступ к учётным данным атрибутируется конкретному субъекту — человеку или агенту. Не «кто-то с общим паролем». Имя, область действия, временная метка, исходный IP-адрес. Когда Ваш CISO спрашивает, кто обращался к производственной базе данных в 2 часа ночи во вторник, ответ находится в одном запросе.
Ротации паролей имеют ту же атрибуцию. Какие учётные данные были изменены, кто инициировал изменение, какие агенты получили новое значение. Если ротация нарушает развёртывание, Вы отслеживаете её до конкретного изменения за секунды.
Это работает всегда. Без настройки. Без явного включения. Журнал аудита — это Ваше доказательство соответствия требованиям, Ваш инструмент реагирования на инциденты и Ваш ответ любому регулятору, который спрашивает, как Вы контролируете доступ к конфиденциальным системам.
Корпоративное ценообразование
Цена за пользователя. Три агента на пользователя. Цена на весь срок — Ваша ставка никогда не увеличится. Ни через год. Ни через пять лет. Ни после удвоения штата. Мы можем повысить ставки для новых клиентов, но Ваша ставка зафиксирована на Вашем уровне, в Вашей валюте, на весь срок действия подписки.
Давайте обсудим.
Ваши агенты уже здесь. Ваш уровень защиты учётных данных тоже должен быть.