Entrevistas

Neatsun Ziv, Co-Fundador y CEO de OX Security – Serie de Entrevistas

mm
Published
Updated

Neatsun Ziv, Co-Fundador y CEO de OX Security, se encuentra a la vanguardia de la redefinición de la seguridad de la cadena de suministro de software para la era de DevSecOps. Antes de fundar OX, se desempeñó como VP de Seguridad Cibernética en Check Point, liderando iniciativas globales y orquestando respuestas rápidas a amenazas de alto perfil como SolarWinds y NotPetya. Su trabajo a menudo lo puso en colaboración directa con Interpol, CERT nacionales y otras agencias de aplicación de la ley durante algunos de los incidentes cibernéticos más críticos de la última década.

OX Security es una plataforma de seguridad de aplicaciones diseñada para reducir el ruido y ayudar a las organizaciones a centrarse en el pequeño porcentaje de riesgos que realmente importan. Utilizando el análisis de explotabilidad, alcance y impacto comercial, la plataforma proporciona una priorización basada en evidencia en todo el ciclo de vida del desarrollo de software. Con cobertura completa desde el código hasta la nube, más de 100 integraciones y flujos de trabajo sin código, OX incorpora la remediación guiada directamente en los flujos de trabajo de los desarrolladores, garantizando que las medidas de seguridad sean efectivas y sin fricciones.

Antes de co-fundar OX Security, lideró respuestas a incidentes importantes en Check Point. ¿Qué lo llevó a decidir que era hora de iniciar su propia empresa, y qué brecha vio en el espacio de seguridad de aplicaciones?

Trabajando en Check Point, experimenté de primera mano la “brecha de velocidad corporativa” – las empresas de seguridad tradicionales se mueven a un ritmo más lento. También vi cómo los equipos de seguridad eran bastante ineficientes en varios aspectos, especialmente cuando se trataba de priorizar los riesgos de manera correcta.

Al mismo tiempo, reconocí que la inteligencia artificial generativa (en ese momento en desarrollo) representaba el futuro de cómo debía evolucionar la herramienta de seguridad, y de hecho, se movía a gran velocidad. Varias cambios críticos estaban sucediendo simultáneamente:

Aceleración de los actores de amenazas: los atacantes adoptaban rápidamente nuevas tecnologías y técnicas, moviéndose más rápido de lo que las soluciones de seguridad podían seguir.

El fenómeno de la “codificación de vibraciones”: el término no existía en ese momento, pero vi a los desarrolladores cada vez más dependientes de herramientas de codificación asistidas por IA como Copilot, cambiando fundamentalmente la forma en que se construye el software e introduciendo consideraciones de seguridad completamente nuevas.

Evolución del ataque de la cadena de suministro: la aceleración de los ataques a la cadena de suministro de software creó una necesidad urgente de nuevos enfoques para la seguridad de las aplicaciones que las herramientas existentes simplemente no estaban abordando.

Las mejoras incrementales dentro de las estructuras corporativas existentes no serían suficientes para abordar estos desafíos en constante evolución.

Mi última realización fue que las amenazas se estaban moviendo rápidamente hacia el código, y la seguridad necesitaba seguirles. Necesitábamos romper con los marcos conocidos y comenzar a correr en una nueva carrera rápida.

La misión central de OX es ayudar a los desarrolladores a centrarse en el 5% de las vulnerabilidades que realmente importan. ¿Cuándo se cristalizó esta idea para usted, y cómo da forma a las decisiones de producto hoy en día?

Habiendo gestionado operaciones de equipos de desarrollo bastante grandes, presencié cómo el volumen abrumador de problemas relacionados con la seguridad puede ser. Necesitas entender qué es importante y qué no. Recorrer listas interminables no hace que la empresa avance hacia la reducción del riesgo. En cambio, crea frustración e incluso aleja a las empresas de la reducción del riesgo, ya que simplemente consume mucho tiempo y recursos.

Esto nos enseñó que necesitamos ayudar a los desarrolladores a centrarse en lo que realmente importa, y luego explicarles por qué es importante. Después de eso, necesitamos mostrarles cómo solucionarlo de manera sencilla, o mejor aún, solucionarlo por ellos, lo cual es posible ahora con herramientas como Agent OX.

Esta idea se convirtió en la base sobre la cual construimos la empresa, y es lo que guía todas nuestras decisiones de producto hoy en día. Cada función, cada capacidad que desarrollamos comienza con la pregunta: “¿Ayuda esto a los desarrolladores a centrarse en lo que realmente importa? ¿Reduce esto el riesgo?”

La plataforma se centra en la “Proyección de código” para mapear el riesgo en todo el ciclo de vida del desarrollo de software. ¿Puede explicar cómo funciona esta tecnología y qué la hace diferente de otras herramientas de gestión de vulnerabilidades?

La Proyección de código es fundamentalmente una tecnología que ve un problema en el código y sabe de antemano cómo se comportará cuando ese código llegue a la nube. Esto permite solucionar problemas mucho antes de que estén ejecutándose en producción, cuando el riesgo ya está expuesto.

Funciona entendiendo que cada pieza de código tiene un proceso que lo construye y lo lleva a la nube, es decir, CI/CD. Podemos leer el código e interpretar lo que significa. Para dar un ejemplo directo, lo que se expone a Internet obviamente tiene implicaciones diferentes a lo que no se expone.

La diferencia clave con respecto a otros productos es que la mayoría de las herramientas terminan su trabajo con una larga lista de problemas. Sin poder centrarse en el 5% o menos de riesgos verdaderamente significativos, filtrar a través de estos es casi irrelevante. También no sabes a qué desarrollador asignar el problema.

Nuestro enfoque cambia eso por completo: no solo identificamos problemas, sino que también proporcionamos contexto, priorización y propiedad clara.

Ofrece integración completa a través de herramientas de escaneo, gestión de secretos, SBOM, descubrimiento de SaaS y más. ¿Cuáles fueron algunos de los desafíos técnicos más difíciles al unificar todo esto en una experiencia de desarrollador sin problemas?

El problema más difícil es transformar datos en conocimientos. Los datos son todas las cosas que mencioné anteriormente. Pero los desarrolladores necesitan claridad, puntos clave y razonamiento. Comunicación enfocada. ¿Cómo transformar montañas de datos en conocimientos claros y acciones que los desarrolladores puedan ejecutar realmente? Ese es el mayor desafío en la industria.

Sintetizar esa información de una manera que cuente una historia coherente y proporcione acciones claras y priorizadas que los desarrolladores puedan ejecutar, ese fue el mayor desafío.

PBOM (Lista de materiales de la tubería) es una innovación de OX. ¿Cómo se diferencia de SBOM, y por qué es esencial para garantizar la seguridad de las cadenas de suministro de software modernas?

PBOM es la capacidad de mirar todo lo que sucede al software desde el momento en que se escribe hasta que se encuentra en producción. SBOM es un componente dentro de eso, que mira todos los paquetes de software que están dentro de una aplicación.

Para responder a la pregunta anterior, PBOM es en realidad la base que nos permite transformar datos en conocimientos, porque mira una imagen mucho más amplia, todos los datos. Captura el viaje completo y la transformación del código, no solo los componentes finales.

Esta visión general es esencial porque las herramientas de seguridad tradicionales solo ven el resultado final, perdiendo vectores de ataque críticos como herramientas de construcción comprometidas, commits maliciosos o manipulación de tuberías que ocurren durante el desarrollo y la implementación.

OX acaba de presentar Agent OX, una nueva arquitectura de multi-agente donde cada modelo de IA se centra en tipos específicos de vulnerabilidades y lenguajes de programación. ¿Qué impulsó esta decisión de diseño, y cómo garantiza que las soluciones que propone sean explicables y confiables en la práctica?

Creamos este enfoque de multi-agente mirando cómo los humanos desarrollan la experiencia y aplicando ese mismo principio a la IA. Para ser un experto en algo, un desarrollador necesita ser un experto en el lenguaje, la arquitectura específica y la organización específica. Un solo desarrollador no puede solucionar todos los problemas, y por la misma lógica, un solo agente de IA tampoco puede alcanzar ese nivel de experiencia. Además, quieres un agente que pueda manejar la garantía de calidad.

Así que cada agente desarrolla una profunda experiencia en su dominio específico, al igual que los especialistas humanos.

Para la confiabilidad y la explicabilidad, cada agente no solo propone soluciones, sino que también explica su razonamiento, muestra su trabajo y permite a los desarrolladores entender exactamente por qué se eligió una solución particular.

¿Qué lo llevó a centrarse en la remediación de un solo clic directamente dentro de los flujos de trabajo de los desarrolladores? ¿Y cómo garantiza que los desarrolladores mantengan el control y no encuentren efectos secundarios no deseados?

La idea principal es reducir la fricción y mejorar las soluciones de seguridad. Les damos a los desarrolladores el control total para revisar y validar la solución propuesta antes de aceptarla.

La clave es que “un solo clic” no significa “automático”, significa optimizado. Los desarrolladores pueden ver exactamente qué se cambiará, entender por qué, revisar la solución propuesta y luego elegir aplicarla con una sola acción. El control y la toma de decisiones permanecen completamente en sus manos, pero eliminamos el tedioso trabajo manual de investigar e implementar la solución.

Cuenta con Microsoft, IBM y SoFi entre sus clientes. ¿Cómo dan forma a su hoja de ruta y proceso de retroalimentación para herramientas como Agent OX?

Trabajamos con cientos de clientes, y decenas de ellos comparten abiertamente con nosotros los desafíos que enfrentan. Estas discusiones profundas sobre patrones de diseño y hoja de ruta son la base de nuestra capacidad para afinar la solución propuesta. Valoramos enormemente las relaciones que tenemos con nuestros clientes y las consideramos una prioridad para nosotros como empresa, y que nos guía a medida que entendemos las necesidades del mundo real y creamos soluciones para abordarlas.

A medida que las herramientas de seguridad de IA se vuelven más mainstream, ¿cómo equilibra la automatización con la confianza y el control de los desarrolladores? ¿Dónde dibuja la línea entre asistente y autónomo?

Como hemos visto en revoluciones anteriores, aquellos que no se suben al carro no sobreviven. Estamos comenzando a ver organizaciones con las que trabajamos que han trasladado todos sus recursos a la adopción de IA porque entienden que estamos presenciando una revolución.

Estos son en realidad nuestros clientes más colaborativos porque están enfrentando una nueva tensión no cartografiada: sus desarrolladores necesitan moverse rápidamente con herramientas de IA, pero están preocupados por perder el control. Están dispuestos a aceptar el riesgo y la pérdida temporal de control para ganar una ventaja competitiva, pero necesitan que los ayudemos a recuperar la confianza. Nuestro trabajo es permitirles la velocidad que necesitan, mientras reconstruyen la confianza en el proceso.

Recientemente cerró una ronda de financiación de $60M en Serie B. ¿Cómo acelerará esta financiación la próxima fase de crecimiento de OX, ya sea en el lado técnico, de marketing o de expansión internacional?

La nueva financiación se centra fundamentalmente en la expansión y también nos ayudará a mejorar nuestras capacidades para identificar riesgos derivados del código generado por IA, que ahora estamos empezando a ver con el lanzamiento de Agent OX.

Ya estamos analizando más de 100 millones de líneas de código diariamente para más de 200 clientes que pagan. Esta financiación nos permite ampliar ese impacto a nivel global, manteniendo nuestro enfoque en las preguntas básicas que siempre nos han guiado: “¿Ayuda esto a los desarrolladores a centrarse en lo que importa? ¿Reduce esto el riesgo?”

Gracias por la gran entrevista, los lectores que deseen aprender más pueden visitar OX Security.

mm

Antoine es un líder visionario y socio fundador de Unite.AI, impulsado por una pasión inquebrantable por dar forma y promover el futuro de la IA y la robótica. Un empresario serial, cree que la IA será tan disruptiva para la sociedad como la electricidad, y a menudo se le escucha hablando con entusiasmo sobre el potencial de las tecnologías disruptivas y la AGI. Como un futurista, está dedicado a explorar cómo estas innovaciones darán forma a nuestro mundo. Además, es el fundador de Securities.io, una plataforma enfocada en invertir en tecnologías de vanguardia que están redefiniendo el futuro y remodelando sectores enteros.