Connect with us

Haastattelut

Nir Valtman, toimitusjohtaja ja perustaja Arnica – Haastattelusarja

mm
Published
Updated

Nir Valtman on toimitusjohtaja ja perustaja Arnica-yrityksessä, joka on alusta, joka mahdollistaa yritysten proaktiivisen suojaamisen ohjelmistotoimitusketjusta riskejä automatisoimalla päivittäiset turvallisuustoiminnot ja antamalla kehittäjille mahdollisuuden omistaa turvallisuus ilman riskejä tai kompromisseja nopeuden suhteen.

Mikä alun perin veti sinut kyberturvaan?

Kasvoin hakkerointiajattelulla. Aloin tuhoamalla tietokonelaboratorion ensimmäisellä ohjelmointikurssilla ja murtautumalla muihin tietokoneisiin vain vähäisen ohjelmointitaidon kanssa, kaikki 13-vuotiaana. Kun liityin Israelin armeijaan, sain käytännön koulutuksen turvallisuuden puolustavasta puolesta, mikä lopulta johti ammattiuraani kyberturva-alalla.

Voitko kertoa Arnican syntytarinan?

Ennen Arnicaa työskentelin Finastrassa, maailman kolmanneksi suurimassa FinTech-yrityksessä, turvallisuuden varapuheenjohtajana. Kuuluisan Solarwindsin tomun oli vasta asettunut, ja meidän CEO pyysi minulta, miten voimme minimoida riskin joutua ohjelmistotoimitusketjun hyökkäyksen kohteeksi. Teimme kattavan arvion yrityksistä, jotka rakentavat ratkaisuja tässä tilassa, ja teimme joitakin niistä proof of concept -testejä. Yksikään näistä valmistajista ei ollut hyvä vastine sille, mitä etsimme: kattava kattavuus, aktiivinen riskien minimointi ja hyvä kehittäjäkokemus. Erityisesti kehittäjäkokemus oli kriittinen, sillä mikä tahansa ratkaisu, jonka asetin kehittäjille, joka häiritsi heidän työkiertojaan, olisi hylätty, ja olisimme palanneet nollapisteeseen.

Ilman ratkaisun löytymistä, päättelin tutkia jokaista ohjelmistotoimitusketjun hyökkäystä, joka oli tapahtunut viimeisen 5 vuoden aikana, muodostaakseen ymmärryksen avainoireista ja siitä, miten niitä voidaan ehkäistä. Samalla keskustelin kahden ystävän, Eran Medanin (CTO) ja Diko Dahanin (COO) kanssa, jotka olivat laajasti kehittämis- ja operaatiokokemusta. Eran ja Diko ilmaisivat samanlaisia haasteita ratkaisun löytämisessä – Diko tekniseltä puolelta, ja Eran kehittämiseltä puolelta. Koska kaikki me olimme tyhjän päällä ratkaisun suhteen, kehitimme hypoteesin siitä, miltä ratkaisu pitäisi näyttää. Suorittelimme kymmeniä validointipuheluita turvallisuuden, operaatioiden ja insinöörijohtajien kanssa, jotka vahvistivat sekä ongelman että hypoteesimme tarvittavasta ratkaisusta. Pikanäppäin elokuuhun 2021, ja olimme perustaneet Arnican.

Arnica tarjoaa loppupään käyttäytymisperusteisen turvallisuuden, voitko määritellä, mitä käyttäytymisperusteinen turvallisuus on?

Jos joku antaisi sinulle käsin kirjoitetun muistion ja sanoi, että sinä kirjoitit sen, luultavasti voit sanoa, onko se todella sinun kirjoittamasi. Jos esimerkiksi käsin kirjoitettu muisti ei ole sinun, muisti on päivätty ennen sinun syntymääsi, ja se on kirjoitettu ranskaksi (jota et osaa puhua tai kirjoittaa), olisi selvää, ettei sinä ole kirjoittanut sitä. Otamme samanlaisen lähestymistavan koodiin, paitsi että rakennamme profiilin kullekin kehittäjälle, joka koostuu tuhansista tekijöistä (tunnetaan myös ominaisuuksina koneoppimisessa). Havainnoimalla kehittäjien taipumuksia ja käyttäytymistä, voimme estää riskejä, jotka poikkeavat heidän normaalista kehittämisestä. Tämä auttaa meitä estämään tilin kaappauksia, sisäisiä uhkia ja muita riskejä, jotka liittyvät ohjelmistokehitykseen.

Voitko keskustella siitä, miten alusta tunnistaa kehittäjien työskentelytapojen nuansseja?

Arnica hyödyntää historiallista audit- ja koodin muutosaktiviteettia luodakseen käyttäytymisjäljen kullekin kehittäjälle. Tämä jälki edustaa kehittäjän tunnettua ja odotettua käyttäytymistä, kuten lupausten käyttöä, koodaustyylia, commit-kieltä ja kehittämiskäytäntöjä. Voimme vertailla kaikkea tulevaa toimintaa tähän jälkeen määrittääksemme todennäköisyyden, että tuleva koodi tulee tästä kirjoittajasta.

Mitä tapahtuu, kun järjestelmä merkitsee epätyypillisen käyttäytymisen?

Aina pyrimme maksimoimaan turvallisuuden arvoa ja samalla eliminoimaan kehittäjien kitkaa. Kun Arnica havaitsee epätyypillisen käyttäytymisen kehittäjätililtä, merkitsemme sen Arnicaan ja lähetämme automaattisesti lisäinen todennus kehittäjälle suoraan chat-työkalun kautta, ja turvallisuustiimille määritettyjen käytäntöjen mukaan.

MITEN Arnica auttaa koodin tarkastuksessa?

Arnica tarjoaa reaaliaikaiset ilmoitukset kehittäjille, kun he työntävät koodimuutoksia, vähentäen riskien määrää, jotka pääsevät pull-pyyntöihin. Niille riskeille, jotka pääsevät pull-pyyntöihin, Arnica esittää automaattisia kooditarkastuksia. Kun riskejä havaitaan, Arnica kommentoi riskien yksityiskohtia ja niiden torjuntayhteystiedot kullekin riskille. Arnica voi myös estää automaattisesti yhdistämisen, kun riskejä on olemassa, estäen niiden pääsyn tuotantokoodiin.

Arnica mahdollistaa myös haavoittuvien 3. osapuolien riippuvuuksien tunnistamisen, voitko keskustella siitä, miten tämä toimii kehittäjille?

Arnica skannaa kaikki kolmannen osapuolen paketit ja riskit koodin työntökohtaan, ja ilmoittaa kehittäjille suoraan ChatOpsin kautta, kun he käyttävät haavoittuvuuksia sisältäviä versioita tai esittävät matalan maineen paketin koodipohjaan.

Mitkä ovat joitakin muita toimintoja, joita Arnica-alusta tarjoaa?

Arnica on keskittynyt tarjoamaan alustan sovellusten turvallisuustiimille saada näkyvyys kaikkiin ohjelmistotoimitusketjun riskeihin, priorisoida näitä riskejä ja estää uusia riskejä ja korjata olemassa olevia riskejä. Tarjoamme tämän kyvyn laajalla riskiluokkien joukolla, mukaan lukien liialliset kehittäjien luvat, koodiriskit, jotka johtuvat SAST (Static Application Security Testing) ja IaC (Infrastructure as Code) skannauksesta, kovakoodatut salaisuudet, kolmannen osapuolen riippuvuudet ja paljon muuta.

Onko mitään muuta, mitä haluaisit jakaa Arnicaista?

Arnicassa, niin paljon kuin kehitämme sovelluksen ja toimitusketjun turvallisuusratkaisuja, ajattelemme itseämme kehittäjäkokemusyhtiönä. Haluamme tehdä turvallisuuden ratkaisemisesta helpon ja miellyttävän kokemuksen. Otetaan esimerkiksi salaisuuden torjuntaratkaisumme. Tunnistamme salaisuuden koodin työntökohtaan, validoidaan sen ja lähetämme ilmoituksen kehittäjälle heidän chat-työkalunsa kautta. Ilmoitus antaa kehittäjälle painikkeen – “Korjaa se minulle” – joka poistaa salaisuuden koko git-historiasta ilman, että kehittäjän on kirjoitettava yhtään git-komentoa. Vain yksi napsautus.

Uskomme, että jos voimme tehdä turvallisuudesta helpon ja miellyttävän osan kehittäjäkokemuksesta, jokainen organisaatio, joka käyttää Arnicaa, on paremmassa asemassa.

Kiitos haastattelusta, lukijat, jotka haluavat oppia lisää, voivat vierailla Arnica-sivustolla.

Related Topics:
mm

Antoine on visionäärinen johtaja ja Unite.AI:n perustajakumppani, jota ohjaa horjumaton intohimo muokata ja edistää tulevaisuuden tekoälyä ja robottiikkaa. Sarjayrittäjänä hän uskoo, että tekoäly tulee olemaan yhtä mullistava yhteiskunnalle kuin sähkö, ja hänestä usein kuuluu ylistyksiä mullistavien teknologioiden ja AGI:n mahdollisuuksista.
Hänen ollessaan futuristi, hän on omistautunut tutkimiseen, miten nämä innovaatiot muokkaavat maailmaamme. Lisäksi hän on Securities.io:n perustaja, joka on alusta, joka keskittyy sijoittamiseen uraauurtaviin teknologioihin, jotka määrittelevät uudelleen tulevaisuuden ja muokkaavat koko sektoreita.