Suivez nous sur

Shikhil Sharma, cofondateur et PDG d'Astra Security – Série d'entretiens

Interviews

Shikhil Sharma, cofondateur et PDG d'Astra Security – Série d'entretiens

mm
Publié

Shikhil Sharma est le fondateur d'Astra Security, une plateforme de tests d'intrusion en continu. Au tout début de sa carrière, Shikhil a conseillé un certain nombre d'entreprises, de startups et de banques sur la cybersécurité. Après avoir aidé certaines grandes entreprises à sécuriser leurs sites Web et leurs applications, Shikhil a constaté à quel point les tests d'intrusion traditionnels étaient inefficaces et a fondé Astra Security pour aider à combler ce manque d'efficacité. Il se soucie profondément de créer des produits qui créent des habitudes et de concevoir des campagnes de marketing intuitives.

Sécurité Astra récemment levé $ 2.7 millions pour révolutionner la cybersécurité avec des tests d'intrusion pilotés par l'IA.

Votre parcours a débuté par des missions de conseil en cybersécurité auprès d'entreprises et de banques. Quelles lacunes avez-vous identifiées dans les tests d'intrusion traditionnels qui ont conduit à la création d'Astra Security ?

Un pentest traditionnel est souvent réalisé sous forme d'exercice ponctuel, généralement déclenché par des exigences réglementaires ou lorsqu'une vulnérabilité est suspectée, ce qui rend les applications vulnérables aux piratages pendant une période prolongée entre deux pentests. Les pentests traditionnels, axés sur les services, submergent souvent les clients avec des rapports de 500 pages remplis de jargon mais manquant d'informations exploitables.

La communication est généralement peu structurée, ce qui frustre les parties prenantes, les développeurs, les directeurs techniques, les RSSI et même les testeurs d'intrusion en raison du manque de collaboration transparente et de directives claires en matière de correction. L'IA augmentant la vitesse à laquelle le nouveau code est mis en production, l'approche traditionnelle des tests d'intrusion ne parvient pas à suivre. Cela nous a conduit à créer Astra Security, une plateforme de tests d'intrusion offensifs continus.

Astra Security a pour objectif de rendre la cybersécurité « ultra simple » pour les PME. En quoi votre approche se distingue-t-elle des solutions de sécurité traditionnelles du marché ?

Les PME ont besoin d'une sécurité simple et efficace qui ne les ralentit pas. C'est là qu'Astra Security se démarque. Notre approche est axée sur la facilité d'utilisation, l'automatisation, les informations exploitables et la sécurité continue à grande échelle. Tous les quelques mois, un nouvel acronyme d'outils allant de CSPM, SSPM, CTEM et ASPM fait son apparition, que les entreprises de taille moyenne ont du mal à suivre. Chez Astra, nous proposons des fonctionnalités de chacun de ces outils sans les nommer de manière sophistiquée, afin de maintenir la convivialité de la plateforme.

Notre plateforme s'intègre directement dans le pipeline CI/CD, fournissant des alertes en temps réel et des corrections guidées afin que les équipes sans experts en sécurité dédiés puissent rester protégées.

Quelles sont les fonctionnalités de sécurité basées sur l’IA les plus innovantes développées par Astra pour garder une longueur d’avance sur les cybercriminels ?

Le moteur de sécurité offensive d'Astra, basé sur l'IA, est conçu pour détecter, corréler et corriger les vulnérabilités à grande échelle. Notre plateforme analyse en continu l'infrastructure en exploitant des simulations d'attaques pilotées par l'IA via la modélisation des menaces, imitant les tactiques de piratage du monde réel pour découvrir même les menaces les plus sophistiquées. Nous proposons un bot convivial, « Astranaut », qui dispose du contexte de chaque vulnérabilité dans la pile du client et aide les développeurs à corriger rapidement les vulnérabilités.

Astra Security propose des « tests d’intrusion continus ». En quoi ces tests diffèrent-ils des tests d’intrusion traditionnels et pourquoi ce changement est-il nécessaire ?

La plateforme de tests d'intrusion en continu d'Astra rend la sécurité en temps réel et proactive, contrairement aux tests ponctuels traditionnels. Notre plateforme basée sur l'IA analyse en continu l'infrastructure, détecte les vulnérabilités et simule des attaques réelles, en fournissant des alertes instantanées, une hiérarchisation des risques et une correction pilotée par l'IA afin que les développeurs puissent résoudre les problèmes plus rapidement. Les cybermenaces évoluant quotidiennement, les entreprises ne peuvent pas se permettre d'attendre des mois avant le prochain test. Astra combine l'automatisation de l'IA avec la validation par des experts, garantissant une protection 24h/7 et XNUMXj/XNUMX et une exposition réduite aux risques.

Votre plateforme a identifié plus de 110,000 XNUMX vulnérabilités par mois. Pouvez-vous nous faire part de vos réflexions sur certaines des vulnérabilités les plus surprenantes ou les plus critiques que vous avez découvertes ?

Le nombre rĂ©el de vulnĂ©rabilitĂ©s que nous identifions chaque mois est supĂ©rieur Ă  200,000 XNUMX. Nous constatons toujours que les attaques par injection, comme les attaques SQL et les attaques par script, qui existent depuis des annĂ©es, figurent parmi les principales dĂ©couvertes sur notre plateforme. Étonnamment, les contrĂ´les d'accès dĂ©faillants sont rĂ©pandus et de nombreuses applications y sont vulnĂ©rables. Nous avons pu le constater Ă  grande Ă©chelle après avoir lancĂ© en interne un module de scanner de contrĂ´le d'accès dĂ©faillant en version bĂŞta. Une autre chose qui nous surprend est le nombre de fois oĂą des clĂ©s secrètes involontairement sont impliquĂ©es dans le code destinĂ© aux clients, de Stripe Ă  Slack, en passant par les clĂ©s des fournisseurs de services de messagerie Ă©lectronique. Nous avons tout vu.

Quel rôle jouent les chercheurs en sécurité humaine dans la plateforme de pentesting basée sur l'IA d'Astra ? Comment l'automatisation et l'expertise humaine se complètent-elles ?

Chez Astra, l'automatisation de l'IA et les experts en sécurité d'Astra travaillent main dans la main pour fournir des évaluations de sécurité précises, exploitables et en temps réel. Alors que l'IA accélère la détection des vulnérabilités et automatise les simulations d'attaques, nos chercheurs en sécurité apportent un contexte approfondi, une validation et une analyse innovante, garantissant qu'aucune faille critique ne passe inaperçue. Nous pensons que les pentesters ont désormais un rôle encore plus important à jouer et qu'ils n'ont plus besoin de passer du temps à signaler encore et encore les vulnérabilités les plus faciles à détecter, mais à se concentrer davantage sur les attaques potentielles critiques réelles.

Alors que les environnements cloud deviennent de plus en plus complexes, comment Astra Security évolue-t-il pour protéger les infrastructures SaaS et cloud modernes ?

Notre plateforme analyse de manière proactive les charges de travail, les API et les identités dans le cloud, détectant les erreurs de configuration, les risques d'escalade des privilèges et les vecteurs d'attaque réels. Astra garantit que les entreprises peuvent évoluer en toute sécurité, sans compromettre leur agilité, grâce à des intégrations cloud approfondies, des contrôles de conformité automatisés et une sécurité intégrée dans les pipelines CI/CD.

Vous avez participé à des programmes de chasse aux bugs très médiatisés. Quelle a été votre découverte de vulnérabilité la plus mémorable ?

L'une des vulnérabilités les plus mémorables découvertes au cours de mon programme de chasse aux bugs a été l'identification d'une attaque critique de contournement et d'injection d'authentification sur une importante plateforme de marché. La faille permettait aux attaquants d'accéder aux comptes d'utilisateurs sans identifiants valides, exposant potentiellement des données financières sensibles. Ce qui a rendu cette découverte remarquable, c'est son impact dans le monde réel : si elle avait été exploitée, elle aurait pu conduire à une fraude financière à grande échelle. Une divulgation responsable a permis de garantir que la vulnérabilité a été corrigée avant que des dommages ne surviennent.

Vous êtes activement impliqué dans la cybersécurité et vous prenez souvent la parole lors d'événements sectoriels. Quel rôle joue l'engagement communautaire dans la définition de la mission d'Astra ?

L'engagement communautaire est essentiel à la mission d'Astra. L'interaction avec les professionnels de la sécurité, les développeurs et les RSSI nous aide à comprendre les défis émergents de première main. Ces informations influencent directement nos innovations de produits, garantissant que nous construisons des solutions non seulement à la pointe de la technologie, mais également pratiques, efficaces et adaptées aux besoins du secteur. Chez Astra, nous avons créé The 403 Circle, notre communauté exclusive de plus de 100 directeurs techniques et RSSI, où les responsables de la sécurité partagent leurs expériences, échangent des idées et recherchent des conseils auprès de leurs pairs en première ligne de la cybersécurité.

Où voyez-vous Astra Security dans cinq ans et quelle est votre vision ultime de son impact sur le secteur de la cybersécurité ?

Dans cinq ans, Astra sera à l’avant-garde de la sécurité offensive pilotée par l’IA, faisant des tests d’intrusion continus la norme du secteur. Notre objectif est d’éliminer l’approche traditionnelle et réactive de la sécurité en fournissant aux entreprises un moteur de sécurité automatisé et intelligent qui détecte, hiérarchise et aide à corriger les vulnérabilités en temps réel. Astra façonnera l’avenir de la cybersécurité proactive, en aidant les entreprises à passer des tests de sécurité périodiques à une protection permanente, alimentée par l’IA, qui évolue avec elles.

Merci pour cette excellente interview, les lecteurs qui souhaitent en savoir plus devraient visiter Sécurité Astra.

Rubriques connexes:
mm

Antoine est un leader visionnaire et partenaire fondateur d'Unite.AI, animé par une passion inébranlable pour façonner et promouvoir l'avenir de l'IA et de la robotique. Entrepreneur en série, il croit que l'IA sera aussi perturbatrice pour la société que l'électricité, et on le surprend souvent en train de s'extasier sur le potentiel des technologies disruptives et de l'AGI.

En tant que joueur futuriste, il se consacre à l'exploration de la manière dont ces innovations façonneront notre monde. En outre, il est le fondateur de Titres.io, une plateforme axée sur l’investissement dans les technologies de pointe qui redéfinissent l’avenir et remodèlent des secteurs entiers.