škrbina Nir Valtman, izvršni direktor i osnivač tvrtke Arnica - serija intervjua - Unite.AI
Povežite se s nama
   Intervjui  
Nir Valtman, izvršni direktor i osnivač tvrtke Arnica – serija intervjua
 mm
Objavljeno
 Prije 11 mjeseci
 on
   
 
Nir Valtman je izvršni direktor i osnivač u Arnika, platforma koja omogućuje tvrtkama da proaktivno zaštite lanac nabave softvera od rizika automatiziranjem svakodnevnih sigurnosnih operacija i osnaživanjem programera da posjeduju sigurnost bez izlaganja rizicima ili ugrožavanja brzine.
Što vas je u početku privuklo kibernetičkoj sigurnosti?
Odrastao sam s hakerskim načinom razmišljanja. Počeo sam tako što sam uništio računalni laboratorij na svom prvom tečaju kodiranja i hakirao druga računala s vrlo malo vještina kodiranja, a sve to kad sam imao 13 godina. Kad sam se pridružio vojsci u Izraelu, stekao sam praktično obrazovanje o obrambenoj strani sigurnosti, što je u konačnici dovelo do moje profesionalne karijere u kibersigurnosti. 
Možete li podijeliti priču o nastanku Arnice?
Prije Arnice radio sam u Finastri, trećoj najvećoj globalnoj FinTech tvrtki, kao potpredsjednik sigurnosti. Prašina oko zloglasnih Solarwindsa tek se slegla i naš glavni izvršni direktor me pitao kako možemo minimizirati rizik od utjecaja napada na lanac nabave softvera. Napravili smo sveobuhvatnu evaluaciju tvrtki koje grade rješenja u ovom prostoru, od kojih smo s nekima napravili dokaz koncepata. Nijedan od dobavljača nije odgovarao onome što smo tražili: sveobuhvatnu pokrivenost, aktivno ublažavanje rizika i sjajno iskustvo programera. Konkretno, aspekt iskustva programera bio je kritičan jer bi bilo koje rješenje koje sam nametnuo programerima, a koje bi poremetilo njihov tijek rada, bilo odbijeno i vratili bismo se na početak. 
Bez da sam pronašao rješenje, odlučio sam istražiti svaki napad na lanac nabave softvera koji se dogodio u posljednjih 5 godina kako bih stekao razumijevanje ključnih simptoma i kako ih spriječiti. U isto vrijeme razgovarao sam s dvojicom prijatelja, Eranom Medanom (CTO) i Dikom Dahanom (COO), koji su imali veliko iskustvo u razvoju i vođenju operacija. Eran i Diko izrazili su slične izazove u pronalaženju rješenja – Diko iz tehnološke perspektive, a Eran iz razvojne perspektive. S obzirom na to da smo svi bili bez rješenja, razvili smo hipotezu o tome kako bi rješenje trebalo izgledati. Obavili smo desetke validacijskih poziva s voditeljima sigurnosti, operacija i inženjeringa, koji su potvrdili i problem i našu hipotezu o potrebnom rješenju. Premotajte nekoliko mjeseci do kolovoza 2021. i suosnivali smo Arnicu. 
Arnica pruža end-to-end sigurnost temeljenu na ponašanju, možete li definirati što je sigurnost temeljena na ponašanju?
Kad bi vam netko dao rukom napisanu bilješku i rekao vam da ste je vi napisali, vjerojatno biste mogli znati jeste li je doista napisali vi. Ako, na primjer, rukopis nije vaš, bilješka je datirana prije vašeg rođenja i napisana je na francuskom (koji ne znate govoriti ni pisati), bilo bi jasno da vi niste autor. Imamo sličan pristup kodu, osim što gradimo profil svakog programera koji se sastoji od tisuća faktora (također poznatih kao značajke u strojnom učenju). Promatrajući tendencije i ponašanje programera, možemo zaustaviti rizike koji odstupaju od njihovih normalnih obrazaca razvoja. To nam pomaže zaustaviti preuzimanje računa, prijetnje iznutra i druge rizike povezane s razvojem softvera. 
Možete li raspraviti o tome kako platforma može identificirati nijanse rada svakog programera?
Arnica koristi povijesnu reviziju i aktivnost doprinosa kodu za generiranje bihevioralnog otiska prsta za svakog programera. Ovaj otisak prsta predstavlja poznato i očekivano ponašanje razvojnog programera pri upotrebi dopuštenja, stil kodiranja, jezik predaje i razvojne prakse. Zatim smo u mogućnosti usporediti sve buduće aktivnosti s ovim otiskom prsta kako bismo utvrdili vjerojatnost da budući kod dolazi od ovog autora.
Što se događa kada sustav označi nenormalno ponašanje?
Uvijek nastojimo maksimizirati sigurnosnu vrijednost i, u isto vrijeme, eliminirati trvenje u razvoju. Kada Arnica otkrije nepravilno ponašanje s računa razvojnog programera, mi to označavamo u Arnici i automatski šaljemo dodatnu autentifikaciju kroz izravni chat dotičnom programeru i sigurnosnom timu na temelju vaše konfiguracije pravila.
Kako Arnica pomaže u reviziji koda?
Arnica pruža obavijesti u stvarnom vremenu programerima kada guraju promjene koda, smanjujući broj rizika koji dopiru do zahtjeva za povlačenjem. Za one rizike koji dođu do zahtjeva za povlačenjem, Arnica uvodi automatizirane provjere koda na PR-ovima. Kada se rizici lociraju, Arnica daje komentare s detaljima rizika i kontekstom ublažavanja za svaki rizik. Arnica također može automatski blokirati spajanja tamo gdje postoje rizici, sprječavajući ih da dođu do proizvodnog koda.
Arnica također omogućuje identifikaciju ranjivih ovisnosti treće strane, možete li raspraviti kako to funkcionira za programere?
Arnica skenira sve pakete trećih strana i rizike pri svakom pushu koda i obavještava programere izravno putem ChatOpsa kada koriste verzije s ranjivostima ili uvedu paket niske reputacije u bazu koda. 
Koje su neke od drugih funkcionalnosti koje nudi platforma Arnica?
Arnica je usredotočena na pružanje platforme timovima za sigurnost aplikacija kako bi dobili uvid u sve rizike u lancu opskrbe softvera, kako bi mogli odrediti prioritet tih rizika i kako bi mogli jednostavno zaustaviti nove rizike i popraviti postojeće rizike. Pružamo ovu mogućnost u širokom rasponu kategorija rizika uključujući pretjerana dopuštenja programera, rizike koda koji proizlaze iz SAST (Static Application Security Testing) i IaC (Infrastructure as Code) skeniranja, tvrdo kodirane tajne, ovisnosti trećih strana i više. 
Postoji li još nešto što biste željeli podijeliti s Arnikom?
U Arnici, bez obzira na to što razvijamo sigurnosna rješenja za aplikacije i lanac opskrbe, o sebi razmišljamo kao o tvrtki s iskustvom programera. Želimo učiniti rješavanje sigurnosnih problema besprijekornim i ugodnim iskustvom. Uzmimo za primjer naše tajno rješenje za ublažavanje. Identificiramo tajnu pri pushu koda, potvrđujemo je i šaljemo obavijest programeru u njegovom alatu za chat po izboru. Obavijest razvojnom programeru daje gumb - "Popravi to umjesto mene" - koji eliminira tajnu iz cijele povijesti git-a, a da programer ne mora pisati bilo kakve git naredbe. Samo klik. 
Vjerujemo da će svaka organizacija koja koristi Arnicu biti u boljem položaju ako sigurnost učinimo lakim i ugodnim dijelom razvojnog iskustva.  
Hvala vam na sjajnom intervjuu, čitatelji koji žele saznati više neka ga posjete Arnika.
       
 Srodne teme:
 mm
Osnivač unite.AI i član udruge Forbesovo tehnološko vijeće, Antoine je a futurist koji je strastven prema budućnosti umjetne inteligencije i robotike.
Također je i osnivač Vrijednosni papiri.io, web stranica koja se fokusira na ulaganje u disruptivnu tehnologiju.