Connect with us

Neatsun Ziv, współzałożyciel i CEO OX Security – seria wywiadów

Wywiady

Neatsun Ziv, współzałożyciel i CEO OX Security – seria wywiadów

mm
Published
Updated

Neatsun Ziv, współzałożyciel i CEO OX Security, jest na czele zmian w dziedzinie bezpieczeństwa łańcucha dostaw oprogramowania w erze DevSecOps. Przed założeniem OX, pełnił funkcję VP ds. cyberbezpieczeństwa w Check Point, gdzie kierował globalnymi inicjatywami i koordynował szybkie odpowiedzi na wysokoprofilowe zagrożenia, takie jak SolarWinds i NotPetya. Jego praca często wiązała się z bezpośrednią współpracą z Interpolem, krajowymi CERT oraz innymi organami ścigania podczas najbardziej krytycznych incydentów cybernetycznych minionego dziesięciolecia.

OX Security to platforma bezpieczeństwa aplikacji zaprojektowana, aby pomóc organizacjom skupić się na niewielkim procentzie ryzyk, które naprawdę mają znaczenie. Wykorzystując analizę wykorzystywalności, dostępności i wpływu biznesowego, platforma dostarcza opartą na dowodach priorytetyzację na całym cyklu życia rozwoju oprogramowania. Z pełnym zakresem od kodu do chmury, 100+ integracji i workflow bez kodu, OX wbudowuje ułatwioną naprawę bezpośrednio w procesy pracy deweloperów, zapewniając, że środki bezpieczeństwa są zarówno skuteczne, jak i bezproblemowe.

Przed współzałożeniem OX Security, kierowałeś głównymi odpowiedziami na incydenty w Check Point. Co skłoniło Cię do podjęcia decyzji o założeniu własnej firmy, i jaki lukę w dziedzinie bezpieczeństwa aplikacji zobaczyłeś?

Pracując w Check Point, doświadczyłem na własnej skórze “Corporate Velocity Gap” – tradycyjne przedsiębiorstwo bezpieczeństwa porusza się wolniej. Zobaczyłem również, jak zespoły bezpieczeństwa były dość nieefektywne w różnych aspektach, szczególnie gdy chodzi o prawidłową priorytetyzację ryzyk.

W tym samym czasie, rozpoznałem, że sztuczna inteligencja (wówczas w powijakach) reprezentowała przyszłość, w jakiej narzędzia bezpieczeństwa muszą ewoluować, i rzeczywiście poruszała się z wielką prędkością. Kilka krytycznych przesunięć zachodziło jednocześnie:

Przyspieszenie ataków hakerskich: atakujący szybko przyjmowali nowe technologie i techniki, poruszając się szybciej niż rozwiązania bezpieczeństwa mogły za nimi nadążyć.

Zjawisko “Vibe Coding”: termin ten nie istniał wówczas, ale zobaczyłem, jak deweloperzy coraz bardziej polegali na narzędziach do kodowania wspomaganego przez AI, takich jak Copilot, co fundamentalnie zmieniło sposób, w jaki tworzone jest oprogramowanie, i wprowadziło całkowicie nowe zagadnienia bezpieczeństwa.

Ewolucja ataków na łańcuch dostaw: przyspieszenie ataków na łańcuch dostaw oprogramowania stworzyło pilną potrzebę nowych podejść do bezpieczeństwa aplikacji, których istniejące narzędzia po prostu nie rozwiązywały.

Stopniowe ulepszenia w ramach istniejących struktur korporacyjnych nie byłyby wystarczające, aby rozwiązać te szybko ewoluujące wyzwania.

Moje ostateczne rozpoznanie było takie, że zagrożenia poruszały się szybko w kierunku kodu – i bezpieczeństwo musi za nimi nadążyć. Musieliśmy zerwać z znanymi ramami i zacząć biec w nowym, szybkim wyścigu.

Misją OX jest pomóc deweloperom skupić się na 5% luk w zabezpieczeniach, które naprawdę mają znaczenie. Kiedy ta inspiracja skrystalizowała się dla Ciebie, i jak kształtuje decyzje dotyczące produktu dzisiaj?

Mając doświadczenie w zarządzaniu dość dużymi operacjami zespołów deweloperskich, byłam świadkiem, jak przytłaczająca może być ogromna ilość problemów związanych z bezpieczeństwem. Trzeba zrozumieć, co jest ważne, a co nie. Przechodzenie przez niekończące się listy nie pomaga firmom w redukcji ryzyka, lecz tworzy frustrację i nawet odwodzi firmy od redukcji ryzyka, ponieważ po prostu zajmuje zbyt wiele czasu i zasobów.

To nauczyło nas, że musimy pomóc deweloperom skupić się na tym, co naprawdę ma znaczenie – i potem wyjaśnić im, dlaczego to ma znaczenie. Następnie musimy im pokazać, jak to łatwo rozwiązać, lub lepiej jeszcze – rozwiązać to za nich – co jest teraz możliwe dzięki narzędziom takim jak Agent OX.

Ta inspiracja stała się podstawą, na której zbudowaliśmy firmę, i jest tym, co kieruje wszystkimi naszymi decyzjami dotyczącymi produktu dzisiaj. Każda funkcja, każda możliwość, którą rozwijamy, zaczyna się od pytania: “Pomaga to deweloperom skupić się na tym, co naprawdę ma znaczenie? Czy to redukuje ryzyko?”

Platforma opiera się na “Code Projection”, aby mapować ryzyko w całym cyklu SDLC. Możesz wyjaśnić, jak działa ta technologia i co ją wyróżnia spośród innych narzędzi do zarządzania lukami w zabezpieczeniach?

Code Projection jest fundamentalnie technologią, która widzi problem w kodzie i wie z wyprzedzeniem, jak się zachowa, gdy ten kod trafi do chmury. Pozwala to rozwiązać problemy znacznie wcześniej, zanim będą one widoczne w produkcji – gdy ryzyko jest już narażone.

Działa poprzez zrozumienie, że każdy kawałek kodu ma proces, który go tworzy i przywozi do chmury – CI/CD. Możemy odczytać kod i zinterpretować, co on znaczy. Aby dać prosty przykład – to, co jest narażone na internet, ma inne implikacje niż to, co nie jest.

Kluczowa różnica w stosunku do innych produktów polega na tym, że większość narzędzi kończy swoją pracę na długiej liście problemów. Bez możliwości skupienia się na 5% lub mniej prawdziwie istotnych ryzyk, przefiltrowanie przez te – kończysz z czasami, które są prawie nieistotne. Nie wiesz również, jakiemu deweloperowi przypisać problem.

Nasze podejście zmienia to całkowicie – nie tylko identyfikujemy problemy, lecz dostarczamy kontekst, priorytetyzację i wyraźną własność.

Oferujecie pełną integrację z narzędziami do skanowania, zarządzania sekretami, SBOM, odkrywania SaaS i więcej. Jakie były najtrudniejsze wyzwania techniczne w połączeniu wszystkich tych elementów w spójne doświadczenie dla deweloperów?

Najtrudniejszym problemem jest przekształcenie danych w spostrzeżenia. Dane to wszystkie rzeczy, o których wspomnieliście. Lecz deweloperom potrzebna jest klarowność, punkty i uzasadnienie. Skoncentrowana komunikacja. Jak przekształcić góry danych w działania, które deweloperzy mogą wykonać – to jest największe wyzwanie w branży.

Syntetyzowanie tej informacji w sposób, który opowiada spójną historię i dostarcza klarowne, priorytetyzowane działania, które deweloperzy mogą wykonać – to było największym wyzwaniem.

PBOM (Pipeline Bill of Materials) to innowacja OX. W jaki sposób różni się od SBOM, i dlaczego jest niezbędna do zabezpieczenia nowoczesnych łańcuchów dostaw oprogramowania?

PBOM to możliwość spojrzenia na wszystko, co dzieje się z oprogramowaniem od momentu jego napisania aż do wejścia do produkcji. SBOM jest składnikiem w tym – spogląda na wszystkie pakiety oprogramowania, które są wewnątrz aplikacji.

Aby odpowiedzieć na poprzednie pytanie – PBOM jest tak naprawdę fundamentem, który pozwala nam przekształcić dane w spostrzeżenia, ponieważ spogląda na znacznie szerszy obraz – całe dane. Ujmuje całą drogę i transformację kodu, a nie tylko końcowe składniki.

Ten wszechstronny widok jest niezbędny, ponieważ tradycyjne narzędzia bezpieczeństwa widzą tylko efekt końcowy, pomijając krytyczne wektory ataku, takie jak skompromitowane narzędzia budowania, złośliwe commity lub manipulacja potokiem, które zdarzają się podczas rozwoju i wdrożenia.

OX właśnie przedstawił Agent OX – nową architekturę wieloagentową, w której każdy model AI jest skupiony na konkretnych typach luk w zabezpieczeniach i językach programowania. Co skłoniło do tej decyzji projektowej, i jak zapewniasz, że proponowane przez niego naprawy są zarówno wyjaśnialne, jak i godne zaufania w praktyce?

Stworzyliśmy to podejście wieloagentowe, patrząc, jak ludzie rozwijają swoją ekspertyzę i stosując tę samą zasadę do AI. Aby być ekspertem w czymś, deweloper musi być ekspertem w języku, konkretniej architekturze i konkretnym przedsiębiorstwie. Żaden deweloper nie może rozwiązać wszystkich problemów, a z tą samą logiką żaden agent AI również nie może osiągnąć tego poziomu ekspertyzy. Dodatkowo, chcesz agenta, który może zajmować się zapewnieniem jakości.

Więc każdy agent rozwija głęboką ekspertyzę w swojej specyficznej dziedzinie, tak jak specjaliści ludzie.

Co do zaufania i wyjaśnialności, każdy agent nie tylko proponuje naprawy, lecz wyjaśnia swoje rozumowanie, pokazuje swoją pracę i pozwala deweloperom zrozumieć dokładnie, dlaczego konkretnego rozwiązania użyto.

Cóż skłoniło Cię do skupienia się na naprawach jednym kliknięciem bezpośrednio w procesach pracy deweloperów? I jak zapewniasz, że deweloperzy zachowują kontrolę i nie napotykają niezamierzonych skutków?

Głównym pomysłem jest zmniejszenie tarcia i wzmocnienie napraw bezpieczeństwa. Dajemy deweloperom pełną kontrolę, aby przeglądać i weryfikować proponowane naprawy przed ich zaakceptowaniem.

Kluczem jest to, że “jeden klik” nie oznacza “automatyczny” – oznacza to usprawniony. Deweloperzy mogą zobaczyć dokładnie, co zostanie zmienione, zrozumieć, dlaczego, i wybrać, czy zastosować to jednym kliknięciem. Kontrola i decyzje pozostają całkowicie w ich rękach, lecz eliminujemy nużącą ręczną pracę związaną z badaniem i wdrażaniem naprawy.

Zaliczasz do swoich klientów firmy takie jak Microsoft, IBM i SoFi. Jak te relacje z przedsiębiorstwami kształtują wasz plan rozwoju i proces informacji zwrotnej dla narzędzi takich jak Agent OX?

Współpracujemy z setkami klientów, a dziesiątki z nich otwarcie dzielą się z nami wyzwaniami, których doświadczają. Te głębokie dyskusje o planach i wzorcach projektowych są kamieniem węgielnym naszej zdolności do precyzyjnego dostosowania proponowanego rozwiązania. Bardzo cenimy relacje z naszymi klientami i widzimy je jako najwyższy priorytet dla nas jako firmy, co kieruje nami, gdy rozumiemy potrzeby świata rzeczywistego i tworzymy rozwiązania, aby je rozwiązać.

Gdy narzędzia bezpieczeństwa AI stają się bardziej powszechne, jak balansujesz automatyzację z zaufaniem i kontrolą deweloperów? Gdzie rysujesz granicę między asystentem a autonomicznością?

Jak widzieliśmy w poprzednich rewolucjach, ci, którzy nie wsiadają na wagon, nie przetrwają. Zaczynamy widzieć organizacje, z którymi współpracujemy, które przeniosły wszystkie swoje zasoby na przyjęcie AI, ponieważ rozumieją, że jesteśmy świadkami rewolucji.

Są to tak naprawdę nasi najbardziej współpracujący klienci, ponieważ stają oni w obliczu nowego, nieznanego napięcia: ich deweloperzy muszą poruszać się szybko z narzędziami AI, lecz martwią się o utratę kontroli. Są nawet gotowi zaakceptować ryzyko i tymczasową utratę kontroli, aby uzyskać przewagę konkurencyjną, lecz potrzebują naszej pomocy, aby odzyskać zaufanie. Naszym zadaniem jest pozwolić im na szybkość, której potrzebują, a jednocześnie odbudowywać zaufanie do procesu.

Niedawno zamknęliście rundę finansowania serii B o wartości 60 milionów dolarów. Jak to finansowanie przyspieszy następną fazę wzrostu OX – czy to po stronie technicznej, marketingu, czy ekspansji międzynarodowej?

Nowe finansowanie jest fundamentalnie o ekspansji i pomoże nam również wzmocnić nasze możliwości w identyfikowaniu ryzyk pochodzących z kodu generowanego przez AI, co zaczynamy teraz widzieć z wprowadzeniem Agent OX.

Jesteśmy już w stanie analizować ponad 100 milionów linii kodu dziennie dla ponad 200 płacących klientów. To finansowanie pozwoli nam skalować ten wpływ na całym świecie, utrzymując nasz focus na podstawowych pytaniach, które zawsze nas kierowały: “Pomaga to deweloperom skupić się na tym, co ma znaczenie? Czy to redukuje ryzyko?”

Dziękujemy za wspaniały wywiad. Czytelnicy, którzy chcą dowiedzieć się więcej, powinni odwiedzić OX Security.

mm

Antoine jest wizjonerskim liderem i współzałożycielem Unite.AI, z niezachwianą pasją do kształtowania i promowania przyszłości sztucznej inteligencji i robotyki. Jako serialowy przedsiębiorca, uważa, że sztuczna inteligencja będzie tak samo przełomowa dla społeczeństwa, jak elektryczność, i często zachwycany jest potencjałem technologie przełomowych i AGI. Jako futurysta, poświęca się badaniu, jak te innowacje ukształtują nasz świat. Ponadto jest założycielem Securities.io, platformy skupiającej się na inwestowaniu w najnowocześniejsze technologie, które przeobrażają przyszłość i zmieniają całe sektory.