בדל ניר ולטמן, מנכ"ל ומייסד בארניקה - סדרת ראיונות - Unite.AI
צור קשר
   ראיונות  
ניר ולטמן, מנכ"ל ומייסד בארניקה – סדרת ראיונות
 mm
יצא לאור
 לפני 11 חודשים
 on
   
 
ניר ולטמן הוא המנכ"ל והמייסד ב ארניקה, פלטפורמה המאפשרת לארגונים להגן באופן יזום על שרשרת אספקת התוכנה מפני סיכונים על ידי אוטומציה של פעולות האבטחה היומיומיות והעצמת מפתחים להחזיק באבטחה מבלי להסתבך בסיכונים או להתפשר על המהירות.
מה משך אותך בהתחלה לאבטחת סייבר?
גדלתי עם חשיבה של פריצה. התחלתי בהרס מעבדת המחשבים בקורס הקידוד הראשון שלי ופריצה למחשבים אחרים עם מעט מאוד כישורי קידוד, הכל כשהייתי בן 13. כשהצטרפתי לשירות הצבאי בישראל, קיבלתי השכלה מעשית בצד ההגנתי של הביטחון, מה שהוביל בסופו של דבר לקריירה המקצועית שלי באבטחת סייבר. 
האם תוכל לשתף את סיפור הבראשית מאחורי ארניקה?
לפני ארניקה עבדתי בפינסטרה, חברת הפינטק העולמית השלישית בגודלה, כסמנכ"ל האבטחה. האבק של Solarwinds הידוע לשמצה רק שקע והמנכ"ל שלנו שאל אותי איך נוכל למזער את הסיכון להיפגע מהתקפת שרשרת אספקת תוכנה. עשינו הערכה מקיפה של חברות שבונות פתרונות במרחב הזה, עם כמה מהן עשינו הוכחה לקונספטים. אף אחד מהספקים לא התאים למה שחיפשנו: כיסוי מקיף, הפחתה אקטיבית של סיכונים וחווית מפתח נהדרת. במיוחד, היבט חווית המפתחים היה קריטי מכיוון שכל פתרון שכפיתי על מפתחים שישבש את זרימות העבודה שלהם יידחה ונחזור להתחלה. 
מבלי שמצאתי פתרון, החלטתי לחקור כל מתקפת שרשרת אספקת תוכנה שהתרחשה במהלך 5 השנים האחרונות כדי להבין את הסימפטומים המרכזיים וכיצד למנוע אותם. במקביל, שוחחתי עם שני חברים, ערן מדן (CTO) ודיקו דהן (COO), בעלי ניסיון רב בפיתוח ומנהיגות תפעולית. ערן ודיקו, הביעו אתגרים דומים במציאת פתרון - דיקו מנקודת מבט טכנולוגית, וערן מנקודת מבט של פיתוח. בהתחשב בעובדה שכולנו באים ריקים על פתרון, פיתחנו השערה של איך פתרון צריך להיראות. הרצנו עשרות שיחות אימות עם מובילי אבטחה, תפעול והנדסה, אשר אימתו הן את הבעיה והן את ההשערה שלנו לגבי הפתרון הדרוש. מהר קדימה כמה חודשים לאוגוסט 2021 והקמנו יחד את ארניקה. 
ארניקה מספקת אבטחה מבוססת התנהגות מקצה לקצה, האם תוכל להגדיר מהי אבטחה מבוססת התנהגות?
אם מישהו נתן לך פתק בכתב יד ואמר לך שכתבת אותו, סביר להניח שהיית יכול לדעת אם הוא נכתב על ידך. אם, למשל, כתב היד אינו שלך, הפתק היה מתוארך לפני שנולדת, והוא כתוב בצרפתית (שאתה לא יודע לדבר או לכתוב), יהיה ברור שאתה לא הכותב. אנו נוקטים בגישה דומה לקוד, אלא שאנו בונים פרופיל של כל מפתח המורכב מאלפי גורמים (הידועים גם כתכונות בלמידת מכונה). על ידי התבוננות בנטיות ובהתנהגות של מפתחים, נוכל לעצור סיכונים החורגים מדפוסי ההתפתחות הרגילים שלהם. זה עוזר לנו לעצור השתלטות על חשבון, איומים פנימיים וסיכונים אחרים הקשורים לפיתוח תוכנה. 
האם אתה יכול לדון כיצד הפלטפורמה יכולה לזהות את הניואנסים של איך כל מפתח עובד?
ארניקה ממנפת פעילות ביקורת היסטורית ותרומת קוד כדי ליצור טביעת אצבע התנהגותית עבור כל מפתח. טביעת אצבע זו מייצגת את ההתנהגות הידועה והצפויה של השימוש בהרשאות של המפתח, סגנון הקידוד, שפת ההתחייבות ונהלי הפיתוח. לאחר מכן נוכל להשוות את כל הפעילות העתידית עם טביעת אצבע זו כדי לקבוע את הסבירות שקוד עתידי הגיע ממחבר זה.
מה קורה ברגע שהמערכת מסמנת התנהגות חריגה?
אנו שואפים תמיד למקסם את ערך האבטחה, ובו זמנית, לבטל חיכוך בפיתוח. כאשר ארניקה מזהה התנהגות חריגה מחשבון מפתח, אנו מסמנים אותו בארניקה ושולחים אוטומטית אימות נוסף באמצעות צ'אט ישיר למפתח המדובר ולצוות האבטחה בהתבסס על תצורת המדיניות שלך.
כיצד מסייעת ארניקה בביקורת קוד?
ארניקה מספקת הודעות בזמן אמת למפתחים כשהם דוחפים שינויי קוד, ומפחיתה את מספר הסיכונים שמגיעים לבקשות משיכה. עבור אותם סיכונים שמגיעים לבקשות משיכה, ארניקה מציגה בדיקות קוד אוטומטיות על יחסי ציבור. כאשר מאתרים סיכונים, ארניקה מעירה את פרטי הסיכון והקשר להפחתה של כל סיכון. ארניקה יכולה גם לחסום מיזוגים באופן אוטומטי היכן שקיימים סיכונים, ולמנוע מהם להגיע לקוד הייצור.
ארניקה גם מאפשרת זיהוי של תלות פגיעות של צד שלישי, האם תוכל לדון כיצד זה עובד עבור מפתחים?
ארניקה סורקת את כל החבילות והסיכונים של צד שלישי בכל דחיפה של קוד, ומודיעה למפתחים ישירות דרך ChatOps כאשר הם משתמשים בגרסאות עם נקודות תורפה או מציגים חבילת מוניטין נמוך לבסיס הקוד. 
מהן חלק מהפונקציות האחרות המוצעות על ידי פלטפורמת Arnica?
ארניקה מתמקדת במתן פלטפורמה לצוותי אבטחת יישומים כדי להשיג נראות על פני כל הסיכונים בשרשרת האספקה ​​של התוכנה, כדי להיות מסוגלים לתעדף סיכונים אלה, ולהיות מסוגלים לעצור בקלות סיכונים חדשים ולתקן סיכונים קיימים. אנו מספקים יכולת זו על פני מגוון רחב של קטגוריות סיכונים כולל הרשאות מפתח מוגזמות, סיכוני קוד הנובעים מסריקת SAST (Static Application Security Testing) ו-IAC (Infrastructure as Code), סודות מקודדים, תלות של צד שלישי ועוד. 
האם יש משהו נוסף שתרצה לחלוק על ארניקה?
בארניקה, ככל שאנו מפתחים פתרונות אבטחת יישומים ושרשרת אספקה, אנו חושבים על עצמנו כחברת חווית מפתח. אנחנו רוצים להפוך את פתרון בעיות האבטחה לחוויה חלקה ומענגת. קחו לדוגמה את הפתרון להפחתת הסודות שלנו. אנו מזהים את הסוד בדחיפה של קוד, אנו מאמתים אותו ודוחפים הודעה למפתח בכלי הצ'אט המועדף עליו. ההתראה נותנת למפתח כפתור - "תקן את זה עבורי" - שמחסל את הסוד מכל היסטוריית הגיט מבלי שהמפתח יצטרך לכתוב פקודות git. רק קליק. 
אנו מאמינים שאם נוכל להפוך את האבטחה לחלק קל ומענג מחוויית הפיתוח, כל ארגון שמשתמש בארניקה יהיה במצב טוב יותר.  
תודה על הראיון הנהדר, קוראים שרוצים ללמוד עוד צריכים לבקר ארניקה.
       
 נושאים קשורים:
 mm
שותף מייסד של unite.AI וחבר ב- המועצה הטכנולוגית של פורבס, אנטואן הוא א עתידן שהוא נלהב מהעתיד של AI ורובוטיקה.
הוא גם המייסד של Securities.io, אתר אינטרנט המתמקד בהשקעה בטכנולוגיה משבשת.