Tsahy Shapsa, spoluzakladatel a spoluředitel ve společnosti Jit – rozhovory o kybernetické bezpečnosti

Tsahy Shapsa je spoluzakladatelem a výkonným ředitelem společnosti Jit, platforma, která umožňuje zjednodušit nepřetržité zabezpečení, takže vývojáři mohou vytvářet zabezpečené cloudové aplikace podle návrhu od nuly.

Většinu své kariéry se věnujete kybernetické bezpečnosti, co vás na tomto odvětví zpočátku přitahovalo?

Když jsem vyrůstal, vždy mě to přitahovalo sci-fi a byl to film „WarGames“, který skutečně podnítil moji představivost o roli, kterou budou hrát počítače v bezpečí našeho světa. Když jsem sledoval, jak mladý hacker ve filmu neúmyslně narazí do vysoce sázkového kybernetického konfliktu, uchvátily mě možnosti a výzvy digitální budoucnosti. Později v životě, jako dospělý obklopený inovativním duchem izraelského „Startup Nation“, jsem pocítil silné volání přispět k této vzrušující a zásadní oblasti. Tato inspirace v kombinaci s mou imigrací do Spojených států, „země příležitostí“, mě přivedla k založení mé první společnosti zabývající se kybernetickou bezpečností. Měl jsem to štěstí, že jsem mohl hrát roli při utváření budoucnosti kybernetické bezpečnosti a zároveň přijmout podnikatelského ducha svých dvou domovských zemí – USA a Izraele.

Mohl byste se podělit o příběh geneze za Jit?

Příběh vzniku Jit.io začal tím, že jsem já a moji spoluzakladatelé identifikovali kritickou mezeru v prostředí kybernetické bezpečnosti. Jak moderní inženýrské týmy rychle přijaly přístup CI/CD, integrace kybernetické bezpečnosti často zaostávala, což vedlo ke zvýšenému riziku zranitelnosti. Část problému spočívala v obrovském množství dostupných bezpečnostních nástrojů s levým posunem, přičemž technické týmy často potřebovaly spojit 15–20 nástrojů napříč AppSec, CI/CD, Cloud a DAST, aby vytvořily komplexní bezpečnostní řešení. Každý z těchto nástrojů přišel s vlastními zkušenostmi s integrací, správou a vývojáři, což výrazně zpomalilo rychlost vývoje.

Díky poslání usnadnit těmto týmům začlenění kybernetické bezpečnosti do jejich CI/CD kanálů se zrodil Jit.io. Můj tým se rozhodl urychlit DevSecOps pečlivým výběrem nejlepších světových bezpečnostních nástrojů s otevřeným zdrojovým kódem a jejich zabalením do jediné jednotné platformy. Tím, že nabízí zjednodušené DevX, umožňuje Jit.io moderním inženýrským týmům hladce integrovat a spravovat zabezpečení svých produktů, čímž eliminuje potřebu složitých integrací toolchain a časově náročných integračních procesů. To zajišťuje, že robustní bezpečnostní opatření aplikací nejsou jen dodatečným nápadem, ale podstatnou a snadno dosažitelnou součástí procesu vývoje.

Tento inovativní přístup posunul Jit.io jako zásadní změnu v oblasti kybernetické bezpečnosti a způsobil revoluci ve způsobu, jakým technické týmy řeší neustále se vyvíjející prostředí digitálních hrozeb zjednodušením a konsolidací implementace základních bezpečnostních nástrojů, což v konečném důsledku zvyšuje rychlost a efektivitu vývoje.

Pro čtenáře, kteří neznají terminologii DevSecOps, mohl byste nám ji definovat?

DevSecOps je postup integrace zabezpečení do každé fáze procesu vývoje a nasazení softwaru pro moderní inženýrské týmy, sjednocení AppSec, zabezpečení CI/CD a zabezpečení cloudu. To umožňuje vývojářům vlastnit zabezpečení svých produktů stejně jako vlastní CI a CD a zároveň podporovat spolupráci a sdílenou odpovědnost mezi vývojovými, bezpečnostními a provozními týmy.

Jit umožňuje vývojářům vlastnit zabezpečení pro produkty, které vytvářejí, od nultého dne, proč je tak důležité upřednostňovat zabezpečení v tak rané fázi?

Pomocí analogie při stavbě budov se podívejme, jak DevSecOps zahrnuje různé aspekty procesu vývoje softwaru, včetně AppSec (zabezpečení aplikací), CI/CD (průběžná integrace/nepřetržité zavádění), cloud a DAST (testování dynamické bezpečnosti aplikací).

V procesu výstavby budov je AppSec podobný zajištění bezpečnosti stavebních materiálů a architektonického návrhu a dodržování bezpečnostních norem. CI/CD se podobá hladké koordinaci stavebních činností, což umožňuje efektivní montáž a integraci různých komponent, jako jsou instalatérské, elektrické a bezpečnostní systémy. Cloudové zabezpečení představuje infrastrukturu a nástroje podporující budovu, jako je dodávka vody, elektřiny a připojení k internetu. A konečně, DAST je srovnatelný s prováděním pravidelných bezpečnostních inspekcí a testů k identifikaci a řešení potenciálních zranitelností v bezpečnostních systémech budovy.

Začleněním DevSecOps do celého životního cyklu vývoje softwaru mohou organizace zajistit, že zabezpečení je nedílnou součástí každé fáze, od návrhu zabezpečeného aplikačního kódu (AppSec) a efektivní integrace bezpečnostních opatření do kanálu CI/CD až po zabezpečení cloudové infrastruktury a provádění průběžných dynamické bezpečnostní testy (DAST). Tento holistický přístup pomáhá vytvářet bezpečnější a spolehlivější aplikace a minimalizuje zranitelnosti a bezpečnostní rizika ve všech aspektech procesu vývoje softwaru.

Mohl byste popsat, jak se Jit odlišuje od ostatních nástrojů kybernetické bezpečnosti?

Jit se odlišuje od ostatních nástrojů kybernetické bezpečnosti tím, že nabízí komplexní, jednotnou platformu DevSecOps, která zjednodušuje integraci a správu více bezpečnostních nástrojů „shift-left“ napříč AppSec, CI/CD, Cloud a DAST. Tento přístup zjednodušuje bezpečnostní operace a vývojářskou zkušenost a umožňuje bezproblémovou spolupráci.

Odstraněním potřeby komplexních integrací toolchain a uzamčení dodavatele umožňuje Jit technikům zabezpečení produktů a aplikací vybrat si nejlepší bezpečnostní řešení přizpůsobená jejich specifickým potřebám. Tato přizpůsobivost umožňuje týmům vytvářet robustní bezpečnostní opatření při zachování jednotného nativního vývojářského prostředí.

Zaměření Jit na bezproblémové a konzistentní prostředí pro vývojáře i bezpečnostní týmy umožňuje efektivnější monitorování, analýzu a reakci na hrozby ve všech aspektech životního cyklu vývoje softwaru. V důsledku toho Jit urychluje implementaci osvědčených postupů DevSecOps a podporuje sdílenou odpovědnost za bezpečnost v celé organizaci.

Často diskutujete o tom, jak se vyhnout „uzamknutí nástroje“, abyste měli platformu DevSecOps odolnou v budoucnosti, mohl byste popsat, co je uzamčení nástroje a proč je to takový problém?

V kontextu DevSecOps a dodavatelů zabezpečení s levým řazením může být uzamčení nástroje obzvláště problematické z několika důvodů:

1. Průměrná produktová portfolia: Mnoho prodejců zabezpečení s posunem doleva zpočátku dosáhlo úspěchu díky jednomu vynikajícímu produktu. Jak však rozšiřují svou nabídku, často prostřednictvím akvizic, mohou skončit s portfoliem průměrných produktů, které se nemusí nutně dobře integrovat nebo poskytovat nejlepší řešení pro každý aspekt zabezpečení.
2. Prodejní a marketingové taktiky: Prodejci s různorodým portfoliem často používají různé prodejní a marketingové taktiky, aby „donutili“ zákazníky k nákupu celé jejich sady produktů. Tento přístup brání uživatelům ve svobodné volbě nejlepších řešení a může vést k neoptimálním výsledkům zabezpečení.
3. Omezená přizpůsobivost: Uzamčení nástroje omezuje schopnost organizace přizpůsobit se vyvíjejícím se bezpečnostním hrozbám nebo využívat pokroky v technologii. Když jste uzamčeni v nabídkách konkrétního dodavatele, je obtížné prozkoumat a přijmout lepší bezpečnostní řešení, jakmile budou k dispozici.
4. Omezení inovací: Spoléhání se na portfolio jediného dodavatele v oblasti zabezpečení může potlačit inovace, protože se organizace může přehnaně soustředit na schopnosti současných nástrojů, spíše než hledat alternativní, potenciálně lepší řešení.

Aby si organizace vybudovaly perspektivní nástrojový řetězec DevSecOps a vyhnuly se nástrahám uzamčení nástrojů, je pro organizace zásadní zachovat flexibilitu při výběru nejlepších bezpečnostních řešení přizpůsobených jejich potřebám. Tento přístup umožňuje organizacím vytvořit robustnější a efektivnější bezpečnostní pozici, což v konečném důsledku podporuje inovace a přizpůsobivost tváří v tvář neustále se měnícím bezpečnostním prostředím.

Jak Jit vytváří jednotné, „jednorázové“ řešení, které se tomuto problému vyhýbá?

Jit řeší problém uzamčení nástrojů tím, že upřednostňuje flexibilitu, integraci a přizpůsobivost. Zde je návod, jak toho Jit dosahuje:

1. Bezproblémová integrace více nástrojů: Platforma Jit je navržena tak, aby integrovala nejlepší bezpečnostní řešení v rámci AppSec, CI/CD, Cloud a DAST. To umožňuje organizacím vybrat si nejvhodnější nástroje pro jejich specifické potřeby, zatímco Jit zvládá složitost správy a integrace těchto různorodých nástrojů do soudržného systému.
2. Flexibilita a výběr: Jit umožňuje organizacím vyhnout se uzamčení dodavatele tím, že poskytuje svobodu výběru a přepínání mezi různými bezpečnostními nástroji podle toho, jak se jejich požadavky vyvíjejí. Tato flexibilita zajišťuje, že organizace mohou vždy přijmout ta nejúčinnější řešení pro své bezpečnostní potřeby, aniž by byly omezovány portfoliem jediného dodavatele.
3. Sjednocené vývojářské a bezpečnostní operace: Jit zefektivňuje vývojářské a bezpečnostní operace poskytováním konzistentního, uživatelsky přívětivého rozhraní pro správu a interakci s různými bezpečnostními nástroji. Tato sjednocená zkušenost zjednodušuje proces začleňování bezpečnostních postupů do životního cyklu vývoje softwaru a zajišťuje, že vývojáři a bezpečnostní týmy mohou efektivně spolupracovat.
4. Neustálá inovace a přizpůsobivost: Tím, že umožňuje organizacím využívat nejlepší bezpečnostní řešení, podporuje Jit neustálé inovace a přizpůsobivost. Jak se objevují nové bezpečnostní nástroje a technologie, platforma Jit se těmto vylepšením snadno přizpůsobí a zajistí, že organizace budou mít vždy přístup k nejmodernějším bezpečnostním řešením.

Tím, že nabízí jednotnou, flexibilní platformu, která hladce integruje více bezpečnostních nástrojů při zachování konzistentní zkušenosti vývojářů a bezpečnostních operací, Jit se efektivně vyhýbá nástrahám uzamčení nástrojů a umožňuje organizacím budovat platformy DevSecOps odolné vůči budoucnosti, které se mohou přizpůsobovat a růst s jejich vyvíjející se bezpečnostní potřeby

Jit-DevSecOps se popisuje jako štíhlý, iterativní přístup k přidávání zabezpečení „Just-In-Time“. Mohl byste přiblížit důležitost uplatňování zabezpečení tímto způsobem?

Jit-DevSecOps, štíhlý a iterativní přístup k přidávání zabezpečení „Just-In-Time“, zdůrazňuje důležitost včasné a efektivní integrace zabezpečení. Tato metoda umožňuje včasnou detekci a nápravu zranitelností, rychlejší vývojové cykly a lepší spolupráci. Přístup společnosti Jit založený na změnách/rozdílech se zaměřuje na řešení problémů se zabezpečením, jakmile nastanou, a zajistí, že nejkritičtější zranitelnosti budou opraveny jako první. Upřednostněním mentality fix-first a přizpůsobením se měnícímu se prostředí zabezpečení umožňuje Jit-DevSecOps organizacím udržovat robustní zabezpečení a současně zajistit agilitu a efektivitu v procesu vývoje.

Jaká je vaše vize budoucnosti DevSecOps a kybernetické bezpečnosti obecně?

Mojí vizí budoucnosti DevSecOps a kybernetické bezpečnosti je využít sílu pokročilých technologií, jako je umělá inteligence, strojové učení a automatizace, k identifikaci a reakci na hrozby v reálném čase. Bezpečnostní řešení řízená umělou inteligencí mohou například pomoci odhalit anomálie a potenciální zranitelnosti, zatímco automatizovaná reakce na incidenty může pomoci omezit a zmírnit bezpečnostní incidenty.

Kromě toho prozkoumáme nové technologie, jako je blockchain a šifrování, abychom posílili zabezpečení dat a soukromí. Tyto technologie mohou pomoci zajistit integritu a důvěrnost dat a zabránit neoprávněnému přístupu nebo manipulaci.

Celkově moje vize zdůrazňuje důležitost spolupráce, inovací a proaktivních opatření, abychom si udrželi náskok před vznikajícími hrozbami. A samozřejmě si vždy budeme pamatovat zlaté pravidlo kybernetické bezpečnosti: jediný bezpečný počítač je ten, který je odpojený, zakopaný v betonu a nikdy zapnutý.

Děkuji za skvělý rozhovor, čtenáři, kteří se chtějí dozvědět více, by měli navštívit Jit.