Vernetzen Sie sich mit uns

Interviews

Nir Valtman, CEO und Gründer von Arnica – Interviewreihe

mm
Veröffentlicht

Nir Valtman ist CEO und Gründer von Arnika, Eine Plattform, die es Unternehmen ermöglicht, die Software-Lieferkette proaktiv vor Risiken zu schützen, indem sie die täglichen Sicherheitsvorgänge automatisiert und Entwickler in die Lage versetzt, für die Sicherheit zu sorgen, ohne Risiken einzugehen oder die Geschwindigkeit zu beeinträchtigen.

Was hat Sie ursprĂĽnglich an Cybersicherheit interessiert?

Ich bin mit einer Hacker-Denkweise aufgewachsen. Als ich 13 Jahre alt war, begann ich damit, in meinem ersten Programmierkurs das Computerlabor zu zerstören und mich mit sehr geringen Programmierkenntnissen in andere Computer zu hacken. Als ich in Israel zum Militärdienst kam, erhielt ich eine praktische Ausbildung im defensiven Bereich der Sicherheit, die schlieĂźlich zu meiner beruflichen Laufbahn im Bereich Cybersicherheit fĂĽhrte. 

Könnten Sie uns die Entstehungsgeschichte von Arnica erzählen?

Vor Arnica arbeitete ich bei Finastra, dem drittgrößten globalen FinTech-Unternehmen, als VP of Security. Der Staub der berĂĽchtigten Solarwinds legte sich gerade und unser CEO fragte mich, wie wir das Risiko minimieren könnten, von einem Angriff auf die Software-Lieferkette betroffen zu werden. Wir haben eine umfassende Bewertung von Unternehmen durchgefĂĽhrt, die Lösungen in diesem Bereich entwickeln, und bei einigen davon haben wir einen Proof of Concept durchgefĂĽhrt. Keiner der Anbieter entsprach unseren Anforderungen: umfassende Abdeckung, aktive Risikominderung und ein groĂźartiges Entwicklererlebnis. Insbesondere der Aspekt der Entwicklererfahrung war von entscheidender Bedeutung, da jede Lösung, die ich den Entwicklern auferlegte und ihre Arbeitsabläufe störte, abgelehnt wurde und wir wieder bei Null wären. 

Ohne eine Lösung gefunden zu haben, beschloss ich, jeden Angriff auf die Software-Lieferkette zu untersuchen, der in den letzten fĂĽnf Jahren stattgefunden hatte, um ein Verständnis fĂĽr die wichtigsten Symptome zu entwickeln und herauszufinden, wie man sie verhindern kann. Gleichzeitig sprach ich mit zwei Freunden, Eran Medan (CTO) und Diko Dahan (COO), die ĂĽber umfassende FĂĽhrungserfahrung in den Bereichen Entwicklung und Betrieb verfĂĽgten. Eran und Diko äuĂźerten ähnliche Herausforderungen bei der Lösungsfindung – Diko aus technischer Sicht und Eran aus Entwicklungsperspektive. Da wir alle keine Lösung gefunden hatten, entwickelten wir eine Hypothese, wie eine Lösung aussehen sollte. Wir haben Dutzende Validierungsgespräche mit Sicherheits-, Betriebs- und Technikleitern gefĂĽhrt, die sowohl das Problem als auch unsere Hypothese ĂĽber die notwendige Lösung bestätigten. Ein paar Monate später, bis August 5, waren wir MitbegrĂĽnder von Arnica. 

Arnica bietet durchgängige verhaltensbasierte Sicherheit. Können Sie definieren, was verhaltensbasierte Sicherheit ist?

Wenn Ihnen jemand eine handschriftliche Notiz geben und Ihnen sagen wĂĽrde, dass Sie sie geschrieben haben, könnten Sie wahrscheinlich erkennen, ob sie tatsächlich von Ihnen geschrieben wurde. Wenn die Handschrift beispielsweise nicht von Ihnen stammt, die Notiz vor Ihrer Geburt datiert wurde und auf Französisch verfasst ist (wo Sie weder sprechen noch schreiben können), ist es klar, dass Sie nicht der Autor sind. Beim Code verfolgen wir einen ähnlichen Ansatz, auĂźer dass wir fĂĽr jeden Entwickler ein Profil erstellen, das sich aus Tausenden von Faktoren zusammensetzt (im maschinellen Lernen auch als Features bezeichnet). Indem wir die Tendenzen und das Verhalten von Entwicklern beobachten, können wir Risiken stoppen, die von ihren normalen Entwicklungsmustern abweichen. Dies hilft uns, KontoĂĽbernahmen, Insider-Bedrohungen und andere mit der Softwareentwicklung verbundene Risiken zu verhindern. 

Können Sie erläutern, wie die Plattform die Nuancen der Arbeitsweise jedes Entwicklers erkennen kann?

Arnica nutzt historische Audit- und Code-Beitragsaktivitäten, um einen Verhaltens-Fingerabdruck für jeden Entwickler zu erstellen. Dieser Fingerabdruck stellt das bekannte und erwartete Verhalten der Berechtigungsnutzung, des Codierungsstils, der Commit-Sprache und der Entwicklungspraktiken des Entwicklers dar. Wir sind dann in der Lage, alle zukünftigen Aktivitäten mit diesem Fingerabdruck zu vergleichen, um die Wahrscheinlichkeit zu bestimmen, dass zukünftiger Code von diesem Autor stammt.

Was passiert, wenn das System ungewöhnliches Verhalten meldet?

Wir sind stets bestrebt, den Sicherheitswert zu maximieren und gleichzeitig Entwicklungsreibungen zu beseitigen. Wenn Arnica ungewöhnliches Verhalten von einem Entwicklerkonto erkennt, kennzeichnen wir es in Arnica und senden automatisch eine zusätzliche Authentifizierung über einen direkten Chat an den betreffenden Entwickler und das Sicherheitsteam basierend auf Ihrer Richtlinienkonfiguration.

Wie unterstĂĽtzt Arnica bei der CodeprĂĽfung?

Arnica bietet Entwicklern Echtzeitbenachrichtigungen, wenn sie Codeänderungen pushen, und reduziert so die Anzahl der Risiken, die Pull-Anfragen erreichen. Für die Risiken, die Pull-Requests erreichen, führt Arnica automatisierte Codeprüfungen für PRs ein. Wenn Risiken lokalisiert werden, kommentiert Arnica die Risikodetails und den Minderungskontext für jedes Risiko. Arnica kann Zusammenführungen auch automatisch blockieren, wenn Risiken bestehen, und so verhindern, dass sie den Produktionscode erreichen.

Arnica ermöglicht auch die Identifizierung anfälliger Abhängigkeiten von Drittanbietern. Können Sie uns erläutern, wie dies für Entwickler funktioniert?

Arnica scannt bei jedem Code-Push alle Pakete und Risiken von Drittanbietern und benachrichtigt Entwickler direkt ĂĽber ChatOps, wenn sie Versionen mit Schwachstellen verwenden oder ein Paket mit geringer Reputation in die Codebasis einfĂĽhren. 

Welche weiteren Funktionen bietet die Arnica-Plattform?

Arnica konzentriert sich auf die Bereitstellung einer Plattform fĂĽr Anwendungssicherheitsteams, um Transparenz ĂĽber alle Risiken der Software-Lieferkette zu erlangen, diese Risiken zu priorisieren und neue Risiken einfach stoppen und bestehende Risiken beheben zu können. Wir bieten diese Fähigkeit fĂĽr eine Vielzahl von Risikokategorien an, darunter ĂĽbermäßige Entwicklerberechtigungen, Coderisiken aufgrund von SAST- (Static Application Security Testing) und IaC-Scans (Infrastructure as Code), hartcodierten Geheimnissen, Abhängigkeiten von Drittanbietern und mehr. 

Gibt es noch etwas, das Sie über Arnika mitteilen möchten?

Bei Arnica verstehen wir uns bei der Entwicklung von Anwendungs- und Lieferkettensicherheitslösungen als Entwicklererlebnisunternehmen. Wir möchten die Lösung von Sicherheitsproblemen zu einem nahtlosen und angenehmen Erlebnis machen. Nehmen Sie zum Beispiel unsere Lösung zur Eindämmung von Geheimnissen. Wir identifizieren das Geheimnis beim Code-Push, validieren es und senden eine Benachrichtigung an den Entwickler im Chat-Tool seiner Wahl. Die Benachrichtigung gibt dem Entwickler eine Schaltfläche – „Fix it for me“ – die das Geheimnis aus dem gesamten Git-Verlauf löscht, ohne dass der Entwickler irgendwelche Git-Befehle schreiben muss. Nur ein Klick. 

Wir glauben, dass jedes Unternehmen, das Arnica verwendet, besser dran sein wird, wenn wir Sicherheit zu einem einfachen und angenehmen Teil der Entwicklungserfahrung machen können.  

Vielen Dank für das tolle Interview, Leser, die mehr erfahren möchten, sollten vorbeischauen Arnika.

Verwandte Themen:
mm

Antoine ist ein visionärer Leiter und Gründungspartner von Unite.AI, angetrieben von einer unerschütterlichen Leidenschaft für die Gestaltung und Förderung der Zukunft von KI und Robotik. Als Serienunternehmer glaubt er, dass KI für die Gesellschaft ebenso umwälzend sein wird wie Elektrizität, und schwärmt oft vom Potenzial disruptiver Technologien und AGI.

Als Futuristwidmet er sich der Erforschung, wie diese Innovationen unsere Welt prägen werden. Darüber hinaus ist er der Gründer von Wertpapiere.io, eine Plattform, deren Schwerpunkt auf Investitionen in Spitzentechnologien liegt, die die Zukunft neu definieren und ganze Branchen umgestalten.