Interviews

Neatsun Ziv, mede-oprichter en CEO van OX Security – Interviewreeks

mm
Published
Updated

Neatsun Ziv, mede-oprichter en CEO van OX Security, staat aan de vooravond van het herdefiniëren van de beveiliging van de softwareleveringsketen voor de DevSecOps-tijdperk. Voordat hij OX oprichtte, was hij VP van Cyber Security bij Check Point, waar hij wereldwijde initiatieven leidde en snelle reacties coördineerde op hoogprofiele bedreigingen zoals SolarWinds en NotPetya. Zijn werk bracht hem vaak in directe samenwerking met Interpol, nationale CERT’s en andere handhavingsinstanties tijdens enkele van de meest kritieke cyberincidenten van het afgelopen decennium.

OX Security is een applicatiebeveiligingsplatform dat is ontworpen om door de ruis heen te snijden en organisaties te helpen zich te concentreren op het kleine percentage risico’s dat echt belangrijk is. Door middel van analyse van exploitatie, bereikbaarheid en bedrijfsimpact levert het platform evidence-based prioritering over de hele software-ontwikkelingscyclus. Met volledige code-to-cloud-coverage, 100+ integraties en no-code-workflows, embedt OX geleide remediation rechtstreeks in de workflows van ontwikkelaars, waardoor beveiligingsmaatregelen zowel effectief als wrijvingsloos zijn.

Voordat u OX Security mede-oprichtte, leidde u grote incidentreacties bij Check Point. Wat maakte u besluiten om uw eigen bedrijf te starten, en welke lacune zag u in de applicatiebeveiligingsruimte?

Bij Check Point heb ik zelf de “Corporate Velocity Gap” meegemaakt – traditionele beveiligingsbedrijven bewegen zich met een langzamere snelheid. Ik zag ook hoe beveiligingsteams op verschillende manieren inefficiënt waren, vooral bij het prioriteren van risico’s.

Tegelijkertijd zag ik dat generatieve AI (toen nog in ontwikkeling) de toekomst vertegenwoordigde van hoe beveiligingstools moesten evolueren, en dat het zich met grote snelheid ontwikkelde. Er waren verschillende kritieke verschuivingen gaande:

Threat Actor Acceleration: aanvallers pasten snel nieuwe technologieën en technieken toe, sneller dan beveiligingsoplossingen konden bijhouden.

De “Vibe Coding”-fenomeen: de term bestond toen nog niet, maar ik zag ontwikkelaars steeds meer vertrouwen op AI-geassisteerde codertools zoals Copilot, wat fundamenteel veranderde hoe software werd gebouwd en geheel nieuwe beveiligingsaspecten introduceerde.

Supply Chain Attack Evolution: de versnelling van softwareleveringsketenaanvallen creëerde een dringende behoefte aan nieuwe benaderingen van applicatiebeveiliging die bestaande tools simpelweg niet aanspraken.

Incrementele verbeteringen binnen bestaande corporate structuren zouden niet voldoende zijn om deze snel evoluerende uitdagingen aan te pakken.

Mijn laatste realisatie was dat bedreigingen snel in de code terechtkwamen – en beveiliging moest volgen. We moesten breken met de bekende kaders en een nieuwe, snelle race starten.

De kernmissie van OX is om ontwikkelaars te helpen zich te concentreren op de 5% van kwetsbaarheden die echt belangrijk zijn. Wanneer kristalliseerde deze inzicht voor u, en hoe vormt het productbeslissingen vandaag?

Na het beheren van vrij grote ontwikkelteams, zag ik hoe overweldigend het grote volume aan beveiligingsgerelateerde problemen kan zijn. U moet begrijpen wat belangrijk is en wat niet. Door eindeloze lijsten heen gaan, brengt het bedrijf niet dichter bij risicoreductie. In plaats daarvan creëert het frustratie en zelfs brengt het bedrijven verder weg van risicoreductie, omdat het simpelweg te veel tijd en middelen verbruikt.

Dit leerde ons dat we ontwikkelaars moeten helpen zich te concentreren op wat echt belangrijk is – en dan moeten we het hun uitleggen waarom het belangrijk is. Vervolgens moeten we hen laten zien hoe ze het gemakkelijk kunnen oplossen, of nog beter – het voor hen oplossen – wat nu mogelijk is met tools zoals Agent OX.

Dit inzicht werd de basis waarop we het bedrijf hebben opgebouwd, en het is wat al onze productbeslissingen vandaag leidt. Elk onderdeel, elke capaciteit die we ontwikkelen, begint met de vraag: “Helpt dit ontwikkelaars zich te concentreren op wat echt belangrijk is? Vermindert het risico?”

Het platform is gericht op “Code Projectie” om risico’s over de hele SDLC te visualiseren. Kunt u uitleggen hoe deze technologie werkt en wat het onderscheidt van andere kwetsbaarheidsbeheertools?

Code Projectie is fundamenteel een technologie die een probleem in code ziet en weet hoe het zich zal gedragen wanneer die code de cloud bereikt. Dit stelt u in staat om problemen op te lossen lang voordat ze in productie worden uitgevoerd – wanneer het risico al is blootgesteld.

Het werkt door te begrijpen dat elk stuk code een proces heeft dat het bouwt en naar de cloud brengt – CI/CD. We kunnen de code lezen en interpreteren wat het betekent. Om een voorbeeld te geven – wat aan het internet wordt blootgesteld, heeft duidelijk andere implicaties dan wat niet.

Het belangrijkste verschil met andere producten is dat de meeste tools hun werk beëindigen met een lange lijst met problemen. Zonder in staat te zijn om zich te concentreren op de 5% of minder van echt significante risico’s, filteren door deze – u eindigt met tijdsbestekken die bijna irrelevant zijn. U weet ook niet welke ontwikkelaar het probleem moet toewijzen.

Onze aanpak verandert dit helemaal – we identificeren niet alleen problemen, maar bieden ook context, prioritering en duidelijke eigendom.

U biedt volledige integratie over scanning tools, secrets management, SBOM, SaaS discovery en meer. Wat waren enkele van de moeilijkste technische uitdagingen bij het integreren van al deze in een naadloze ontwikkelaarservaring?

Het moeilijkste probleem is het omzetten van gegevens in inzichten. Gegevens zijn alle dingen die u net hebt genoemd. Maar ontwikkelaars hebben duidelijkheid, opsommingstekens en redenering nodig. Gefocust communiceren. Hoe om gegevens om te zetten in actiegerichte inzichten – dat is de grootste uitdaging in de industrie.

Het synthetiseren van die informatie op een manier die een coherent verhaal vertelt en duidelijke, geprioriteerde acties biedt die ontwikkelaars daadwerkelijk kunnen uitvoeren – dat was de grootste uitdaging.

PBOM (Pipeline Bill of Materials) is een OX-innovatie. Hoe onderscheidt het zich van SBOM, en waarom is het essentieel voor het beveiligen van moderne softwareleveringsketens?

PBOM is de mogelijkheid om naar alles te kijken wat gebeurt met software vanaf het moment dat het wordt geschreven tot het in productie is. SBOM is een onderdeel daarvan – het kijkt naar alle softwarepakketten die in een toepassing zitten.

Om het vorige antwoord te beantwoorden – PBOM is eigenlijk de basis die ons in staat stelt om gegevens om te zetten in inzichten, omdat het naar een veel bredere foto kijkt – alle gegevens. Het vat de hele reis en transformatie van code, niet alleen de eindcomponenten.

Dit uitgebreide overzicht is essentieel omdat traditionele beveiligingstools alleen het eindresultaat zien, en kritieke aanvalsvector zoals gecompromitteerde buildtools, kwaadaardige commits of pijplijnmanipulatie die tijdens ontwikkeling en implementatie gebeuren, missen.

OX heeft onlangs Agent OX onthuld – een nieuwe multi-agentarchitectuur waarbij elke AI-model is gericht op specifieke kwetsbaarheidstypen en programmeertalen. Wat leidde tot deze ontwerpbeslissing, en hoe waarborgt u dat de oplossingen die het voorstelt zowel uitlegbaar als betrouwbaar zijn in de praktijk?

We hebben deze multi-agentbenadering gecreëerd door te kijken naar hoe mensen expertise ontwikkelen en dezelfde principes toe te passen op AI. Om expert te zijn in iets, moet een ontwikkelaar expert zijn in de taal, de specifieke architectuur en de specifieke organisatie. Een enkele ontwikkelaar kan niet alle problemen oplossen, en op dezelfde manier kan een enkele AI-agent dat niveau van expertise niet bereiken. Bovendien wilt u een agent die kwaliteitszorg kan afhandelen.

Elke agent ontwikkelt dus diepe expertise in zijn specifieke domein, net als menselijke specialisten.

Voor betrouwbaarheid en uitlegbaarheid stelt elke agent niet alleen oplossingen voor, maar legt ook zijn redenering uit, toont zijn werk en laat ontwikkelaars begrijpen waarom een bepaalde oplossing is gekozen.

Wat leidde u tot het focussen op éénklikherstel rechtstreeks in de workflows van ontwikkelaars? En hoe waarborgt u dat ontwikkelaars de controle behouden en geen onbedoelde gevolgen ondervinden?

Het hoofdidee is om wrijving te verminderen en beveiligingsherstel te verbeteren. We geven ontwikkelaars volledige controle om de voorgestelde oplossing te controleren en te valideren voordat ze deze accepteren.

Het sleutelpunt is dat “éénklik” niet “automatisch” betekent – het betekent gestroomlijnd. Ontwikkelaars kunnen precies zien wat er zal worden gewijzigd, begrijpen waarom, de voorgestelde oplossing bekijken en vervolgens kiezen om deze met één actie toe te passen. De controle en besluitvorming blijven geheel in hun handen, maar we elimineren het saaie handmatige werk van onderzoek en implementatie van de oplossing.

U telt Microsoft, IBM en SoFi onder uw klanten. Hoe vormen deze ondernemingsrelaties uw roadmap en feedbackproces voor tools zoals Agent OX?

We werken met honderden klanten, en tientallen van hen delen openlijk met ons de uitdagingen die ze tegenkomen. Deze diepgaande discussies over roadmap en ontwerpmodellen zijn de hoeksteen van onze mogelijkheid om de voorgestelde oplossing te fijnstemmen. We hechten grote waarde aan de relaties die we met onze klanten hebben en zien ze als topprioriteit voor ons als bedrijf, en die ons leidt bij het begrijpen van echte behoeften en het creëren van oplossingen om ze op te lossen.

Terwijl AI-beveiligingstools mainstream worden, hoe balanceert u automatisering met ontwikkelaarsvertrouwen en -controle? Waar trekt u de grens tussen assistent en autonoom?

Zoals we in voorgaande revoluties hebben gezien, overleven degene die niet meestappen niet. We beginnen organisaties te zien waarmee we werken die al hun middelen hebben overgezet naar AI-adoptie, omdat ze begrijpen dat we getuige zijn van een revolutie.

Dit zijn eigenlijk onze meest collaboratieve klanten, omdat ze een nieuwe, ongekarteerde spanning tegenkomen: hun ontwikkelaars moeten snel bewegen met AI-tools, maar ze zijn bezorgd over het verlies van controle. Ze zijn zelfs bereid om het risico en het tijdelijke verlies van controle te accepteren om een concurrerend voordeel te behalen, maar ze hebben ons nodig om hen te helpen het vertrouwen terug te winnen. Onze taak is om hen de snelheid te geven die ze nodig hebben, terwijl we het vertrouwen in het proces opbouwen.

U heeft onlangs een financieringsronde van $60M Series B afgesloten. Hoe zal deze financiering de volgende fase van groei van OX versnellen – of het nu gaat om technologie, go-to-market of internationale expansie?

De nieuwe financiering is fundamenteel over expansie en zal ons ook helpen om onze capaciteiten te verbeteren bij het identificeren van risico’s afgeleid van AI-gegenereerde code, die we nu zien met de lancering van Agent OX.

We analyseren al meer dan 100 miljoen regels code per dag voor meer dan 200 betalende klanten. Deze financiering stelt ons in staat om die impact wereldwijd te schalen, terwijl we ons focussen op de kernvragen die ons altijd hebben geleid: “Helpt dit ontwikkelaars zich te concentreren op wat belangrijk is? Vermindert het risico?”

Bedankt voor het geweldige interview, lezers die meer willen leren, moeten OX Security bezoeken.

mm

Antoine is een visionaire leider en oprichtend partner van Unite.AI, gedreven door een onwankelbare passie voor het vormgeven en promoten van de toekomst van AI en robotica. Een seriële ondernemer, hij gelooft dat AI net zo disruptief voor de samenleving zal zijn als elektriciteit, en wordt vaak betrapt op het enthousiast praten over het potentieel van disruptieve technologieën en AGI. Als een futurist, is hij toegewijd aan het onderzoeken van hoe deze innovaties onze wereld zullen vormgeven. Bovendien is hij de oprichter van Securities.io, een platform dat zich richt op investeren in cutting-edge technologieën die de toekomst opnieuw definiëren en hele sectoren herschappen.