στέλεχος Nir Valtman, Διευθύνων Σύμβουλος & Ιδρυτής της Arnica - Σειρά Συνεντεύξεων - Unite.AI
Συνδεθείτε μαζί μας
   συνεντεύξεις  
Nir Valtman, Διευθύνων Σύμβουλος & Ιδρυτής της Arnica – Σειρά Συνεντεύξεων
 mm
Δημοσιευμένα
 11 μήνες πριν
 on
   
 
Ο Nir Valtman είναι Διευθύνων Σύμβουλος και Ιδρυτής στο Φαρμακευτικό φυτό, μια πλατφόρμα που δίνει τη δυνατότητα στις επιχειρήσεις να προστατεύουν προληπτικά την αλυσίδα εφοδιασμού λογισμικού από κινδύνους αυτοματοποιώντας τις καθημερινές λειτουργίες ασφάλειας και δίνοντας τη δυνατότητα στους προγραμματιστές να κατέχουν την ασφάλεια χωρίς να υποστούν κινδύνους ή να διακυβεύσουν την ταχύτητα.
Τι σας προσέλκυσε αρχικά στην κυβερνοασφάλεια;
Μεγάλωσα με νοοτροπία hacking. Ξεκίνησα καταστρέφοντας το εργαστήριο υπολογιστών στο πρώτο μου μάθημα κωδικοποίησης και εισβάλλοντας σε άλλους υπολογιστές με πολύ λίγες δεξιότητες κωδικοποίησης, όλα όταν ήμουν 13 ετών. Όταν εντάχθηκα στην υπηρεσία του στρατού στο Ισραήλ, πήρα πρακτική εκπαίδευση στην αμυντική πλευρά της ασφάλειας, η οποία τελικά οδήγησε στην επαγγελματική μου σταδιοδρομία στον τομέα της κυβερνοασφάλειας. 
Θα μπορούσατε να μοιραστείτε την ιστορία της γένεσης πίσω από την Arnica;
Πριν από την Arnica, δούλευα στη Finastra, την τρίτη μεγαλύτερη παγκόσμια εταιρεία FinTech, ως Αντιπρόεδρος Ασφάλειας. Η σκόνη από τη διαβόητη Solarwinds μόλις είχε κατακαθίσει και ο Διευθύνων Σύμβουλός μας με ρώτησε πώς θα μπορούσαμε να ελαχιστοποιήσουμε τον κίνδυνο να επηρεαστούμε από μια επίθεση στην αλυσίδα εφοδιασμού λογισμικού. Κάναμε μια ολοκληρωμένη αξιολόγηση των εταιρειών που κατασκευάζουν λύσεις σε αυτόν τον χώρο, μερικές από τις οποίες κάναμε απόδειξη των ιδεών. Κανένας από τους προμηθευτές δεν ήταν κατάλληλος για αυτό που αναζητούσαμε: ολοκληρωμένη κάλυψη, ενεργό μετριασμό των κινδύνων και εξαιρετική εμπειρία προγραμματιστή. Συγκεκριμένα, η πτυχή της εμπειρίας προγραμματιστή ήταν κρίσιμη, επειδή οποιαδήποτε λύση που επέβαλλα στους προγραμματιστές που διέκοψε τις ροές εργασίας τους θα απορριφόταν και θα επιστρέψαμε στην αρχή. 
Χωρίς να έχω βρει λύση, αποφάσισα να ερευνήσω κάθε επίθεση στην αλυσίδα εφοδιασμού λογισμικού που είχε λάβει χώρα τα τελευταία 5 χρόνια για να κατανοήσω τα βασικά συμπτώματα και πώς να τα αποτρέψω. Ταυτόχρονα, μίλησα με δύο φίλους, τον Eran Medan (CTO) και τον Diko Dahan (COO), οι οποίοι είχαν μεγάλη εμπειρία στην ανάπτυξη και την ηγεσία επιχειρήσεων. Ο Eran και ο Diko εξέφρασαν παρόμοιες προκλήσεις για την εξεύρεση λύσης – ο Diko από την άποψη των τεχνολογικών λειτουργιών και ο Eran από την προοπτική ανάπτυξης. Δεδομένου ότι όλοι ερχόμασταν κενοί σε μια λύση, αναπτύξαμε μια υπόθεση για το πώς θα έπρεπε να είναι μια λύση. Πραγματοποιήσαμε δεκάδες κλήσεις επικύρωσης με ηγέτες ασφάλειας, επιχειρήσεων και μηχανικών, οι οποίες επικύρωσαν τόσο το πρόβλημα όσο και την υπόθεσή μας για την απαραίτητη λύση. Fast forward λίγους μήνες μέχρι τον Αύγουστο του 2021 και είχαμε συνιδρυθεί η Arnica. 
Η Arnica παρέχει ασφάλεια με βάση τη συμπεριφορά από άκρο σε άκρο, θα μπορούσατε να ορίσετε τι είναι η ασφάλεια που βασίζεται στη συμπεριφορά;
Εάν κάποιος σας έδινε ένα χειρόγραφο σημείωμα και σας έλεγε ότι το γράψατε εσείς, πιθανότατα θα μπορούσατε να καταλάβετε αν ήταν στην πραγματικότητα γραμμένο από εσάς. Εάν, για παράδειγμα, το χειρόγραφο δεν είναι δικό σας, το σημείωμα χρονολογήθηκε πριν γεννηθείτε και είναι γραμμένο στα γαλλικά (που δεν ξέρετε να μιλάτε ή να γράφετε), θα ήταν σαφές ότι δεν είστε ο συγγραφέας. Ακολουθούμε παρόμοια προσέγγιση στον κώδικα, εκτός από το ότι χτίζουμε ένα προφίλ για κάθε προγραμματιστή που αποτελείται από χιλιάδες παράγοντες (γνωστοί και ως χαρακτηριστικά στη μηχανική εκμάθηση). Παρατηρώντας τις τάσεις και τη συμπεριφορά των προγραμματιστών, μπορούμε να σταματήσουμε τους κινδύνους που αποκλίνουν από τα συνήθη πρότυπα ανάπτυξής τους. Αυτό μας βοηθά να σταματήσουμε τις εξαγορές λογαριασμών, τις εσωτερικές απειλές και άλλους κινδύνους που σχετίζονται με την ανάπτυξη λογισμικού. 
Μπορείτε να συζητήσετε πώς η πλατφόρμα μπορεί να προσδιορίσει τις αποχρώσεις του πώς λειτουργεί κάθε προγραμματιστής;
Η Arnica αξιοποιεί τη δραστηριότητα ιστορικού ελέγχου και συνεισφοράς κώδικα για να δημιουργήσει ένα δακτυλικό αποτύπωμα συμπεριφοράς για κάθε προγραμματιστή. Αυτό το δακτυλικό αποτύπωμα αντιπροσωπεύει τη γνωστή και αναμενόμενη συμπεριφορά της χρήσης αδειών, του στυλ κωδικοποίησης, της γλώσσας δέσμευσης και των πρακτικών ανάπτυξης του προγραμματιστή. Στη συνέχεια, μπορούμε να συγκρίνουμε όλη τη μελλοντική δραστηριότητα με αυτό το δακτυλικό αποτύπωμα για να προσδιορίσουμε την πιθανότητα ο μελλοντικός κώδικας να προέρχεται από αυτόν τον συγγραφέα.
Τι συμβαίνει όταν το σύστημα επισημαίνει ανώμαλη συμπεριφορά;
Προσπαθούμε πάντα να μεγιστοποιούμε την αξία ασφαλείας και, ταυτόχρονα, να εξαλείφουμε τις τριβές ανάπτυξης. Όταν το Arnica εντοπίζει ανώμαλη συμπεριφορά από έναν λογαριασμό προγραμματιστή, τον επισημαίνουμε στο Arnica και στέλνουμε αυτόματα έναν πρόσθετο έλεγχο ταυτότητας μέσω απευθείας συνομιλίας στον εν λόγω προγραμματιστή και στην ομάδα ασφαλείας με βάση τη διαμόρφωση πολιτικής σας.
Πώς βοηθά η Arnica με τον έλεγχο κώδικα;
Η Arnica παρέχει ειδοποιήσεις σε πραγματικό χρόνο στους προγραμματιστές όταν προωθούν αλλαγές κώδικα, μειώνοντας τον αριθμό των κινδύνων που φτάνουν σε αιτήματα έλξης. Για τους κινδύνους που φθάνουν σε αιτήματα έλξης, η Arnica εισάγει αυτοματοποιημένους ελέγχους κωδικών στα PR. Όταν εντοπίζονται οι κίνδυνοι, η Arnica σχολιάζει τις λεπτομέρειες κινδύνου και το πλαίσιο μετριασμού για κάθε κίνδυνο. Η Arnica μπορεί επίσης να μπλοκάρει αυτόματα τις συγχωνεύσεις όπου υπάρχουν κίνδυνοι, εμποδίζοντάς τις να φτάσουν στον κωδικό παραγωγής.
Το Arnica επιτρέπει επίσης τον εντοπισμό ευάλωτων εξαρτήσεων τρίτων, θα μπορούσατε να συζητήσετε πώς λειτουργεί αυτό για τους προγραμματιστές;
Το Arnica σαρώνει όλα τα πακέτα τρίτων και τους κινδύνους σε κάθε ώθηση κώδικα και ειδοποιεί τους προγραμματιστές απευθείας μέσω του ChatOps όταν χρησιμοποιούν εκδόσεις με ευπάθειες ή εισάγουν ένα πακέτο χαμηλής φήμης στη βάση κώδικα. 
Ποιες είναι μερικές από τις άλλες λειτουργίες που προσφέρει η πλατφόρμα Arnica;
Η Arnica επικεντρώνεται στην παροχή μιας πλατφόρμας για ομάδες ασφαλείας εφαρμογών για να αποκτήσουν ορατότητα σε όλους τους κινδύνους της αλυσίδας εφοδιασμού λογισμικού, να μπορούν να ιεραρχούν αυτούς τους κινδύνους και να μπορούν να σταματήσουν εύκολα νέους κινδύνους και να διορθώσουν τους υπάρχοντες κινδύνους. Παρέχουμε αυτή τη δυνατότητα σε ένα ευρύ φάσμα κατηγοριών κινδύνου, συμπεριλαμβανομένων των υπερβολικών αδειών προγραμματιστή, των κινδύνων κώδικα που προκύπτουν από τη σάρωση SAST (Static Application Security Testing) και IaC (Υποδομή ως κώδικα), κωδικοποιημένα μυστικά, εξαρτήσεις τρίτων και πολλά άλλα. 
Υπάρχει κάτι άλλο που θα θέλατε να μοιραστείτε για την Arnica;
Στην Arnica, όσο κι αν αναπτύσσουμε λύσεις ασφάλειας εφαρμογών και εφοδιαστικής αλυσίδας, θεωρούμε τους εαυτούς μας ως εταιρεία εμπειρίας προγραμματιστή. Θέλουμε να κάνουμε την επίλυση προβλημάτων ασφάλειας μια απρόσκοπτη και ευχάριστη εμπειρία. Πάρτε για παράδειγμα τη λύση μετριασμού μυστικών. Εντοπίζουμε το μυστικό κατά την ώθηση κώδικα, το επικυρώνουμε και προωθούμε μια ειδοποίηση στον προγραμματιστή στο εργαλείο συνομιλίας της επιλογής του. Η ειδοποίηση δίνει στον προγραμματιστή ένα κουμπί - "Fix it for me" - το οποίο εξαλείφει το μυστικό από ολόκληρο το ιστορικό git χωρίς ο προγραμματιστής να χρειάζεται να γράψει εντολές git. Μόνο ένα κλικ. 
Πιστεύουμε ότι εάν μπορούμε να κάνουμε την ασφάλεια ένα εύκολο και ευχάριστο μέρος της εμπειρίας ανάπτυξης, κάθε οργανισμός που χρησιμοποιεί Arnica θα είναι καλύτερη.  
Σας ευχαριστούμε για την υπέροχη συνέντευξη, οι αναγνώστες που επιθυμούν να μάθουν περισσότερα πρέπει να το επισκεφτούν Φαρμακευτικό φυτό.
       
 Σχετικά θέματα:
 mm
Ιδρυτικός συνεργάτης της unite.AI & μέλος της Τεχνολογικό Συμβούλιο Forbes, Ο Αντουάν είναι α μελλοντιστής που είναι παθιασμένος με το μέλλον της τεχνητής νοημοσύνης και της ρομποτικής.
Είναι επίσης ο Ιδρυτής του Securities.io, ένας ιστότοπος που εστιάζει στην επένδυση σε ανατρεπτική τεχνολογία.