Tsahy Shapsa, „Jit“ įkūrėjas ir generalinis direktorius – „Kibernetinio saugumo interviu“

Tsahy Shapsa yra vienas iš įkūrėjų ir generalinis direktorius Džitas, platforma, kuri leidžia supaprastinti nuolatinę apsaugą, kad kūrėjai galėtų kurti saugias debesies programas nuo pat nulio.

Didžiąją savo karjeros dalį buvote susijęs su kibernetiniu saugumu, kas jus iš pradžių patraukė į šią pramonę?

Augdamas mane visada traukė mokslinė fantastika, o būtent filmas „WarGames“ tikrai sužadino mano vaizduotę apie kompiuterių vaidmenį mūsų pasaulio saugumui. Stebėdamas, kaip filmo jaunasis įsilaužėlis netyčia pakliūva į itin didelį kibernetinį konfliktą, mane pakerėjo skaitmeninės ateities galimybės ir iššūkiai. Vėliau, būdamas suaugęs, apsuptas naujoviškos Izraelio „Startup Nation“ dvasios, jaučiau stiprų pašaukimą prisidėti prie šios įdomios ir itin svarbios srities. Šis įkvėpimas, kartu su mano imigracija į Jungtines Valstijas, „galimybių šalį“, paskatino mane įkurti pirmąją kibernetinio saugumo įmonę. Man pasisekė prisidėti kuriant kibernetinio saugumo ateitį, kartu prisiimant dviejų savo šalių – JAV ir Izraelio – verslumo dvasią.

Ar galėtumėte pasidalinti Džito atsiradimo istorija?

Jit.io atsiradimo istorija prasidėjo tada, kai aš ir mano įkūrėjai nustatėme kritinę spragą kibernetinio saugumo srityje. Šiuolaikinėms inžinierių komandoms greitai pritaikant CI/CD metodą, kibernetinio saugumo integravimas dažnai atsiliko, todėl išaugo pažeidžiamumų rizika. Dalis problemos buvo daugybė prieinamų saugos įrankių, skirtų pamainomis į kairę, o inžinierių komandoms dažnai reikia sujungti 15–20 įrankių, skirtų AppSec, CI / CD, Cloud ir DAST, kad būtų sukurtas visapusiškas saugos sprendimas. Kiekvienas iš šių įrankių turėjo savo įdiegimo, valdymo ir kūrėjo patirtį, o tai žymiai sulėtino kūrimo greitį.

Jit.io gimė skatinant misiją, kad šioms komandoms būtų juokingai lengva įtraukti kibernetinį saugumą į savo CI / CD vamzdynus. Mano komanda nusprendė paspartinti „DevSecOps“ kruopščiai kurdama geriausius pasaulyje atvirojo kodo saugos įrankius ir supakuojant juos į vieną vieningą platformą. Siūlydamas supaprastintą „DevX“, „Jit.io“ įgalina šiuolaikines inžinierių komandas sklandžiai integruoti ir valdyti savo produktų saugą, todėl nereikia sudėtingų įrankių grandinės integracijų ir daug laiko reikalaujančių įdiegimo procesų. Taip užtikrinama, kad patikimos taikomųjų programų saugos priemonės būtų ne tik vėlesnė mintis, bet ir esminė ir lengvai pasiekiama kūrimo proceso dalis.

Dėl šio naujoviško požiūrio „Jit.io“ tapo kibernetinio saugumo keitikliu, supaprastindama ir konsoliduodama esminių saugos priemonių diegimą, o tai galiausiai padidino plėtros greitį ir efektyvumą.

Skaitytojams, kurie nėra susipažinę su DevSecOps terminologija, ar galėtumėte jį apibrėžti?

„DevSecOps“ yra saugumo integravimo į kiekvieną programinės įrangos kūrimo ir diegimo proceso etapą praktika, skirta šiuolaikinėms inžinierių komandoms, sujungianti „AppSec“, CI / CD saugumą ir debesų saugą. Tai leidžia kūrėjams turėti savo produktų saugumą lygiai taip pat, kaip jiems priklauso CI ir kompaktinis diskas, kartu skatinant vystymo, saugos ir operacijų komandų bendradarbiavimą ir bendrą atsakomybę.

„Jit“ leidžia kūrėjams jau nuo nulio dienos užtikrinti produktų, kuriuos jie kuria, saugumą. Kodėl taip svarbu pirmenybę teikti saugai tokiame ankstyvame etape?

Naudodami pastato statybos analogiją, pasvarstykime, kaip DevSecOps apima įvairius programinės įrangos kūrimo proceso aspektus, įskaitant AppSec (programų sauga), CI/CD (nuolatinį integravimą / nuolatinį diegimą), debesį ir DAST (dinaminės programos saugos testavimą).

Pastato statybos procese AppSec yra panašus į tai, kad statybinės medžiagos ir architektūrinis projektas būtų saugūs ir atitiktų saugos standartus. CI/CD yra panašus į sklandų statybos veiklos koordinavimą, leidžiantį efektyviai surinkti ir integruoti įvairius komponentus, tokius kaip vandentiekio, elektros ir apsaugos sistemos. Debesų sauga yra pastatą palaikanti infrastruktūra ir komunalinės paslaugos, pvz., vandens tiekimas, elektra ir interneto ryšys. Galiausiai, DAST galima palyginti su reguliarių saugos patikrinimų ir bandymų atlikimu, siekiant nustatyti ir pašalinti galimus pastato apsaugos sistemų pažeidžiamumus.

Įtraukdamos DevSecOps per visą programinės įrangos kūrimo gyvavimo ciklą, organizacijos gali užtikrinti, kad saugumas būtų neatsiejama kiekvieno etapo dalis – nuo ​​saugaus programos kodo (AppSec) kūrimo ir veiksmingo saugos priemonių integravimo į CI/CD dujotiekį iki debesų infrastruktūros apsaugos ir nuolatinio dinaminiai saugumo testai (DAST). Šis holistinis požiūris padeda kurti saugesnes, patikimesnes programas ir sumažinti pažeidžiamumą bei saugumo riziką visais programinės įrangos kūrimo proceso aspektais.

Ar galėtumėte apibūdinti, kaip Jit skiriasi nuo kitų kibernetinio saugumo įrankių?

Jit išsiskiria iš kitų kibernetinio saugumo įrankių siūlydama išsamią, vieningą DevSecOps platformą, kuri supaprastina kelių „Shift-left“ saugos įrankių integravimą ir valdymą „AppSec“, CI / CD, Cloud ir DAST. Šis metodas supaprastina saugos operacijas ir kūrėjo patirtį, leidžiančią sklandžiai bendradarbiauti.

Pašalinus sudėtingų įrankių grandinės integracijų ir pardavėjo užrakto poreikį, „Jit“ leidžia produktų ir programų saugos inžinieriams pasirinkti geriausius saugos sprendimus, pritaikytus jų konkretiems poreikiams. Dėl šio pritaikomumo komandos gali sukurti patikimas saugos priemones, kartu išlaikant vieningą, vietinę kūrėjo patirtį.

„Jit“ dėmesys sutelkiamas į sklandžią, nuoseklią kūrėjų ir saugos komandų patirtį leidžia efektyviau stebėti, analizuoti ir reaguoti į grėsmes visais programinės įrangos kūrimo ciklo aspektais. Dėl to Jit pagreitina DevSecOps geriausios praktikos įgyvendinimą ir skatina bendrą atsakomybę už saugumą visoje organizacijoje.

Dažnai diskutuojate apie tai, kaip vengti „įrankio užrakinimo“, kad galėtumėte turėti ateičiai atsparią „DevSecOps“ platformą. Ar galėtumėte apibūdinti, kas yra įrankio užrakinimas ir kodėl tai tokia problema?

„DevSecOps“ ir „Shift-left“ saugos tiekėjų kontekste įrankio užrakinimas gali būti ypač problemiškas dėl kelių priežasčių:

1. Vidutinis produktų portfelis: daugelis saugos tiekėjų, veikiančių pamainomis į kairę, iš pradžių sulaukia sėkmės dėl vieno išskirtinio produkto. Tačiau, kai jie plečia savo pasiūlą, dažnai įsigydami, jie gali turėti vidutiniškų produktų, kurie nebūtinai gerai integruojasi arba pateikia geriausius sprendimus visais saugumo aspektais, portfelį.
2. Pardavimo ir rinkodaros taktika: Pardavėjai, turintys įvairų portfelį, dažnai naudoja įvairias pardavimo ir rinkodaros taktikas, kad „priverstų“ klientus įsigyti visą savo produktų rinkinį. Šis metodas neleidžia vartotojams laisvai pasirinkti geriausius sprendimus ir gali pasiekti neoptimalių saugumo rezultatų.
3. Apribotas prisitaikymas: Įrankio užraktas riboja organizacijos gebėjimą prisitaikyti prie kintančių saugumo grėsmių arba pasinaudoti technologijų pažanga. Prisijungus prie konkretaus pardavėjo pasiūlymų, tampa sudėtinga ištirti ir priimti geresnius saugos sprendimus, kai tik jie tampa prieinami.
4. Sumažėjusios naujovės: pasikliauti vieno tiekėjo saugumo portfeliu gali užgniaužti naujoves, nes organizacija gali pernelyg susikoncentruoti į dabartinių įrankių galimybes, o ne ieškoti alternatyvių, potencialiai geresnių sprendimų.

Norint sukurti ateičiai patikimą „DevSecOps“ įrankių grandinę ir išvengti spąstų, susijusių su įrankių užraktu, organizacijoms labai svarbu išlaikyti lankstumą ir pasirinkti geriausius savo poreikiams pritaikytus saugos sprendimus. Šis metodas leidžia organizacijoms sukurti tvirtesnę ir veiksmingesnę saugumo poziciją, galiausiai skatinant naujoves ir prisitaikymą prie nuolat kintančių saugumo sąlygų.

Kaip „Jit“ sukuria vieningą „vieno langelio“ sprendimą, leidžiantį išvengti šios problemos?

Jit sprendžia įrankio užrakinimo problemą, pirmenybę teikdama lankstumui, integracijai ir pritaikomumui. Štai kaip Jit tai pasiekia:

1. Sklandus kelių įrankių integravimas: „Jit“ platforma sukurta integruoti geriausius „AppSec“, CI / CD, Cloud ir DAST saugos sprendimus. Tai leidžia organizacijoms pasirinkti tinkamiausius įrankius pagal jų konkrečius poreikius, o „Jit“ sprendžia šių skirtingų įrankių valdymo ir integravimo į darnią sistemą sudėtingumą.
2. Lankstumas ir pasirinkimas: Jit suteikia organizacijoms galimybę išvengti pardavėjo užsiblokavimo, nes suteikia laisvę pasirinkti ir perjungti skirtingus saugos įrankius, kai keičiasi jų reikalavimai. Šis lankstumas užtikrina, kad organizacijos visada gali priimti efektyviausius sprendimus savo saugumo poreikiams tenkinti, nevaržomos vieno tiekėjo portfelio.
3. Vieninga kūrėjo ir saugos operacijų patirtis: Jit supaprastina kūrėjo ir saugos operacijų patirtį, suteikdama nuoseklią, patogią sąsają, skirtą valdyti ir sąveikauti su įvairiais saugos įrankiais. Ši vieninga patirtis supaprastina saugos praktikos įtraukimo į programinės įrangos kūrimo ciklą procesą ir užtikrina, kad kūrėjai ir saugos komandos galėtų efektyviai bendradarbiauti.
4. Nuolatinės naujovės ir gebėjimas prisitaikyti: leisdamas organizacijoms panaudoti geriausius saugumo sprendimus, Jit skatina nuolatines naujoves ir prisitaikymą. Atsiradus naujiems saugos įrankiams ir technologijoms, „Jit“ platforma gali lengvai pritaikyti šiuos pasiekimus, užtikrindama, kad organizacijos visada turėtų prieigą prie pažangiausių saugos sprendimų.

Siūlydamas vieningą, lanksčią platformą, kuri sklandžiai integruoja kelis saugos įrankius, išlaikant nuoseklią kūrėjo ir saugos operacijų patirtį, „Jit“ efektyviai išvengia spąstų, susijusių su įrankių užraktu ir leidžia organizacijoms kurti ateičiai tinkamas „DevSecOps“ platformas, kurios gali prisitaikyti ir augti kartu su savo kintančius saugumo poreikius

„Jit-DevSecOps“ apibūdina save kaip liesą, pasikartojantį metodą, skirtą „Just-In-Time“ saugos papildymui. Ar galėtumėte plačiau paaiškinti, kaip svarbu tokiu būdu taikyti saugumą?

Jit-DevSecOps, paprastas ir pasikartojantis požiūris į saugumą „Just-In-Time“, pabrėžia savalaikės ir veiksmingos saugumo integracijos svarbą. Šis metodas leidžia anksti aptikti ir ištaisyti pažeidžiamumą, pagreitinti kūrimo ciklus ir pagerinti bendradarbiavimą. „Jit“ pokyčiais / delta pagrįstu požiūriu dėmesys sutelkiamas į saugumo problemų sprendimą, kai jos iškyla, užtikrinant, kad pirmiausia būtų pašalintos svarbiausios spragos. „Jit-DevSecOps“ teikdama pirmenybę „pataisyti pirmiausia“ mentalitetui ir prisitaikydama prie besikeičiančių saugumo sąlygų, „Jit-DevSecOps“ leidžia organizacijoms išlaikyti tvirtą saugumą, kartu užtikrinant kūrimo proceso judrumą ir efektyvumą.

Kokia jūsų „DevSecOps“ ir apskritai kibernetinio saugumo ateities vizija?

Mano „DevSecOps“ ir kibernetinio saugumo ateities vizija – panaudoti pažangių technologijų, tokių kaip dirbtinis intelektas, mašininis mokymasis ir automatizavimas, galią, kad būtų galima nustatyti grėsmes ir į jas reaguoti realiuoju laiku. Pavyzdžiui, dirbtinio intelekto pagrįsti saugos sprendimai gali padėti aptikti anomalijas ir galimus pažeidžiamumus, o automatizuotas atsakas į incidentus gali padėti suvaldyti ir sušvelninti saugumo incidentus.

Be to, išnagrinėsime naujas technologijas, tokias kaip blokų grandinė ir šifravimas, kad padidintume duomenų saugumą ir privatumą. Šios technologijos gali padėti užtikrinti duomenų vientisumą ir konfidencialumą bei užkirsti kelią neteisėtai prieigai ar klastojimui.

Apskritai mano vizija pabrėžia bendradarbiavimo, naujovių ir aktyvių priemonių svarbą siekiant išvengti kylančių grėsmių. Ir, žinoma, visada prisiminsime auksinę kibernetinio saugumo taisyklę: vienintelis saugus kompiuteris yra atjungtas, įkastas į betoną ir niekada neįjungtas.

Dėkojame už puikų interviu, skaitytojai, norintys sužinoti daugiau, turėtų apsilankyti Džitas.