Connect with us

Entrevistas

Nir Valtman, CEO y Fundador en Arnica – Serie de Entrevistas

mm
Published
Updated

Nir Valtman es el CEO y Fundador en Arnica, una plataforma que permite a las empresas proteger proactivamente la cadena de suministro de software contra los riesgos al automatizar las operaciones de seguridad diarias y al empoderar a los desarrolladores para que sean dueños de la seguridad sin incurrir en riesgos o comprometer la velocidad.

¿Qué te atrajo inicialmente a la ciberseguridad?

Crecí con una mentalidad de hacking. Empecé destruyendo el laboratorio de computación en mi primer curso de codificación y hackeando otras computadoras con muy pocas habilidades de codificación, todo cuando tenía 13 años. Cuando me uní al servicio militar en Israel, recibí una educación práctica en el lado defensivo de la seguridad, lo que finalmente me llevó a mi carrera profesional en ciberseguridad.

¿Puedes compartir la historia de la génesis detrás de Arnica?

Antes de Arnica, trabajé en Finastra, la tercera empresa de FinTech más grande a nivel mundial, como VP de Seguridad. El polvo del famoso Solarwinds apenas se había asentado y nuestro CEO me preguntó cómo podríamos minimizar el riesgo de ser afectados por un ataque a la cadena de suministro de software. Realizamos una evaluación exhaustiva de las empresas que estaban construyendo soluciones en este espacio, con algunas de las cuales realizamos pruebas de concepto. Ninguno de los proveedores era un buen ajuste para lo que estábamos buscando: cobertura integral, mitigación activa de riesgos y una gran experiencia para los desarrolladores. En particular, el aspecto de la experiencia del desarrollador era crítico porque cualquier solución que impusiera a los desarrolladores que interrumpiera sus flujos de trabajo sería rechazada y estaríamos de vuelta en la casilla de salida.

Sin haber encontrado una solución, decidí investigar cada ataque a la cadena de suministro de software que había tenido lugar en los últimos 5 años para formar una comprensión de los síntomas clave y cómo prevenirlos. Al mismo tiempo, hablé con dos amigos, Eran Medan (CTO) y Diko Dahan (COO), que tenían una amplia experiencia en liderazgo de desarrollo y operaciones. Eran y Diko expresaron desafíos similares para encontrar una solución – Diko desde una perspectiva de operaciones técnicas, y Eran desde una perspectiva de desarrollo. Dado que todos estábamos vacíos en cuanto a una solución, desarrollamos una hipótesis de cómo debería ser una solución. Realizamos decenas de llamadas de validación con líderes de seguridad, operaciones e ingeniería, que validaron tanto el problema como nuestra hipótesis sobre la solución necesaria. Avanzando unos meses hasta agosto de 2021, habíamos cofundado Arnica.

Arnica proporciona seguridad basada en comportamiento de extremo a extremo, ¿puedes definir qué es la seguridad basada en comportamiento?

Si alguien te diera una nota manuscrita y te dijera que la escribiste, probablemente podrías decir si en realidad la escribiste. Si, por ejemplo, la caligrafía no es tuya, la nota está fechada antes de que nacieras y está escrita en francés (que no sabes hablar ni escribir), estaría claro que no eres el autor. Tomamos un enfoque similar con el código, excepto que construimos un perfil de cada desarrollador que está compuesto por miles de factores (también conocidos como características en aprendizaje automático). Al observar las tendencias y el comportamiento de los desarrolladores, podemos detener riesgos que se desvían de sus patrones de desarrollo normales. Esto nos ayuda a detener la toma de cuentas, las amenazas internas y otros riesgos asociados con el desarrollo de software.

¿Puedes discutir cómo la plataforma puede identificar las sutilezas de cómo trabaja cada desarrollador?

Arnica aprovecha la auditoría histórica y la actividad de contribución de código para generar una huella digital de comportamiento para cada desarrollador. Esta huella digital representa el comportamiento conocido y esperado del uso de permisos del desarrollador, estilo de codificación, lenguaje de compromiso y prácticas de desarrollo. Podemos comparar toda la actividad futura con esta huella digital para determinar la probabilidad de que el código futuro provenga de este autor.

¿Qué sucede una vez que el sistema marca un comportamiento anómalo?

Siempre nos esforzamos por maximizar el valor de seguridad y, al mismo tiempo, eliminar la fricción en el desarrollo. Cuando Arnica detecta un comportamiento anómalo desde una cuenta de desarrollador, lo marca en Arnica y envía automáticamente una autenticación adicional a través de un chat directo al desarrollador en cuestión y al equipo de seguridad según la configuración de la política.

¿Cómo ayuda Arnica con la auditoría de código?

Arnica proporciona notificaciones en tiempo real a los desarrolladores cuando realizan cambios en el código, reduciendo el número de riesgos que llegan a las solicitudes de extracción. Para aquellos riesgos que llegan a las solicitudes de extracción, Arnica introduce comprobaciones de código automatizadas en las solicitudes de extracción. Cuando se encuentran riesgos, Arnica comenta con los detalles del riesgo y el contexto de mitigación para cada riesgo. Arnica también puede bloquear automáticamente las fusiones donde existen riesgos, evitando que lleguen al código de producción.

Arnica también permite la identificación de dependencias de terceros vulnerables, ¿puedes discutir cómo funciona esto para los desarrolladores?

Arnica escanea todos los paquetes de terceros y riesgos en cada envío de código, y notifica a los desarrolladores directamente a través de ChatOps cuando utilizan versiones con vulnerabilidades o introducen un paquete de baja reputación en la base de código.

¿Cuáles son algunas de las otras funcionalidades que ofrece la plataforma Arnica?

Arnica se centra en proporcionar una plataforma para que los equipos de seguridad de aplicaciones obtengan visibilidad en todos los riesgos de la cadena de suministro de software, para poder priorizar esos riesgos y para poder detener fácilmente nuevos riesgos y solucionar riesgos existentes. Ofrecemos esta capacidad en una amplia gama de categorías de riesgos, incluyendo permisos de desarrollador excesivos, riesgos de código resultantes de pruebas de seguridad de aplicaciones estáticas (SAST) y escaneo de infraestructura como código (IaC), secretos codificados, dependencias de terceros y más.

¿Hay algo más que te gustaría compartir sobre Arnica?

En Arnica, tanto como desarrollamos soluciones de seguridad de aplicaciones y cadena de suministro, nos consideramos una empresa de experiencia del desarrollador. Queremos hacer que resolver problemas de seguridad sea una experiencia fluida y agradable. Tomemos, por ejemplo, nuestra solución de mitigación de secretos. Identificamos el secreto en el envío de código, lo validamos y enviamos una notificación al desarrollador en su herramienta de chat preferida. La notificación le da al desarrollador un botón – “Solucionarlo para mí” – que elimina el secreto de toda la historia de git sin que el desarrollador tenga que escribir ningún comando git. Solo un clic.

Creemos que si podemos hacer que la seguridad sea una parte fácil y agradable de la experiencia de desarrollo, todas las organizaciones que utilicen Arnica estarán mejor.

Gracias por la gran entrevista, los lectores que deseen aprender más deben visitar Arnica.

Related Topics:
mm

Antoine es un líder visionario y socio fundador de Unite.AI, impulsado por una pasión inquebrantable por dar forma y promover el futuro de la IA y la robótica. Un empresario serial, cree que la IA será tan disruptiva para la sociedad como la electricidad, y a menudo se le escucha hablando con entusiasmo sobre el potencial de las tecnologías disruptivas y la AGI. Como un futurista, está dedicado a explorar cómo estas innovaciones darán forma a nuestro mundo. Además, es el fundador de Securities.io, una plataforma enfocada en invertir en tecnologías de vanguardia que están redefiniendo el futuro y remodelando sectores enteros.