Interviews

Neatsun Ziv, Medstifter og CEO af OX Security – Interviewserie

mm
Published
Updated

Neatsun Ziv, Medstifter og CEO af OX Security, er i frontlinjen for at gendefinere software supply chain-sikkerhed for DevSecOps-æraen. Før han stiftede OX, fungerede han som VP of Cyber Security i Check Point, hvor han ledte globale initiativer og orkestrerede hurtige svar på højprofilerede trusler som SolarWinds og NotPetya. Hans arbejde bragte ham ofte i direkte samarbejde med Interpol, nationale CERT’er og andre myndigheder under nogle af de mest kritiske cybersikkerhedsincidenser i det sidste årti.

OX Security er en applikationssikkerhedsplatform designet til at skære igennem støjen og hjælpe organisationer med at fokusere på den lille procentdel af risici, der virkelig betyder noget. Ved at udnytte analyse af udnytbarhed, tilgængelighed og forretningspåvirkning leverer platformen evidensbaseret prioritering på tværs af hele softwareudviklingslivscyklussen. Med fuld dækning fra kode til sky, 100+ integrationer og no-code-workflows, integrerer OX guidede reparationer direkte i udviklerworkflows, så sikkerhedsforanstaltninger både er effektive og friktionssvage.

Før du co-stiftede OX Security, ledede du større incidentrespons i Check Point. Hvad fik dig til at beslutte, at det var tid til at starte din egen virksomhed, og hvilket hul så du i applikationssikkerhedsrummet?

Arbejdende i Check Point, oplevede jeg førstehånds “Corporate Velocity Gap” – traditionel sikkerhedsentreprise bevæger sig i en langsommere takt. Jeg så også, hvordan sikkerhedsteams var ret ineffektive på forskellige måder, især når det kom til at prioritere risici korrekt.

På samme tid erkendte jeg, at generativ AI (på det tidspunkt underudviklet) repræsenterede fremtiden for, hvordan sikkerhedsværktøj skulle udvikles, og det bevægede sig med stor hastighed. Flere kritiske skift skete samtidigt:

Trusselformator-acceleration: Angribere antog hurtigt nye teknologier og teknikker, og bevægede sig hurtigere end sikkerhedsopløsninger kunne følge med.

“Vibe Coding”-fænomenet: Begrebet eksisterede ikke på det tidspunkt, men jeg så, hvordan udviklere i stigende grad afhængige af AI-assisterede kodningsværktøjer som Copilot, grundlæggende ændrede, hvordan software blev bygget, og introducerede helt nye sikkerhedsbetragtninger.

Supply Chain Attack Evolution: Accelerationen af software supply chain-angreb skabte en presserende behov for nye tilgange til applikationssikkerhed, som eksisterende værktøjer ikke kunne løse.

Inkrementelle forbedringer inden for eksisterende virksomhedsstrukturer ville ikke være tilstrækkelige til at løse disse hurtigt udviklende udfordringer.

Min endelige erkendelse var, at truslerne bevægede sig hurtigt ind i koden – og sikkerheden måtte følge. Vi måtte bryde ud af de kendte rammer og starte med at løbe i et nyt hurtigt løb.

OX’s kerneopgave er at hjælpe udviklere med at fokusere på de 5% af sårbarheder, der virkelig betyder noget. Hvornår fik du denne indsigt, og hvordan former den produktbeslutninger i dag?

Ved at have ledet ret store operationer af udviklerteams, oplevede jeg, hvor overvældende den rene mængde af sikkerhedsrelaterede problemer kan være. Du må forstå, hvad der er vigtigt, og hvad der ikke er. At gå gennem endeløse lister fremmer ikke virksomheden mod risikoreduktion. Det skaber frustration og får endda virksomhederne til at gå væk fra risikoreduktion, da det simpelthen consumerer så meget tid og så mange ressourcer.

Dette lærte os, at vi må hjælpe udviklere med at fokusere på, hvad der virkelig betyder noget – og derefter forklare dem, hvorfor det betyder noget. Efter det må vi vise dem, hvordan de kan løse det let, eller endda bedre – løse det for dem – hvilket nu er muligt gennem værktøjer som Agent OX.

Denne indsigt blev grundlaget for, hvordan vi byggede virksomheden, og det er, hvad der guider alle vores produktbeslutninger i dag. Hver funktion, hver kapacitet vi udvikler, starter med spørgsmålet: “Hjælper dette udviklere med at fokusere på, hvad der virkelig betyder noget? Reducerer dette risikoen?”

Platformen er centreret om “Code Projection” for at kortlægge risici på tværs af SDLC. Kan du forklare, hvordan denne teknologi fungerer, og hvad der gør den forskellig fra andre sårbarhedsstyringsværktøjer?

Code Projection er grundlæggende en teknologi, der ser et problem i koden og ved, hvordan det vil opføre sig, når koden når skyen. Dette giver mulighed for at løse problemer lang tid før de er i produktion – når risikoen allerede er åben.

Det fungerer ved at forstå, at hver del af koden har en proces, der bygger og bringer den til skyen – CI/CD. Vi kan læse koden og fortolke, hvad den betyder. For at give et blot eksempel – hvad der bliver eksponeret for internettet har åbenbart andre implikationer end hvad der ikke gør.

Den væsentlige forskel fra andre produkter er, at de fleste værktøjer stopper deres arbejde med en lang liste af problemer. Uden at kunne fokusere på de 5% eller endda færre af virkelig betydningsfulde risici, filtrerer du gennem disse – du ender med tidsrammer, der er næsten irrelevante. Du ved heller ikke, hvilken udvikler du skal tildele problemet til.

Vores tilgang ændrer dette helt – vi identificerer ikke kun problemer, men giver også kontekst, prioritering og klar ejerskab.

I tilbyder fuld integration på tværs af scanningværktøjer, hemmelighedsstyring, SBOM, SaaS-opdagelse og mere. Hvad var nogle af de største tekniske udfordringer i at samle alle disse i en samlet udvikleroplevelse?

Det største problem er at omdanne data til indsigt. Data er alt, hvad du lige har nævnt. Men udviklere har brug for klarehed, punktnummer og begrundelse. Fokuseret kommunikation. Hvordan man omdanner bjerge af data til handlebare indsigt – det er den største udfordring i branchen.

At syntetisere den information på en måde, der fortæller en samlet historie og giver klare, prioriterede handlinger, som udviklere kan faktisk udføre – det var den største udfordring.

PBOM (Pipeline Bill of Materials) er en OX-innovation. Hvordan er det forskelligt fra SBOM, og hvorfor er det afgørende for at sikre moderne software supply chains?

PBOM er evnen til at se på alt, der sker med softwaren fra det øjeblik, det skrives, til det er i produktion. SBOM er en komponent inden for det – det ser på alle softwarepakker, der er inde i en applikation.

For at svare på det forrige spørgsmål – PBOM er faktisk grundlaget, der giver os mulighed for at omdanne data til indsigt, fordi det ser på et langt bredere billede – alle data. Det fanger hele rejsen og transformationen af koden, ikke kun de endelige komponenter.

Denne omfattende synsvinkel er afgørende, fordi traditionelle sikkerhedsværktøjer kun ser slutresultatet og mangler kritiske angrebsvektorer som kompromitterede build-værktøjer, ondsindede commits eller pipeline-manipulation, der sker under udvikling og distribution.

OX har lige afsløret Agent OX – en ny multi-agent-arkitektur, hvor hver AI-model er fokuseret på bestemte sårbarhedstyper og programmeringssprog. Hvad drev denne designbeslutning, og hvordan sikrer du, at de løsninger, det foreslår, er både forklarlige og troværdige i praksis?

Vi skabte denne multi-agent-tilgang ved at se på, hvordan mennesker udvikler ekspertise, og anvende samme princip til AI. For at være ekspert i noget skal en udvikler være ekspert i sproget, den specifikke arkitektur og den specifikke organisation. En enkelt udvikler kan ikke løse alle problemer, og på samme måde kan en enkelt AI-agent heller ikke nå det niveau af ekspertise. Derudover ønsker du en agent, der kan håndtere kvalitetsikring.

Hver agent udvikler dyb ekspertise i sit specifikke domæne, ligesom menneskelige specialister gør.

For troværdighed og forklarlighed foreslår hver agent ikke kun løsninger, men forklarer også sin begrundelse, viser sit arbejde og giver udviklerne mulighed for at forstå, hvorfor en bestemt løsning blev valgt.

Hvad fik dig til at fokusere på én-klik-reparation direkte i udviklerworkflows? Og hvordan sikrer du, at udviklere har kontrol og ikke oplever uventede sideeffekter?

Hovedidéen er at reducere friktion og forbedre sikkerhedsrettelser. Vi giver udviklere fuld kontrol til at gennemse og validere den foreslåede løsning, før de accepterer den.

Nøglen er, at “én-klik” ikke betyder “automatisk” – det betyder strømlinet. Udviklere kan se præcis, hvad der vil blive ændret, forstå hvorfor, gennemse den foreslåede løsning og derefter vælge at anvende den med en enkelt handling. Kontrollen og beslutningstagningen forbliver helt i deres hænder, men vi eliminerer det kedelige manuelle arbejde med at forskere og implementere løsningen.

DU tæller Microsoft, IBM og SoFi blandt dine kunder. Hvordan former disse enterprise-forhold din roadmap og feedback-proces for værktøjer som Agent OX?

Vi arbejder med hundredvis af kunder, og dusinvis af dem deler åbent med os de udfordringer, de står overfor. Disse dybe diskussioner om roadmap og designmønstre er hjørnestenen for vores evne til at finjustere den foreslåede løsning. Vi værdsætter højt de relationer, vi har med vores kunder, og ser dem som top-prioritet for os som virksomhed, og som vejleder os, mens vi forstår virkelige behov og skaber løsninger til at løse dem.

Da AI-sikkerhedsværktøjer bliver mere mainstream, hvordan balancerer du automation med udvikler-tillid og kontrol? Hvor tegner du grænsen mellem assistent og autonom?

Som vi har set i tidligere revolutioner, de der ikke springer på vognen, overlever ikke. Vi begynder at se organisationer, vi arbejder med, der har flyttet alle deres ressourcer til AI-adopteringsgrund, fordi de forstår, at vi er vidne til en revolution.

Disse er faktisk vores mest samarbejdende kunder, fordi de står overfor en ny ukendt spænding: deres udviklere har brug for at flytte hurtigt med AI-værktøjer, men de er bekymrede for at miste kontrol. De er endda villige til at acceptere risikoen og midlertidigt tabe kontrol for at opnå en konkurrencefordel, men de har brug for vores hjælpe til at genskabe tillid. Vores opgave er at give dem den hastighed, de har brug for, mens vi genskaber tillid i processen.

Du har lige lukket en $60M Series B. Hvordan vil denne finansiering accelerere OX’s næste fase af vækst – enten på teknologi-, go-to-market- eller internationalt udvidelsessiden?

Den nye finansiering er grundlæggende om udvidelse og vil også hjælpe os med at forbedre vores evner i at identificere risici, der stammer fra AI-genereret kode, som vi nu er begyndt at se med lanceringen af Agent OX.

Vi analyserer allerede mere end 100 millioner linjer kode dagligt for mere end 200 betalende kunder. Denne finansiering giver os mulighed for at skale denne indvirkning globalt, mens vi fastholder vores fokus på de kerne-spørgsmål, der altid har vejledt os: “Hjælper dette udviklere med at fokusere på, hvad der virkelig betyder noget? Reducerer dette risikoen?”

Tak for det gode interview, læsere, der ønsker at lære mere, skal besøge OX Security.

mm

Antoine er en visionær leder og medstifter af Unite.AI, drevet af en urokkelig passion for at forme og fremme fremtiden for AI og robotteknologi. En serieiværksætter, han tror, at AI vil være lige så omvæltende for samfundet som elektricitet, og bliver ofte fanget i at tale begejstret om potentialet for omvæltende teknologier og AGI.

Som en futurist, er han dedikeret til at udforske, hvordan disse innovationer vil forme vores verden. Derudover er han grundlægger af Securities.io, en platform, der fokuserer på at investere i skærende teknologier, der gendefinerer fremtiden og omformer hele sektorer.