据TechCrunch报道，总部位于华盛顿特区的网络安全初创公司Corsha获得了1200万美元的A轮投资，用于为机器对机器的API流量提供多因素认证（MFA）。

Corsha官网（图片截自官网）

API允许互联网上的两个应用程序相互交流，成为疫情期间各组织数字化转型努力的核心。这使得API成为恶意黑客的主要目标，Gartner预测今年API将成为网络犯罪中被攻击最多的载体。API漏洞最近引发了一系列引人注目的安全漏洞：Peloton泄露了用户的私人账户信息；Experian泄露了数百万美国人的财务历史；Facebook、LinkedIn和Clubhouse的用户数据都因为API的漏洞而遭到非法采集。

为了防止其他组织遭受同样的命运，Corsha为机器对机器的API通信开发了一个自动化的MFA解决方案。

通常，如果应用程序或服务想要进行API调用，它会利用一个主要的身份验证因素，比如PKI证书或JSON web令牌。Corsha使用一次性的MFA证书强化了这些请求，该证书由机器的动态身份构建，并通过可加密验证的分布式分类账网络进行检查。只有在MFA凭据与该机器的标识相匹配的情况下，API请求才会被接受，而且每个API调用都需要一个新的一次性凭据，从而为组织的API服务提供零信任访问。

Corsha联合创始人兼首席技术官Anusha Lyer表示：“在MFA中，一旦你下载并设置了身份验证器，你就可以访问你信任的机器。这就是我们在API领域所做的。”

Corsha公司提供的服务所涉及的领域（图片截自官网）

虽然MFA绝不能免受黑客的攻击——威胁者在过去已经能够通过SIM卡交换和中间人（MITM）攻击绕过MFA——Corsha将其专利技术描述为“MFA++”。

Corsha的联合创始人兼首席执行官Chris Simkins表示：“我们能够做到这一点，因为我们没有存放这个秘密主设备的中央存储库，这样别人就无法攻击我们。我们扭转了这个局面，MFA起源于机器本身。让它远离攻击者的视线是我们的工作的关键。”

在2018年成立这家初创公司之前，Simkins曾在司法部的国家安全部门工作。

这家初创公司与美国政府的联系不止于此，早在2020年，美国空军就成为了Corsha的第一个客户，前者正在使用该技术在空军平台上确保关键任务数据的动态安全。“我们的第一个客户是美国政府，这对我们来说是一个很好的验证。”Simkins补充道。

这家初创企业的A轮投资由Eleven Ventures和Razor "s Edge Ventures共同牵头，1843 Capital也参与其中。此次投资将见证Corsha在企业市场上的进一步拓展。Simkins表示，该公司还在快速招聘，以扩大目前10名员工的团队。

关键词：