Stummel Nir Valtman, CEO und Gründer von Arnica – Interviewreihe – Unite.AI
Vernetzen Sie sich mit uns
   Interviews  
Nir Valtman, CEO und Gründer von Arnica – Interviewreihe
 mm
Veröffentlicht
 11 Monate her
 on
   
 
Nir Valtman ist CEO und Gründer von Arnika, Eine Plattform, die es Unternehmen ermöglicht, die Software-Lieferkette proaktiv vor Risiken zu schützen, indem sie die täglichen Sicherheitsvorgänge automatisiert und Entwickler in die Lage versetzt, für die Sicherheit zu sorgen, ohne Risiken einzugehen oder die Geschwindigkeit zu beeinträchtigen.
Was hat Sie ursprünglich an Cybersicherheit interessiert?
Ich bin mit einer Hacker-Denkweise aufgewachsen. Als ich 13 Jahre alt war, begann ich damit, in meinem ersten Programmierkurs das Computerlabor zu zerstören und mich mit sehr geringen Programmierkenntnissen in andere Computer zu hacken. Als ich in Israel zum Militärdienst kam, erhielt ich eine praktische Ausbildung im defensiven Bereich der Sicherheit, die schließlich zu meiner beruflichen Laufbahn im Bereich Cybersicherheit führte. 
Könnten Sie uns die Entstehungsgeschichte von Arnica erzählen?
Vor Arnica arbeitete ich bei Finastra, dem drittgrößten globalen FinTech-Unternehmen, als VP of Security. Der Staub der berüchtigten Solarwinds legte sich gerade und unser CEO fragte mich, wie wir das Risiko minimieren könnten, von einem Angriff auf die Software-Lieferkette betroffen zu werden. Wir haben eine umfassende Bewertung von Unternehmen durchgeführt, die Lösungen in diesem Bereich entwickeln, und bei einigen davon haben wir einen Proof of Concept durchgeführt. Keiner der Anbieter entsprach unseren Anforderungen: umfassende Abdeckung, aktive Risikominderung und ein großartiges Entwicklererlebnis. Insbesondere der Aspekt der Entwicklererfahrung war von entscheidender Bedeutung, da jede Lösung, die ich den Entwicklern auferlegte und ihre Arbeitsabläufe störte, abgelehnt wurde und wir wieder bei Null wären. 
Ohne eine Lösung gefunden zu haben, beschloss ich, jeden Angriff auf die Software-Lieferkette zu untersuchen, der in den letzten fünf Jahren stattgefunden hatte, um ein Verständnis für die wichtigsten Symptome zu entwickeln und herauszufinden, wie man sie verhindern kann. Gleichzeitig sprach ich mit zwei Freunden, Eran Medan (CTO) und Diko Dahan (COO), die über umfassende Führungserfahrung in den Bereichen Entwicklung und Betrieb verfügten. Eran und Diko äußerten ähnliche Herausforderungen bei der Lösungsfindung – Diko aus technischer Sicht und Eran aus Entwicklungsperspektive. Da wir alle keine Lösung gefunden hatten, entwickelten wir eine Hypothese, wie eine Lösung aussehen sollte. Wir haben Dutzende Validierungsgespräche mit Sicherheits-, Betriebs- und Technikleitern geführt, die sowohl das Problem als auch unsere Hypothese über die notwendige Lösung bestätigten. Ein paar Monate später, bis August 5, waren wir Mitbegründer von Arnica. 
Arnica bietet durchgängige verhaltensbasierte Sicherheit. Können Sie definieren, was verhaltensbasierte Sicherheit ist?
Wenn Ihnen jemand eine handschriftliche Notiz geben und Ihnen sagen würde, dass Sie sie geschrieben haben, könnten Sie wahrscheinlich erkennen, ob sie tatsächlich von Ihnen geschrieben wurde. Wenn die Handschrift beispielsweise nicht von Ihnen stammt, die Notiz vor Ihrer Geburt datiert wurde und auf Französisch verfasst ist (wo Sie weder sprechen noch schreiben können), ist es klar, dass Sie nicht der Autor sind. Beim Code verfolgen wir einen ähnlichen Ansatz, außer dass wir für jeden Entwickler ein Profil erstellen, das sich aus Tausenden von Faktoren zusammensetzt (im maschinellen Lernen auch als Features bezeichnet). Indem wir die Tendenzen und das Verhalten von Entwicklern beobachten, können wir Risiken stoppen, die von ihren normalen Entwicklungsmustern abweichen. Dies hilft uns, Kontoübernahmen, Insider-Bedrohungen und andere mit der Softwareentwicklung verbundene Risiken zu verhindern. 
Können Sie erläutern, wie die Plattform die Nuancen der Arbeitsweise jedes Entwicklers erkennen kann?
Arnica nutzt historische Audit- und Code-Beitragsaktivitäten, um einen Verhaltens-Fingerabdruck für jeden Entwickler zu erstellen. Dieser Fingerabdruck stellt das bekannte und erwartete Verhalten der Berechtigungsnutzung, des Codierungsstils, der Commit-Sprache und der Entwicklungspraktiken des Entwicklers dar. Wir sind dann in der Lage, alle zukünftigen Aktivitäten mit diesem Fingerabdruck zu vergleichen, um die Wahrscheinlichkeit zu bestimmen, dass zukünftiger Code von diesem Autor stammt.
Was passiert, wenn das System ungewöhnliches Verhalten meldet?
Wir sind stets bestrebt, den Sicherheitswert zu maximieren und gleichzeitig Entwicklungsreibungen zu beseitigen. Wenn Arnica ungewöhnliches Verhalten von einem Entwicklerkonto erkennt, kennzeichnen wir es in Arnica und senden automatisch eine zusätzliche Authentifizierung über einen direkten Chat an den betreffenden Entwickler und das Sicherheitsteam basierend auf Ihrer Richtlinienkonfiguration.
Wie unterstützt Arnica bei der Codeprüfung?
Arnica bietet Entwicklern Echtzeitbenachrichtigungen, wenn sie Codeänderungen pushen, und reduziert so die Anzahl der Risiken, die Pull-Anfragen erreichen. Für die Risiken, die Pull-Requests erreichen, führt Arnica automatisierte Codeprüfungen für PRs ein. Wenn Risiken lokalisiert werden, kommentiert Arnica die Risikodetails und den Minderungskontext für jedes Risiko. Arnica kann Zusammenführungen auch automatisch blockieren, wenn Risiken bestehen, und so verhindern, dass sie den Produktionscode erreichen.
Arnica ermöglicht auch die Identifizierung anfälliger Abhängigkeiten von Drittanbietern. Können Sie uns erläutern, wie dies für Entwickler funktioniert?
Arnica scannt bei jedem Code-Push alle Pakete und Risiken von Drittanbietern und benachrichtigt Entwickler direkt über ChatOps, wenn sie Versionen mit Schwachstellen verwenden oder ein Paket mit geringer Reputation in die Codebasis einführen. 
Welche weiteren Funktionen bietet die Arnica-Plattform?
Arnica konzentriert sich auf die Bereitstellung einer Plattform für Anwendungssicherheitsteams, um Transparenz über alle Risiken der Software-Lieferkette zu erlangen, diese Risiken zu priorisieren und neue Risiken einfach stoppen und bestehende Risiken beheben zu können. Wir bieten diese Fähigkeit für eine Vielzahl von Risikokategorien an, darunter übermäßige Entwicklerberechtigungen, Coderisiken aufgrund von SAST- (Static Application Security Testing) und IaC-Scans (Infrastructure as Code), hartcodierten Geheimnissen, Abhängigkeiten von Drittanbietern und mehr. 
Gibt es noch etwas, das Sie über Arnika mitteilen möchten?
Bei Arnica verstehen wir uns bei der Entwicklung von Anwendungs- und Lieferkettensicherheitslösungen als Entwicklererlebnisunternehmen. Wir möchten die Lösung von Sicherheitsproblemen zu einem nahtlosen und angenehmen Erlebnis machen. Nehmen Sie zum Beispiel unsere Lösung zur Eindämmung von Geheimnissen. Wir identifizieren das Geheimnis beim Code-Push, validieren es und senden eine Benachrichtigung an den Entwickler im Chat-Tool seiner Wahl. Die Benachrichtigung gibt dem Entwickler eine Schaltfläche – „Fix it for me“ – die das Geheimnis aus dem gesamten Git-Verlauf löscht, ohne dass der Entwickler irgendwelche Git-Befehle schreiben muss. Nur ein Klick. 
Wir glauben, dass jedes Unternehmen, das Arnica verwendet, besser dran sein wird, wenn wir Sicherheit zu einem einfachen und angenehmen Teil der Entwicklungserfahrung machen können.  
Vielen Dank für das tolle Interview, Leser, die mehr erfahren möchten, sollten vorbeischauen Arnika.
       
 Verwandte Themen:
 mm
Ein Gründungspartner von unite.AI und Mitglied der Forbes Technology Council, Antoine ist ein Futurist der sich leidenschaftlich für die Zukunft von KI und Robotik interessiert.
Er ist auch der Gründer von Wertpapiere.io, eine Website, die sich auf Investitionen in bahnbrechende Technologien konzentriert.