Seguici sui social

interviste

Neatsun Ziv, co-fondatore e CEO di OX Security – Serie di interviste

mm
Pubblicato il
Il co-fondatore e CPO di OX Security Lior Arzi (a sinistra) e il co-fondatore e CEO Neatsun Ziv (a destra)

Neatsun Ziv, co-fondatore e CEO di OX Secuity, è in prima linea nella ridefinizione della sicurezza della supply chain del software per l'era DevSecOps. Prima di fondare OX, ha ricoperto il ruolo di Vicepresidente della Cyber Security presso Check Point, guidando iniziative globali e orchestrando risposte rapide a minacce di alto profilo come SolarWinds e NotPetya. Il suo lavoro lo ha spesso portato a collaborare direttamente con l'Interpol, i CERT nazionali e altre agenzie di contrasto durante alcuni degli incidenti informatici più critici dell'ultimo decennio.

Sicurezza del bue è una piattaforma di sicurezza applicativa progettata per fare chiarezza, aiutando le organizzazioni a concentrarsi sulla piccola percentuale di rischi che contano davvero. Sfruttando l'analisi di sfruttabilità, raggiungibilità e impatto aziendale, la piattaforma offre una prioritizzazione basata su prove concrete lungo l'intero ciclo di vita dello sviluppo software. Con una copertura completa dal codice al cloud, oltre 100 integrazioni e flussi di lavoro senza codice, OX integra la correzione guidata direttamente nei flussi di lavoro degli sviluppatori, garantendo misure di sicurezza efficaci e senza intoppi.

Prima di co-fondare OX Security, hai guidato la risposta agli incidenti più gravi presso Check Point. Cosa ti ha spinto a decidere che era giunto il momento di fondare la tua azienda e quali lacune hai riscontrato nel settore della sicurezza delle applicazioni?

Lavorando in Check Point, ho sperimentato in prima persona il "Corporate Velocity Gap": le aziende di sicurezza tradizionali si muovono a un ritmo più lento. Ho anche visto come i team di sicurezza fossero piuttosto inefficienti sotto vari aspetti, soprattutto quando si trattava di assegnare correttamente le priorità ai rischi.

Allo stesso tempo, mi resi conto che l'intelligenza artificiale generativa (all'epoca poco sviluppata) rappresentava il futuro dell'evoluzione degli strumenti di sicurezza e, in effetti, si stava muovendo a grande velocità. Diversi cambiamenti critici stavano avvenendo simultaneamente:

Accelerazione degli attori della minaccia: gli aggressori adottavano rapidamente nuove tecnologie e tecniche, muovendosi più velocemente di quanto le soluzioni di sicurezza riuscissero a tenere il passo.

Il fenomeno del "Vibe Coding": il termine non esisteva all'epoca, ma ho visto gli sviluppatori affidarsi sempre più a strumenti di codifica assistiti dall'intelligenza artificiale come Copilot, cambiando radicalmente il modo in cui viene sviluppato il software e introducendo considerazioni di sicurezza completamente nuove.

Evoluzione degli attacchi alla supply chain: l'accelerazione degli attacchi alla supply chain del software ha creato l'urgente necessità di nuovi approcci alla sicurezza delle applicazioni che gli strumenti esistenti semplicemente non riuscivano a risolvere.

I miglioramenti incrementali all'interno delle strutture aziendali esistenti non sarebbero sufficienti per affrontare queste sfide in rapida evoluzione.

La mia ultima consapevolezza è stata che le minacce si stavano diffondendo rapidamente nel codice e che la sicurezza doveva seguire l'esempio. Dovevamo abbandonare i framework noti e iniziare una nuova, rapida corsa.

La missione principale di OX è aiutare gli sviluppatori a concentrarsi sul 5% delle vulnerabilità che contano davvero. Quando hai maturato questa intuizione e in che modo influenza le decisioni di prodotto oggi?

Avendo gestito team di sviluppo di dimensioni piuttosto ampie, ho potuto constatare quanto possa essere schiacciante l'enorme quantità di problemi legati alla sicurezza. È necessario capire cosa è importante e cosa non lo è. Esaminare liste infinite non aiuta l'azienda a ridurre i rischi. Anzi, crea frustrazione e allontana persino le aziende dalla riduzione dei rischi, poiché consuma semplicemente troppo tempo e risorse.

Questo ci ha insegnato che dobbiamo aiutare gli sviluppatori a concentrarsi su ciò che conta davvero, e poi spiegare loro perché è importante. Dopodiché, dobbiamo mostrare loro come risolvere il problema facilmente, o meglio ancora, risolverlo per loro, cosa che ora è possibile grazie a strumenti come Agente OX.

Questa intuizione è diventata il fondamento su cui abbiamo costruito l'azienda ed è ciò che guida tutte le nostre decisioni di prodotto oggi. Ogni funzionalità, ogni capacità che sviluppiamo parte dalla domanda: "Questo aiuta gli sviluppatori a concentrarsi su ciò che conta davvero? Questo riduce i rischi?"

La piattaforma si basa sulla "proiezione del codice" per mappare il rischio lungo l'intero ciclo di vita del prodotto (SDLC). Puoi spiegare come funziona questa tecnologia e cosa la differenzia da altri strumenti di gestione delle vulnerabilità?

La proiezione del codice è fondamentalmente una tecnologia che individua un problema nel codice e prevede in anticipo come si comporterà quando il codice raggiungerà il cloud. Questo consente di risolvere i problemi molto prima che vengano eseguiti in produzione, quando il rischio è già esposto.

Funziona comprendendo che ogni pezzo di codice ha un processo che lo sviluppa e lo porta nel cloud: CI/CD. Possiamo leggere il codice e interpretarne il significato. Per fare un esempio concreto: ciò che viene esposto a Internet ha ovviamente implicazioni diverse da ciò che non lo è.

La differenza fondamentale rispetto ad altri prodotti è che la maggior parte degli strumenti termina il proprio lavoro con un lungo elenco di problemi. Senza la possibilità di concentrarsi sul 5%, o anche meno, dei rischi veramente significativi, filtrandoli, ci si ritrova con tempistiche pressoché irrilevanti. Inoltre, non si sa a quale sviluppatore assegnare il problema.

Il nostro approccio cambia completamente le cose: non ci limitiamo a identificare i problemi, ma forniamo contesto, priorità e una chiara responsabilità.

Offrite un'integrazione completa tra strumenti di scansione, gestione dei segreti, SBOM, discovery SaaS e altro ancora. Quali sono state le sfide tecniche più complesse nell'unire tutto questo in un'esperienza di sviluppo fluida?

Il problema più difficile è trasformare i dati in informazioni utili. I dati sono tutto ciò che hai appena menzionato. Ma gli sviluppatori hanno bisogno di chiarezza, punti elenco e ragionamento. Comunicazione mirata. Come trasformare montagne di dati in informazioni utili: questa è la sfida più grande del settore.

Sintetizzare queste informazioni in modo da raccontare una storia coerente e fornire azioni chiare e prioritarie che gli sviluppatori possano effettivamente eseguire: questa è stata la sfida più grande.

PBOM (Pipeline Bill of Materials) è un'innovazione di OX. In cosa si differenzia da SBOM e perché è essenziale per proteggere le moderne supply chain del software?

Il PBOM è la capacità di analizzare tutto ciò che accade al software, dal momento in cui viene scritto fino alla sua messa in produzione. SBOM è un componente di questo approccio: analizza tutti i pacchetti software presenti all'interno di un'applicazione.

Per rispondere alla domanda precedente, il PBOM è in realtà la base che ci consente di trasformare i dati in informazioni, perché considera un quadro molto più ampio: tutti i dati. Cattura l'intero percorso e la trasformazione del codice, non solo i componenti finali.

Questa visione completa è essenziale perché gli strumenti di sicurezza tradizionali vedono solo il risultato finale, tralasciando vettori di attacco critici come strumenti di build compromessi, commit dannosi o manipolazioni della pipeline che si verificano durante lo sviluppo e la distribuzione.

OX ha appena presentato Agent OX, una nuova architettura multi-agente in cui ogni modello di intelligenza artificiale si concentra su specifici tipi di vulnerabilità e linguaggi di programmazione. Cosa ha guidato questa decisione progettuale e come si garantisce che le soluzioni proposte siano spiegabili e affidabili nella pratica?

Abbiamo creato questo approccio multi-agente osservando come gli esseri umani sviluppano competenze e applicando lo stesso principio all'intelligenza artificiale. Per essere esperto in qualcosa, uno sviluppatore deve essere esperto del linguaggio, dell'architettura specifica e dell'organizzazione specifica. Un singolo sviluppatore non può risolvere tutti i problemi e, per la stessa logica, nemmeno un singolo agente di intelligenza artificiale può raggiungere quel livello di competenza. Inoltre, è necessario un agente in grado di gestire il controllo qualità.

Quindi ogni agente sviluppa una profonda competenza nel suo specifico ambito, proprio come fanno gli specialisti umani.

Per garantire affidabilità e spiegabilità, ogni agente non solo propone soluzioni, ma spiega anche il suo ragionamento, mostra il suo lavoro e consente agli sviluppatori di capire esattamente perché è stata scelta una determinata soluzione.

Cosa vi ha spinto a concentrarvi sulla correzione one-click direttamente all'interno dei flussi di lavoro degli sviluppatori? E come vi assicurate che gli sviluppatori mantengano il controllo e non riscontrino effetti collaterali indesiderati?

L'idea principale è ridurre l'attrito e migliorare le correzioni di sicurezza. Diamo agli sviluppatori il pieno controllo per rivedere e convalidare la correzione proposta prima di accettarla.

Il punto è che "un clic" non significa "automatico", ma semplificato. Gli sviluppatori possono vedere esattamente cosa verrà modificato, capirne il motivo, esaminare la soluzione proposta e quindi scegliere di applicarla con un'unica azione. Il controllo e il processo decisionale rimangono interamente nelle loro mani, ma noi eliminiamo il noioso lavoro manuale di ricerca e implementazione della correzione.

Tra i vostri clienti annoverate Microsoft, IBM e SoFi. In che modo queste relazioni aziendali influenzano la vostra roadmap e il processo di feedback per strumenti come Agent OX?

Lavoriamo con centinaia di clienti e decine di loro condividono apertamente con noi le sfide che incontrano. Queste discussioni approfondite su roadmap e design pattern sono il fondamento della nostra capacità di perfezionare la soluzione proposta. Diamo grande valore al rapporto che intratteniamo con i nostri clienti e lo consideriamo una priorità assoluta per la nostra azienda, che ci guida nella comprensione delle esigenze del mondo reale e nella creazione di soluzioni per risolverle.

Con la diffusione sempre maggiore degli strumenti di sicurezza basati sull'intelligenza artificiale, come si bilancia l'automazione con la fiducia e il controllo degli sviluppatori? Dove si traccia il confine tra assistenza e autonomia?

Come abbiamo visto nelle rivoluzioni precedenti, chi non salta sul carro non sopravvive. Stiamo iniziando a vedere organizzazioni con cui lavoriamo che hanno concentrato tutte le loro risorse sull'adozione dell'intelligenza artificiale perché hanno capito che stiamo assistendo a una rivoluzione.

Questi sono in realtà i nostri clienti più collaborativi perché si trovano ad affrontare una nuova tensione inesplorata: i loro sviluppatori devono muoversi rapidamente con gli strumenti di intelligenza artificiale, ma temono di perdere il controllo. Sono persino disposti ad accettare il rischio e la temporanea perdita di controllo per ottenere un vantaggio competitivo, ma hanno bisogno del nostro aiuto per riconquistare la fiducia. Il nostro compito è consentire loro la velocità di cui hanno bisogno, ricostruendo al contempo la fiducia nel processo.

Di recente avete chiuso un finanziamento di Serie B da 60 milioni di dollari. In che modo questo finanziamento accelererà la prossima fase di crescita di OX, sia dal punto di vista tecnologico, sia per quanto riguarda l'immissione sul mercato, sia per quanto riguarda l'espansione internazionale?

Il nuovo finanziamento è fondamentalmente finalizzato all'espansione e ci aiuterà anche a migliorare le nostre capacità di identificare i rischi derivanti dal codice generato dall'intelligenza artificiale, che stiamo iniziando a vedere con il lancio di Agent OX.

Analizziamo già oltre 100 milioni di righe di codice al giorno per più di 200 clienti paganti. Questo finanziamento ci consente di estendere questo impatto a livello globale, mantenendo al contempo la concentrazione sulle domande fondamentali che ci hanno sempre guidato: "Questo aiuta gli sviluppatori a concentrarsi su ciò che conta? Questo riduce i rischi?"

Grazie per l'ottima intervista, i lettori che desiderano saperne di più dovrebbero visitare Sicurezza del bue.

Argomenti correlati:
mm

Antoine è un leader visionario e socio fondatore di Unite.AI, spinto da una passione incrollabile per la definizione e la promozione del futuro dell'intelligenza artificiale e della robotica. Imprenditore seriale, ritiene che l'intelligenza artificiale sarà dirompente per la società quanto l'elettricità, e spesso viene colto a delirare sul potenziale delle tecnologie dirompenti e dell'AGI.

Come futurista, si dedica a esplorare come queste innovazioni plasmeranno il nostro mondo. Inoltre, è il fondatore di Titoli.io, una piattaforma focalizzata sugli investimenti in tecnologie all'avanguardia che stanno ridefinendo il futuro e rimodellando interi settori.