Connect with us

Entrevistas

Neatsun Ziv, Co-Fundador y CEO de OX Security – Serie de Entrevistas

mm
Published
Updated

Neatsun Ziv, Co-Fundador y CEO de OX Security, se encuentra a la vanguardia de la redefinición de la seguridad de la cadena de suministro de software para la era DevSecOps. Antes de fundar OX, se desempeñó como VP de Seguridad Cibernética en Check Point, liderando iniciativas globales y orquestando respuestas rápidas a amenazas de alto perfil como SolarWinds y NotPetya. Su trabajo lo llevó a colaborar directamente con Interpol, CERTs nacionales y otras agencias de aplicación de la ley durante algunos de los incidentes cibernéticos más críticos de la última década.

OX Security es una plataforma de seguridad de aplicaciones diseñada para cortar el ruido, ayudando a las organizaciones a centrarse en el pequeño porcentaje de riesgos que realmente importan. Utilizando el análisis de explotabilidad, alcance y impacto comercial, la plataforma ofrece una priorización basada en evidencia en todo el ciclo de vida del desarrollo de software. Con cobertura de código a nube completa, más de 100 integraciones y flujos de trabajo sin código, OX incorpora una remediación guiada directamente en los flujos de trabajo de los desarrolladores, asegurando que las medidas de seguridad sean efectivas y sin fricciones.

Antes de co-fundar OX Security, usted lideró respuestas a incidentes importantes en Check Point. ¿Qué lo llevó a decidir que era hora de empezar su propia empresa, y qué brecha vio en el espacio de seguridad de aplicaciones?

Trabajando en Check Point, experimenté de primera mano la “Brecha de Velocidad Corporativa” – las empresas de seguridad tradicionales se mueven a un ritmo más lento. También vi cómo los equipos de seguridad eran bastante ineficientes en various sentidos, especialmente cuando se trataba de priorizar riesgos correctamente.

Al mismo tiempo, reconocí que la inteligencia artificial generativa (en ese momento subdesarrollada) representaba el futuro de cómo debía evolucionar la herramienta de seguridad, y de hecho, se movía a gran velocidad. Varias cambios críticos estaban sucediendo simultáneamente:

Aceleración de los Actores de Amenazas: Los atacantes adoptaban rápidamente nuevas tecnologías y técnicas, moviéndose más rápido de lo que las soluciones de seguridad podían seguir.

El Fenómeno de “Vibe Coding”: El término no existía en ese momento, pero vi a los desarrolladores cada vez más dependientes de herramientas de codificación asistidas por IA como Copilot, cambiando fundamentalmente la forma en que se construye el software e introduciendo consideraciones de seguridad completamente nuevas.

Evolución del Ataque de la Cadena de Suministro: La aceleración de los ataques a la cadena de suministro de software creó una necesidad urgente de nuevos enfoques para la seguridad de las aplicaciones que las herramientas existentes simplemente no estaban abordando.

Las mejoras incrementales dentro de las estructuras corporativas existentes no serían suficientes para abordar estos desafíos en constante evolución.

Mi última realización fue que las amenazas se estaban moviendo rápidamente hacia el código – y la seguridad necesitaba seguir. Necesitábamos romper con los marcos conocidos y empezar a correr en una nueva carrera rápida.

La misión central de OX es ayudar a los desarrolladores a centrarse en el 5% de las vulnerabilidades que realmente importan. ¿Cuándo se cristalizó esta idea para usted, y cómo da forma a las decisiones de producto hoy en día?

Habiendo gestionado operaciones de equipos de desarrollo bastante grandes, presencié cómo el volumen abrumador de problemas de seguridad puede ser abrumador. Necesitas entender qué es importante y qué no. Pasar por listas interminables no hace que la empresa avance hacia la reducción del riesgo. En su lugar, crea frustración e incluso aleja a las empresas de la reducción del riesgo, ya que simplemente consume mucho tiempo y recursos.

Esto nos enseñó que necesitamos ayudar a los desarrolladores a centrarse en lo que realmente importa – y luego explicarles por qué es importante. Después de eso, necesitamos mostrarles cómo solucionarlo fácilmente, o mejor aún – solucionarlo por ellos – lo cual ahora es posible a través de herramientas como Agent OX.

Esta idea se convirtió en la base sobre la cual construimos la empresa, y es lo que guía todas nuestras decisiones de producto hoy en día. Cada función, cada capacidad que desarrollamos comienza con la pregunta: “¿Ayuda esto a los desarrolladores a centrarse en lo que realmente importa? ¿Reduce el riesgo?”

La plataforma se centra en “Proyección de Código” para mapear el riesgo en todo el ciclo de vida del desarrollo de software. ¿Puede explicar cómo funciona esta tecnología y qué la hace diferente de otras herramientas de gestión de vulnerabilidades?

La Proyección de Código es fundamentalmente una tecnología que ve un problema en el código y sabe de antemano cómo se comportará cuando ese código llegue a la nube. Esto permite solucionar problemas mucho antes de que estén ejecutándose en producción – cuando el riesgo ya está expuesto.

Funciona entendiendo que cada pieza de código tiene un proceso que lo construye y lo lleva a la nube – CI/CD. Podemos leer el código e interpretar lo que significa. Para dar un ejemplo directo – lo que se expone a Internet obviamente tiene diferentes implicaciones que lo que no.

La diferencia clave con respecto a otros productos es que la mayoría de las herramientas terminan su trabajo con una larga lista de problemas. Sin poder centrarse en el 5% o incluso menos de riesgos verdaderamente significativos, filtrar a través de estos – terminas con plazos que son casi irrelevantes. También no sabes a qué desarrollador asignar el problema.

Nuestro enfoque cambia eso por completo – no solo identificamos problemas, proporcionamos contexto, priorización y una clara propiedad.

Ofrece integración completa a través de herramientas de escaneo, gestión de secretos, SBOM, descubrimiento de SaaS y más. ¿Cuáles fueron algunos de los desafíos técnicos más difíciles al unificar todo esto en una experiencia de desarrollador sin problemas?

El problema más difícil es transformar los datos en conocimientos. Los datos son todas las cosas que acabas de mencionar. Pero los desarrolladores necesitan claridad, puntos clave y razonamiento. Comunicación enfocada. ¿Cómo transformar montañas de datos en conocimientos acciónables – ese es el mayor desafío en la industria.

Sintetizar esa información de una manera que cuente una historia coherente y proporcione acciones claras y priorizadas que los desarrolladores puedan ejecutar – este fue el mayor desafío.

PBOM (Lista de Materiales de la Canalización) es una innovación de OX. ¿Cómo es diferente de SBOM, y por qué es esencial para garantizar la seguridad de las cadenas de suministro de software modernas?

PBOM es la capacidad de mirar todo lo que sucede con el software desde el momento en que se escribe hasta que está en producción. SBOM es un componente dentro de eso – mira todos los paquetes de software que están dentro de una aplicación.

Para responder a la pregunta anterior – PBOM es en realidad la base que nos permite transformar los datos en conocimientos, porque mira una imagen mucho más amplia – todos los datos. Captura el viaje completo y la transformación del código, no solo los componentes finales.

Esta visión integral es esencial porque las herramientas de seguridad tradicionales solo ven el resultado final, perdiendo vectores de ataque críticos como herramientas de construcción comprometidas, commits maliciosos o manipulación de la canalización que ocurren durante el desarrollo y la implementación.

OX acaba de presentar Agent OX – una nueva arquitectura de multi-agente donde cada modelo de IA se centra en tipos específicos de vulnerabilidades y lenguajes de programación. ¿Qué impulsó esta decisión de diseño, y cómo garantiza que las soluciones que propone sean explicables y confiables en la práctica?

Creamos este enfoque de multi-agente mirando cómo los humanos desarrollan la experiencia y aplicando ese mismo principio a la IA. Para ser un experto en algo, un desarrollador necesita ser un experto en el lenguaje, la arquitectura específica y la organización específica. Un solo desarrollador no puede solucionar todos los problemas, y por la misma lógica, un solo agente de IA tampoco puede alcanzar ese nivel de experiencia. Además, quieres un agente que pueda manejar la garantía de calidad.

Así que cada agente desarrolla una profunda experiencia en su dominio específico, al igual que los especialistas humanos.

Para la confiabilidad y la explicabilidad, cada agente no solo propone soluciones, sino que también explica su razonamiento, muestra su trabajo y permite a los desarrolladores entender exactamente por qué se eligió una solución particular.

¿Qué lo llevó a centrarse en la remediación de un solo clic directamente dentro de los flujos de trabajo de los desarrolladores? Y cómo garantiza que los desarrolladores mantengan el control y no encuentren efectos secundarios no deseados?

La idea principal es reducir la fricción y mejorar las soluciones de seguridad. Les damos a los desarrolladores el control total para revisar y validar la solución propuesta antes de aceptarla.

La clave es que “un solo clic” no significa “automático” – significa optimizado. Los desarrolladores pueden ver exactamente qué se cambiará, entender por qué, revisar la solución propuesta y luego elegir aplicarla con una sola acción. El control y la toma de decisiones permanecen enteramente en sus manos, pero eliminamos el tedioso trabajo manual de investigar y implementar la solución.

Usted cuenta con Microsoft, IBM y SoFi entre sus clientes. ¿Cómo dan forma estas relaciones empresariales a su hoja de ruta y al proceso de comentarios para herramientas como Agent OX?

Trabajamos con cientos de clientes, y decenas de ellos comparten abiertamente con nosotros los desafíos que enfrentan. Estas discusiones profundas sobre la hoja de ruta y los patrones de diseño son la piedra angular de nuestra capacidad para afinar la solución propuesta. Valoramos enormemente las relaciones que tenemos con nuestros clientes y las vemos como una prioridad máxima para nosotros como empresa, y que nos guía a medida que entendemos las necesidades del mundo real y creamos soluciones para resolverlas.

A medida que las herramientas de seguridad de IA se vuelven más comunes, ¿cómo equilibra la automatización con la confianza y el control de los desarrolladores? ¿Dónde dibuja la línea entre asistente y autónomo?

Como hemos visto en revoluciones anteriores, aquellos que no se suben al carro no sobreviven. Estamos comenzando a ver a las organizaciones con las que trabajamos que han transferido todos sus recursos a la adopción de IA porque entienden que estamos presenciando una revolución.

Estos son en realidad nuestros clientes más colaborativos porque están enfrentando una nueva tensión no cartografiada: sus desarrolladores necesitan moverse rápidamente con herramientas de IA, pero están preocupados por perder el control. Están dispuestos a aceptar el riesgo y la pérdida temporal de control para ganar una ventaja competitiva, pero necesitan que los ayudemos a recuperar la confianza. Nuestro trabajo es permitirles la velocidad que necesitan, mientras reconstruyen la confianza en el proceso.

Recientemente cerró una ronda de financiación de $60M en la Serie B. ¿Cómo acelerará esta financiación la próxima fase de crecimiento de OX – ya sea en el lado técnico, de comercialización o de expansión internacional?

La nueva financiación se centra fundamentalmente en la expansión, y también nos ayudará a mejorar nuestras capacidades para identificar riesgos derivados del código generado por IA, que ahora estamos empezando a ver con el lanzamiento de Agent OX.

Ya estamos analizando más de 100 millones de líneas de código diariamente para más de 200 clientes que pagan. Esta financiación nos posiciona para escalar ese impacto a nivel global mientras mantenemos nuestro enfoque en las preguntas fundamentales que siempre nos han guiado: “¿Ayuda esto a los desarrolladores a centrarse en lo que importa? ¿Reduce el riesgo?”

Gracias por la gran entrevista, los lectores que deseen aprender más deben visitar OX Security.

Related Topics:
mm

Antoine es un líder visionario y socio fundador de Unite.AI, impulsado por una pasión inquebrantable por dar forma y promover el futuro de la IA y la robótica. Un empresario serial, cree que la IA será tan disruptiva para la sociedad como la electricidad, y a menudo se le escucha hablando con entusiasmo sobre el potencial de las tecnologías disruptivas y la AGI. Como un futurista, está dedicado a explorar cómo estas innovaciones darán forma a nuestro mundo. Además, es el fundador de Securities.io, una plataforma enfocada en invertir en tecnologías de vanguardia que están redefiniendo el futuro y remodelando sectores enteros.