Connect with us

Neatsun Ziv, Co-Fondatore e Amministratore Delegato di OX Security – Serie di Interviste

Interviste

Neatsun Ziv, Co-Fondatore e Amministratore Delegato di OX Security – Serie di Interviste

mm
Published
Updated

Neatsun Ziv, Co-Fondatore e Amministratore Delegato di OX Security, è alla forefront della ridefinizione della sicurezza della catena di approvvigionamento del software per l’era DevSecOps. Prima di fondare OX, ha ricoperto il ruolo di VP di Cyber Security presso Check Point, guidando iniziative globali e orchestrando risposte rapide a minacce di alto profilo come SolarWinds e NotPetya. Il suo lavoro lo ha spesso portato a collaborare direttamente con Interpol, CERT nazionali e altre agenzie di applicazione della legge durante alcuni degli incidenti informatici più critici degli ultimi dieci anni.

OX Security è una piattaforma di sicurezza delle applicazioni progettata per ridurre il rumore, aiutando le organizzazioni a concentrarsi sul piccolo percentuale di rischi che veramente contano. Sfruttando l’analisi dell’exploitabilità, della raggiungibilità e dell’impatto aziendale, la piattaforma fornisce una priorizzazione basata su prove in tutta la vita del ciclo di sviluppo del software. Con una copertura completa da codice a cloud, oltre 100 integrazioni e flussi di lavoro senza codice, OX incorpora la remediation guidata direttamente nei flussi di lavoro degli sviluppatori, garantendo che le misure di sicurezza siano sia efficaci che prive di attrito.

Prima di co-fondare OX Security, ha guidato importanti risposte a incidenti presso Check Point. Cosa l’ha portato a decidere che era il momento di fondare la sua azienda e quale lacuna ha visto nello spazio della sicurezza delle applicazioni?

Lavorando a Check Point, ho sperimentato di persona il “Corporate Velocity Gap” – le aziende di sicurezza tradizionali si muovono a un ritmo più lento. Ho anche visto come i team di sicurezza fossero inefficienti in vari modi, soprattutto quando si trattava di priorizzare correttamente i rischi.

Allo stesso tempo, ho riconosciuto che l’intelligenza artificiale generativa (all’epoca poco sviluppata) rappresentava il futuro di come gli strumenti di sicurezza dovevano evolversi e, in effetti, si muoveva a grande velocità. Erano in corso diversi cambiamenti critici:

Accelerazione degli attori minacciosi: gli aggressori adottavano rapidamente nuove tecnologie e tecniche, muovendosi più velocemente delle soluzioni di sicurezza.

Il fenomeno del “Vibe Coding”: il termine non esisteva all’epoca, ma ho visto gli sviluppatori fare sempre più affidamento sugli strumenti di codifica assistita dall’AI come Copilot, cambiando fondamentalmente il modo in cui il software viene costruito e introducendo considerazioni di sicurezza completamente nuove.

Evoluzione degli attacchi alla catena di approvvigionamento del software: l’accelerazione degli attacchi alla catena di approvvigionamento del software ha creato un bisogno urgente di nuovi approcci alla sicurezza delle applicazioni che gli strumenti esistenti non affrontavano.

I miglioramenti incrementali all’interno delle strutture aziendali esistenti non sarebbero stati sufficienti per affrontare queste sfide in rapida evoluzione.

La mia ultima consapevolezza è stata che le minacce si stavano muovendo rapidamente nel codice – e la sicurezza doveva seguire. Dovevamo rompere con i framework noti e iniziare a correre in una nuova gara veloce.

La missione principale di OX è aiutare gli sviluppatori a concentrarsi sul 5% delle vulnerabilità che veramente contano. Quando ha capito questa intuizione e come influenza le decisioni di prodotto oggi?

Avendo gestito operazioni di sviluppo di dimensioni ragguardevoli, ho visto come il volume enorme di problemi di sicurezza possa essere schiacciante. È necessario capire cosa è importante e cosa non lo è. Scorrere elenchi infiniti non aiuta l’azienda a ridurre il rischio, ma crea frustrazione e allontana le aziende dalla riduzione del rischio poiché consuma così tanto tempo e risorse.

Ciò ci ha insegnato che dobbiamo aiutare gli sviluppatori a concentrarsi su ciò che veramente conta – e poi spiegare loro perché conta. Dopo di che, dobbiamo mostrar loro come risolverlo facilmente, o meglio ancora – risolverlo per loro – il che è ora possibile grazie a strumenti come Agent OX.

Questa intuizione è diventata la base sulla quale abbiamo costruito l’azienda e ciò che guida tutte le nostre decisioni di prodotto oggi. Ogni funzionalità, ogni capacità che sviluppiamo inizia con la domanda: “Aiuta gli sviluppatori a concentrarsi su ciò che veramente conta? Riduce il rischio?”

La piattaforma si concentra sulla “Code Projection” per mappare i rischi in tutta la SDLC. Può spiegare come funziona questa tecnologia e cosa la rende diversa da altri strumenti di gestione delle vulnerabilità?

La Code Projection è fondamentalmente una tecnologia che vede un problema nel codice e sa in anticipo come si comporterà quando quel codice raggiunge la cloud. Ciò consente di risolvere problemi molto prima che siano in esecuzione in produzione – quando il rischio è già esposto.

Funziona comprendendo che ogni pezzo di codice ha un processo che lo costruisce e lo porta alla cloud – CI/CD. Possiamo leggere il codice e interpretare cosa significa. Per dare un esempio banale – ciò che viene esposto a Internet ha ovviamente implicazioni diverse rispetto a ciò che non lo è.

La differenza chiave rispetto ad altri prodotti è che la maggior parte degli strumenti termina il proprio lavoro con un lungo elenco di problemi. Senza essere in grado di concentrarsi sul 5% o anche meno di rischi veramente significativi, filtrare attraverso questi – si finisce con tempi che sono quasi irrilevanti. Non si sa neanche a quale sviluppatore assegnare il problema.

Il nostro approccio cambia tutto ciò – non identifichiamo solo problemi, forniamo contesto, priorità e chiara proprietà.

Offre un’integrazione completa attraverso strumenti di scansione, gestione dei segreti, SBOM, discovery SaaS e altro. Quali sono stati alcuni dei più grandi sfidi tecnici nell’unificare tutti questi in un’esperienza sviluppatore senza soluzione di continuità?

Il problema più difficile è trasformare i dati in informazioni. I dati sono tutte le cose che hai appena menzionato. Ma gli sviluppatori hanno bisogno di chiarezza, punti elenco e ragionamento. Comunicazione focalizzata. Come trasformare montagne di dati in informazioni azionabili – questo è la sfida più grande nell’industria.

Sintetizzare quelle informazioni in modo che raccontino una storia coerente e forniscono azioni chiare e prioritarie che gli sviluppatori possono effettivamente eseguire – questa è stata la sfida più grande.

PBOM (Pipeline Bill of Materials) è un’innovazione di OX. Come si differenzia da SBOM e perché è essenziale per la sicurezza della catena di approvvigionamento del software moderno?

PBOM è la capacità di guardare tutto ciò che accade al software dal momento in cui viene scritto fino a quando è in produzione. SBOM è un componente all’interno di quello – guarda tutti i pacchetti software all’interno di un’applicazione.

Per rispondere alla domanda precedente – PBOM è in realtà la base che ci consente di trasformare i dati in informazioni, perché guarda un’immagine molto più ampia – tutti i dati. Cattura l’intero viaggio e la trasformazione del codice, non solo i componenti finali.

Questa visione globale è essenziale perché gli strumenti di sicurezza tradizionali vedono solo il risultato finale, perdendo vettori di attacco critici come strumenti di costruzione compromessi, commit maligni o manipolazione della pipeline che si verificano durante lo sviluppo e la distribuzione.

OX ha appena presentato Agent OX – una nuova architettura multi-agente in cui ogni modello di intelligenza artificiale è focalizzato su tipi di vulnerabilità e linguaggi di programmazione specifici. Cosa ha guidato questa decisione di progettazione e come assicura che le correzioni che propone siano sia spiegabili che attendibili nella pratica?

Abbiamo creato questo approccio multi-agente guardando a come gli esseri umani sviluppano competenze e applicando lo stesso principio all’AI. Per essere un esperto in qualcosa, uno sviluppatore deve essere un esperto nel linguaggio, nell’architettura specifica e nell’organizzazione specifica. Un singolo sviluppatore non può risolvere tutti i problemi e, per la stessa logica, un singolo agente di intelligenza artificiale non può raggiungere quel livello di competenza. Inoltre, si vuole un agente che possa gestire la garanzia di qualità.

Quindi ogni agente sviluppa una profonda competenza nel proprio dominio specifico, proprio come fanno gli specialisti umani.

Per la fiducia e la spiegabilità, ogni agente non solo propone correzioni, ma spiega anche il proprio ragionamento, mostra il proprio lavoro e consente agli sviluppatori di capire esattamente perché una particolare soluzione è stata scelta.

Cosa l’ha portato a concentrarsi sulla remediation con un solo clic direttamente all’interno dei flussi di lavoro degli sviluppatori? E come assicura che gli sviluppatori mantengano il controllo e non incontrino effetti collaterali indesiderati?

L’idea principale è ridurre l’attrito e migliorare le correzioni di sicurezza. Diamo agli sviluppatori il pieno controllo per esaminare e convalidare la correzione proposta prima di accettarla.

La chiave è che “un solo clic” non significa “automatico” – significa fluido. Gli sviluppatori possono vedere esattamente cosa verrà modificato, capire perché, esaminare la soluzione proposta e poi scegliere di applicarla con un’azione singola. Il controllo e la decisione rimangono interamente nelle loro mani, ma eliminiamo il tedioso lavoro manuale di ricerca e implementazione della correzione.

Conta Microsoft, IBM e SoFi tra i suoi clienti. Come queste relazioni aziendali plasmano la sua roadmap e il processo di feedback per strumenti come Agent OX?

Lavoriamo con centinaia di clienti e decine di loro condividono apertamente con noi le sfide che incontrano. Queste discussioni approfondite sulla roadmap e sui modelli di progettazione sono il fondamento della nostra capacità di affinare la soluzione proposta. Valorizziamo molto le relazioni che abbiamo con i nostri clienti e le consideriamo una priorità assoluta per noi come azienda, e ciò ci guida mentre comprendiamo i bisogni del mondo reale e creiamo soluzioni per risolverli.

Man mano che gli strumenti di sicurezza dell’AI diventano più mainstream, come bilancia l’automazione con la fiducia e il controllo degli sviluppatori? Dove traccia la linea tra assistenza e autonomia?

Come abbiamo visto in precedenti rivoluzioni, coloro che non salgono sul carro non sopravvivono. Stiamo iniziando a vedere organizzazioni con cui lavoriamo che hanno spostato tutte le loro risorse sull’adozione dell’AI perché capiscono che stiamo assistendo a una rivoluzione.

Questi sono in realtà i nostri clienti più collaborativi perché stanno affrontando una nuova tensione inesplorata: gli sviluppatori devono muoversi velocemente con gli strumenti dell’AI, ma sono preoccupati per la perdita di controllo. Sono disposti ad accettare il rischio e la perdita temporanea di controllo per guadagnare un vantaggio competitivo, ma hanno bisogno che li aiutiamo a riguadagnare la fiducia. Il nostro lavoro è consentire loro la velocità di cui hanno bisogno, mentre ricostruiamo la fiducia nel processo.

Ha recentemente chiuso un finanziamento di 60 milioni di dollari di Serie B. Come questo finanziamento accelererà la prossima fase di crescita di OX – sia sul lato tecnico, go-to-market o espansione internazionale?

Il nuovo finanziamento è fondamentalmente sulla crescita e ci aiuterà anche a migliorare le nostre capacità nell’identificazione dei rischi derivati dal codice generato dall’AI, che stiamo iniziando a vedere con il lancio di Agent OX.

Stiamo già analizzando oltre 100 milioni di linee di codice al giorno per più di 200 clienti paganti. Questo finanziamento ci consente di ampliare quell’impatto a livello globale, mantenendo la nostra attenzione sulle domande fondamentali che ci hanno sempre guidato: “Aiuta gli sviluppatori a concentrarsi su ciò che conta? Riduce il rischio?”

Grazie per la grande intervista, i lettori che desiderano saperne di più possono visitare OX Security.

mm

Antoine è un leader visionario e socio fondatore di Unite.AI, guidato da una passione incrollabile per plasmare e promuovere il futuro dell'AI e della robotica. Un imprenditore seriale, crede che l'AI sarà altrettanto disruptiva per la società quanto l'elettricità, e spesso viene colto a parlare con entusiasmo del potenziale delle tecnologie disruptive e dell'AGI.
Come futurist, è dedicato a esplorare come queste innovazioni plasmeranno il nostro mondo. Inoltre, è il fondatore di Securities.io, una piattaforma focalizzata sugli investimenti in tecnologie all'avanguardia che stanno ridefinendo il futuro e ridisegnando interi settori.