výhonek Nir Valtman, CEO & Founder ve společnosti Arnica - Interview Series - Unite.AI
Spojte se s námi
   rozhovory  
Nir Valtman, CEO a zakladatel společnosti Arnica – Interview Series
 mm
Zveřejněno
 11 měsíci
 on
   
 
Nir Valtman je CEO a zakladatel společnosti Arnika, platforma, která podnikům umožňuje proaktivně chránit dodavatelský řetězec softwaru před riziky automatizací každodenních bezpečnostních operací a zmocněním vývojářů vlastnit zabezpečení, aniž by podstupovali rizika nebo ohrozili rychlost.
Co vás zpočátku přitahovalo ke kybernetické bezpečnosti?
Vyrostl jsem s hackerským myšlením. Začal jsem tím, že jsem ve svém prvním kurzu kódování zničil počítačovou laboratoř a naboural jsem se do jiných počítačů s velmi malými znalostmi kódování, to vše když mi bylo 13 let. Když jsem nastoupil do armády v Izraeli, získal jsem praktické vzdělání v obranné stránce bezpečnosti, což nakonec vedlo k mé profesionální kariéře v kybernetické bezpečnosti. 
Mohl byste se podělit o příběh geneze Arniky?
Před Arnica jsem pracoval ve Finastře, třetí největší globální FinTech společnosti, jako viceprezident pro bezpečnost. Prach z nechvalně proslulých Solarwinds se právě usazoval a náš generální ředitel se mě zeptal, jak bychom mohli minimalizovat riziko, že budeme zasaženi útokem softwarového dodavatelského řetězce. Provedli jsme komplexní hodnocení společností, které v tomto prostoru vytvářejí řešení, s několika z nich jsme provedli ověření konceptů. Žádný z dodavatelů nebyl vhodný pro to, co jsme hledali: komplexní pokrytí, aktivní zmírňování rizik a skvělé zkušenosti pro vývojáře. Zejména aspekt vývojářských zkušeností byl kritický, protože jakékoli řešení, které jsem vývojářům vnutil a narušilo jejich pracovní postupy, by bylo odmítnuto a byli bychom zpět na začátku. 
Aniž bych našel řešení, rozhodl jsem se prozkoumat každý útok softwarového dodavatelského řetězce, ke kterému došlo za posledních 5 let, abych pochopil klíčové příznaky a jak jim předcházet. Zároveň jsem mluvil se dvěma přáteli, Eranem Medanem (CTO) a Diko Dahanem (COO), kteří měli rozsáhlé zkušenosti s vývojem a vedením provozu. Eran a Diko vyjádřili podobné výzvy při hledání řešení – Diko z pohledu tech ops a Eran z pohledu rozvoje. Vzhledem k tomu, že jsme všichni přicházeli s řešením naprázdno, vyvinuli jsme hypotézu, jak by řešení mělo vypadat. Prošli jsme desítkami ověřovacích hovorů s bezpečnostními, provozními a technickými vedoucími, které potvrdily jak problém, tak naši hypotézu o potřebném řešení. Rychle vpřed o několik měsíců do srpna 2021 a spoluzaložili jsme Arnicu. 
Arnica poskytuje komplexní zabezpečení založené na chování, mohl byste definovat, co je zabezpečení založené na chování?
Pokud by vám někdo dal ručně psaný lístek a řekl vám, že jste ho napsali vy, pravděpodobně byste byli schopni zjistit, zda jste ho ve skutečnosti napsali vy. Pokud například rukopis není váš, poznámka byla datována před vaším narozením a je napsána francouzsky (kterou neumíte mluvit ani psát), bylo by jasné, že nejste autorem. Ke kódu přistupujeme podobně, až na to, že vytváříme profil každého vývojáře, který se skládá z tisíců faktorů (známých také jako funkce ve strojovém učení). Pozorováním tendencí a chování vývojářů můžeme zastavit rizika, která se odchylují od jejich běžných vývojových vzorců. To nám pomáhá zastavit přebírání účtů, vnitřní hrozby a další rizika spojená s vývojem softwaru. 
Můžete diskutovat o tom, jak může platforma identifikovat nuance toho, jak každý vývojář funguje?
Arnica využívá historický audit a aktivitu přispění kódu k vytvoření behaviorálního otisku pro každého vývojáře. Tento otisk představuje známé a očekávané chování vývojáře při používání oprávnění, stylu kódování, jazyka odevzdání a vývojových postupů. Potom jsme schopni porovnat veškerou budoucí aktivitu s tímto otiskem, abychom určili pravděpodobnost, že budoucí kód pochází od tohoto autora.
Co se stane, když systém označí anomální chování?
Vždy se snažíme maximalizovat hodnotu zabezpečení a zároveň eliminovat vývojové třenice. Když Arnica zjistí anomální chování vývojářského účtu, označíme to v Arnice a automaticky zašleme dodatečné ověření prostřednictvím přímého chatu příslušnému vývojáři a bezpečnostnímu týmu na základě vaší konfigurace zásad.
Jak Arnica pomáhá s auditováním kódu?
Arnica poskytuje vývojářům oznámení v reálném čase, když zasílají změny kódu, čímž snižuje počet rizik, která dosáhnou požadavků na stažení. Pro rizika, která dosáhnou požadavků na stažení, Arnica zavádí automatické kontroly kódu na PR. Když jsou rizika lokalizována, Arnica komentuje podrobnosti o riziku a kontext zmírnění každého rizika. Arnica může také automaticky blokovat sloučení tam, kde existují rizika, a zabránit jim v dosažení produkčního kódu.
Arnica také umožňuje identifikaci zranitelných závislostí třetích stran, můžete probrat, jak to funguje pro vývojáře?
Arnica skenuje všechny balíčky třetích stran a rizika při každém odeslání kódu a informuje vývojáře přímo prostřednictvím ChatOps, když používají verze se zranitelností nebo zavádějí balíček s nízkou reputací do základny kódu. 
Jaké jsou některé další funkce, které platforma Arnica nabízí?
Arnica se zaměřuje na poskytování platformy pro aplikační bezpečnostní týmy, aby získaly přehled o všech rizicích dodavatelského řetězce softwaru, aby byla schopna upřednostňovat tato rizika a byla schopna snadno zastavit nová rizika a opravit stávající rizika. Tuto schopnost poskytujeme v celé řadě kategorií rizik, včetně nadměrných oprávnění vývojářů, rizik kódu vyplývajících ze skenování SAST (statické testování bezpečnosti aplikací) a IaC (infrastruktura jako kód), pevně zakódovaných tajemství, závislostí třetích stran a dalších. 
Je ještě něco, co byste chtěli o Arnice sdílet?
Ve společnosti Arnica, stejně jako vyvíjíme řešení pro zabezpečení aplikací a dodavatelského řetězce, se považujeme za společnost poskytující zkušenosti s vývojáři. Chceme, aby řešení bezpečnostních problémů bylo bezproblémové a příjemné. Vezměte si například naše řešení pro zmírnění tajemství. Tajemství identifikujeme při odeslání kódu, ověříme jej a zašleme oznámení vývojáři v jeho zvoleném chatovacím nástroji. Oznámení dává vývojáři tlačítko – „Opravte to za mě“ – které eliminuje tajemství z celé historie git, aniž by vývojář musel psát jakékoli příkazy git. Stačí kliknout. 
Věříme, že pokud dokážeme učinit zabezpečení snadnou a příjemnou součástí vývoje, každá organizace, která používá Arnica, bude na tom lépe.  
Děkuji za skvělý rozhovor, čtenáři, kteří se chtějí dozvědět více, by měli navštívit Arnica.
       
 Související témata:
 mm
Zakládající partner unite.AI a člen Technologická rada Forbes, Antoine je a futurista který je zapálený pro budoucnost umělé inteligence a robotiky.
Je také zakladatelem Cenné papíry.io, web, který se zaměřuje na investice do převratných technologií.