Connect with us

Interviews

Nir Valtman, CEO & Founder at Arnica – Interview Serie

mm
Published
Updated

Nir Valtman er CEO og grundlægger af Arnica, en platform, der giver virksomheder mulighed for proaktivt at beskytte softwareforsyningskæden mod risici ved at automatisere de daglige sikkerhedsoperationer og give udviklere mulighed for at eje sikkerheden uden at påføre risici eller gå på kompromis med hastigheden.

Hvad var det, der oprindeligt tiltrak dig til cybersikkerhed?

Jeg voksede op med en hacking-mentaltet. Jeg startede med at ødelægge computerlaboratoriet i min første kodningskursus og hackede ind i andre computere med meget begrænsede kodningsfærdigheder, alt sammen da jeg var 13 år gammel. Da jeg gik ind i hæren i Israel, fik jeg en praktisk uddannelse i den defensive side af sikkerheden, som til sidst ledte til min professionelle karriere inden for cybersikkerhed.

Kan du dele historien bag Arnica?

Før Arnica arbejdede jeg hos Finastra, det tredjestørste globale FinTech-selskab, som vicepræsident for sikkerhed. Støvet fra den berømte Solarwinds var lige ved at lægge sig, og vores CEO spurgte mig, hvordan vi kunne minimere risikoen for at blive ramt af en softwareforsyningskædeangreb. Vi udførte en omfattende vurdering af selskaber, der byggede løsninger i dette område, og vi gjorde nogle proof of concepts med dem. Ingen af leverandørerne var en god match for, hvad vi ledte efter: omfattende dækning, aktiv mitigering af risici og en god udvikleroplevelse. Især udvikleroplevelsen var kritisk, fordi enhver løsning, jeg pålagde udviklerne, der forstyrrede deres arbejdsprocesser, ville blive afvist, og vi ville være tilbage ved udgangspunktet.

Uden at have fundet en løsning, besluttede jeg at undersøge hver enkelt softwareforsyningskædeangreb, der havde fundet sted i løbet af de sidste 5 år for at danne en forståelse af de nøgle symptomer og hvordan man kan forhindre dem. Samtidig talte jeg med to venner, Eran Medan (CTO) og Diko Dahan (COO), der havde omfattende udviklings- og operationsledererfaring. Eran og Diko udtrykte lignende udfordringer i at finde en løsning – Diko fra et tech-ops-perspektiv og Eran fra et udviklingsperspektiv. Da vi alle sammen ikke havde fundet en løsning, udviklede vi en hypotese om, hvordan en løsning skulle se ud. Vi gennemførte dusinvis af valideringsopkald med sikkerheds-, operations- og ingeniørledere, som validerede både problemet og vores hypotese om den nødvendige løsning. Et par måneder senere, i august 2021, havde vi co-founderet Arnica.

Arnica tilbyder end-to-end adfærd-baseret sikkerhed, kan du definere, hvad adfærd-baseret sikkerhed er?

Hvis nogen gav dig en håndskrevet note og sagde, at du havde skrevet den, ville du sandsynligvis være i stand til at sige, om det faktisk var skrevet af dig. Hvis fx håndskriften ikke er din, noten er dateret før du blev født, og den er skrevet på fransk (som du ikke kan tale eller skrive), ville det være tydeligt, at du ikke er forfatteren. Vi tager en lignende tilgang til kode, bortset fra at vi bygger en profil af hver udvikler, der består af tusinder af faktorer (også kendt som funktioner i maskinel læring). Ved at observere udviklernes tendenser og adfærd kan vi stoppe risici, der afviger fra deres normale udviklingsmønster. Dette hjælper os med at stoppe account-overtagelser, insider-trusler og andre risici forbundet med softwareudvikling.

Kan du diskutere, hvordan platformen kan identificere nuancerne i, hvordan hver udvikler arbejder?

Arnica udnytter historisk audit og kodebidragsaktivitet til at generere en adfærdsfingerprint for hver udvikler. Denne fingerprint repræsenterer den kendte og forventede adfærd for udviklernes tilladelser, kodestil, commit-sprog og udviklingspraksis. Vi kan derefter sammenligne alle fremtidige aktiviteter med denne fingerprint for at bestemme sandsynligheden for, at fremtidig kode kommer fra denne forfatter.

Hvad sker der, når systemet markerer usædvanlig adfærd?

Vi stræber altid efter at maksimere sikkerheds værdi og samtidig eliminere udviklingsfriktion. Når Arnica detekterer usædvanlig adfærd fra en udviklerkonto, markerer vi det i Arnica og sender automatisk en ekstra autentificering gennem en direkte chat til udvikleren i spørgsmål og sikkerhedsteamet baseret på jeres politikkonfiguration.

Hvordan hjælper Arnica med kode-gennemgang?

Arnica giver realtidsnotifikationer til udviklere, når de pusher kodeændringer, og reducerer antallet af risici, der når pull-forespørgsler. For de risici, der når pull-forespørgsler, introducerer Arnica automatiserede kodekontroller på PR’er. Når risici findes, kommenterer Arnica med risikodetaljer og mitigationskontekst for hver risiko. Arnica kan også automatisk blokere sammenlægninger, hvor risici findes, og forhindre dem i at nå produktionskoden.

Arnica giver også mulighed for at identificere sårbarheder i 3. partsafhængigheder, kan du diskutere, hvordan dette fungerer for udviklere?

Arnica scanner alle tredjeparts-pakker og -risici på hver kodepush og underretter udviklerne direkte via ChatOps, når de bruger versioner med sårbarheder eller introducerer en pakke med lavt ry til koden.

Hvad er nogle af de andre funktioner, der tilbydes af Arnica-platformen?

Arnica er fokuseret på at give en platform for application-sikkerhedsteams til at få overblik over alle softwareforsyningskæde-risici, til at kunne prioritere disse risici og til at kunne let stoppe nye risici og fikse eksisterende risici. Vi giver denne mulighed på tværs af en bred vifte af risikokategorier, herunder excessive udviklertilladelser, kodenisici, der resulterer fra SAST (Static Application Security Testing) og IaC (Infrastructure as Code)-scanning, hardcoded hemmeligheder, tredjepartsafhængigheder og mere.

Er der noget andet, du gerne vil dele om Arnica?

Hos Arnica tænker vi på os selv som et udvikleroplevelseselskab, så meget som vi udvikler application- og forsyningskædesikkerhedsløsninger. Vi vil gøre det til en nem og behagelig oplevelse at løse sikkerhedsproblemer. Tag vores hemmeligheds-mitigationsløsning som eksempel. Vi identificerer hemmeligheden ved kodepush, vi validerer den og vi sender en notifikation til udvikleren i deres chat-værktøj af choice. Notifikationen giver udvikleren en knap – “Fix det for mig” – som eliminerer hemmeligheden fra hele git-historiken uden, at udvikleren behøver at skrive nogen git-kommandoer. Bare et klik.

Vi tror, at hvis vi kan gøre sikkerhed til en nem og behagelig del af udviklingsoplevelsen, vil hver organisation, der bruger Arnica, være bedre stillet.

Tak for det gode interview, læsere, der ønsker at lære mere, skal besøge Arnica.

Related Topics:
mm

Antoine er en visionær leder og medstifter af Unite.AI, drevet af en urokkelig passion for at forme og fremme fremtiden for AI og robotteknologi. En serieiværksætter, han tror, at AI vil være lige så omvæltende for samfundet som elektricitet, og bliver ofte fanget i at tale begejstret om potentialet for omvæltende teknologier og AGI.

Som en futurist, er han dedikeret til at udforske, hvordan disse innovationer vil forme vores verden. Derudover er han grundlægger af Securities.io, en platform, der fokuserer på at investere i skærende teknologier, der gendefinerer fremtiden og omformer hele sektorer.