stub Nir Valtman, dyrektor generalny i założyciel firmy Arnica – seria wywiadów – Unite.AI
Kontakt z nami
   Wywiady  
Nir Valtman, dyrektor generalny i założyciel firmy Arnica – seria wywiadów
 mm
Opublikowany
 11 miesięcy temu
 on
   
 
Nir Valtman jest dyrektorem generalnym i założycielem firmy Kupalnik, platforma, która umożliwia przedsiębiorstwom proaktywną ochronę łańcucha dostaw oprogramowania przed ryzykiem poprzez automatyzację codziennych operacji związanych z bezpieczeństwem i umożliwienie programistom zapewnienia własnego bezpieczeństwa bez ponoszenia ryzyka i zmniejszania szybkości.
Co początkowo przyciągnęło Cię do cyberbezpieczeństwa?
Dorastałem z hackerskim nastawieniem. Zacząłem od zniszczenia laboratorium komputerowego podczas mojego pierwszego kursu programowania i włamywania się do innych komputerów, mając bardzo niewielkie umiejętności kodowania, a wszystko to, gdy miałem 13 lat. Kiedy dołączyłem do służby wojskowej w Izraelu, zdobyłem praktyczne wykształcenie w zakresie defensywnej strony bezpieczeństwa, co ostatecznie doprowadziło do mojej kariery zawodowej w cyberbezpieczeństwie. 
Czy mógłbyś podzielić się historią powstania Arniki?
Przed Arnicą pracowałem w Finastrze, trzeciej co do wielkości globalnej firmie FinTech, jako wiceprezes ds. bezpieczeństwa. Kurz po niesławnych Solarwindach właśnie opadł i nasz dyrektor generalny zapytał mnie, w jaki sposób możemy zminimalizować ryzyko ataku na łańcuch dostaw oprogramowania. Dokonaliśmy kompleksowej oceny firm budujących rozwiązania w tej przestrzeni, z kilkoma z nich przeprowadziliśmy weryfikację koncepcji. Żaden z dostawców nie pasował do tego, czego szukaliśmy: kompleksowej ochrony, aktywnego łagodzenia ryzyka i świetnego doświadczenia programistów. W szczególności aspekt doświadczenia programisty był krytyczny, ponieważ każde rozwiązanie, które narzuciłem programistom, a które zakłócało ich przepływ pracy, zostałoby odrzucone i wrócilibyśmy do punktu wyjścia. 
Nie znajdując rozwiązania, zdecydowałem się zbadać każdy atak na łańcuch dostaw oprogramowania, który miał miejsce w ciągu ostatnich 5 lat, aby zrozumieć główne objawy i sposoby im zapobiegać. W tym samym czasie rozmawiałem z dwoma przyjaciółmi, Eranem Medanem (CTO) i Diko Dahanem (COO), którzy mieli duże doświadczenie w kierowaniu rozwojem i operacjami. Eran i Diko wyrazili podobne wyzwania w znalezieniu rozwiązania – Diko z punktu widzenia technologii, a Eran z punktu widzenia rozwoju. Biorąc pod uwagę, że wszyscy nie mieliśmy pomysłu na rozwiązanie, opracowaliśmy hipotezę dotyczącą tego, jak powinno ono wyglądać. Przeprowadziliśmy dziesiątki rozmów weryfikacyjnych z liderami ds. bezpieczeństwa, operacji i inżynierii, które potwierdziły zarówno problem, jak i naszą hipotezę dotyczącą niezbędnego rozwiązania. Przejdźmy kilka miesięcy do sierpnia 2021 r. i byliśmy współzałożycielami firmy Arnica. 
Arnica zapewnia kompleksowe bezpieczeństwo oparte na zachowaniu. Czy możesz zdefiniować, czym jest bezpieczeństwo oparte na zachowaniu?
Gdyby ktoś dał ci odręczną notatkę i powiedział, że ją napisałeś, prawdopodobnie byłbyś w stanie stwierdzić, czy rzeczywiście została napisana przez ciebie. Jeśli na przykład charakter pisma nie jest Twój, list jest datowany przed Twoimi narodzinami i jest napisany po francusku (którym nie umiesz mówić ani pisać), będzie jasne, że nie jesteś jego autorem. Do kodu podchodzimy podobnie, z tą różnicą, że budujemy profil każdego programisty składający się z tysięcy czynników (zwanych także funkcjami w uczeniu maszynowym). Obserwując tendencje i zachowania programistów, możemy zatrzymać ryzyko odbiegające od ich normalnych wzorców rozwoju. Pomaga nam to zapobiegać przejęciom kont, zagrożeniom wewnętrznym i innym ryzykom związanym z tworzeniem oprogramowania. 
Czy możesz omówić, w jaki sposób platforma może zidentyfikować niuanse działania każdego programisty?
Arnica wykorzystuje audyt historyczny i działania związane z wkładem kodu, aby wygenerować „odcisk palca” behawioralny dla każdego programisty. Ten odcisk palca reprezentuje znane i oczekiwane zachowanie uprawnień programisty, styl kodowania, język zatwierdzania i praktyki programistyczne. Jesteśmy wtedy w stanie porównać całą przyszłą aktywność z tym odciskiem palca, aby określić prawdopodobieństwo, że przyszły kod pochodzi od tego autora.
Co się stanie, gdy system zasygnalizuje nieprawidłowe zachowanie?
Zawsze dążymy do maksymalizacji wartości bezpieczeństwa i jednocześnie eliminowania tarć rozwojowych. Kiedy Arnica wykryje nietypowe zachowanie na koncie programisty, oznaczamy to w Arnice i automatycznie wysyłamy dodatkowe uwierzytelnienie poprzez bezpośredni czat do danego programisty oraz zespołu ds. bezpieczeństwa w oparciu o konfigurację zasad.
W jaki sposób Arnica pomaga w audytowaniu kodu?
Arnica dostarcza programistom powiadomienia w czasie rzeczywistym, gdy wprowadzają zmiany w kodzie, zmniejszając liczbę zagrożeń związanych z żądaniami ściągnięcia. W przypadku zagrożeń, które dotyczą żądań ściągnięcia, Arnica wprowadza automatyczne sprawdzanie kodu w żądaniach ściągnięcia. Po zlokalizowaniu ryzyk Arnica komentuje, podając szczegóły ryzyka i kontekst łagodzenia każdego ryzyka. Arnica może również automatycznie blokować połączenia, gdy istnieje ryzyko, uniemożliwiając im dotarcie do kodu produkcyjnego.
Arnica umożliwia również identyfikację podatnych na ataki zależności od stron trzecich. Czy mógłbyś omówić, jak to działa dla programistów?
Arnica skanuje wszystkie pakiety stron trzecich i ryzyko przy każdym przesyłaniu kodu i powiadamia programistów bezpośrednio za pośrednictwem ChatOps, gdy korzystają z wersji zawierających luki lub wprowadzają pakiet o niskiej reputacji do bazy kodu. 
Jakie inne funkcjonalności oferuje platforma Arnica?
Arnica koncentruje się na zapewnianiu platformy dla zespołów ds. bezpieczeństwa aplikacji, aby uzyskać wgląd we wszystkie zagrożenia w łańcuchu dostaw oprogramowania, móc ustalać priorytety tych zagrożeń oraz móc łatwo powstrzymywać nowe zagrożenia i naprawiać istniejące. Zapewniamy tę możliwość w szerokim zakresie kategorii ryzyka, w tym nadmiernych uprawnień programistów, zagrożeń kodu wynikających ze skanowania SAST (statyczne testowanie bezpieczeństwa aplikacji) i IaC (infrastruktura jako kod), zakodowanych na stałe sekretów, zależności od stron trzecich i nie tylko. 
Czy jest coś jeszcze, czym chciałbyś się podzielić na temat Arniki?
W Arnica, opracowując rozwiązania w zakresie bezpieczeństwa aplikacji i łańcucha dostaw, myślimy o sobie jako o firmie oferującej doświadczenie programistyczne. Chcemy, aby rozwiązywanie problemów związanych z bezpieczeństwem było płynnym i przyjemnym doświadczeniem. Weźmy na przykład nasze rozwiązanie ograniczające ryzyko sekretów. Identyfikujemy sekret podczas wypychania kodu, sprawdzamy go i wysyłamy powiadomienie do programisty w wybranym przez niego narzędziu do czatu. Powiadomienie daje programiście przycisk „Napraw to dla mnie” – który eliminuje sekret z całej historii git bez konieczności pisania przez programistę jakichkolwiek poleceń git. Wystarczy kliknąć. 
Wierzymy, że jeśli sprawimy, że bezpieczeństwo stanie się łatwą i przyjemną częścią programowania, każda organizacja korzystająca z Arniki będzie w lepszej sytuacji.  
Dziękuję za wspaniały wywiad. Czytelnicy chcący dowiedzieć się więcej powinni odwiedzić nas Kupalnik.
       
 Powiązane tematy:
 mm
Partner-założyciel unite.AI i członek Rada Technologiczna Forbesa, Antoine jest futurysta który jest pasjonatem przyszłości sztucznej inteligencji i robotyki.
Jest także Założycielem Securities.io, witryna internetowa skupiająca się na inwestowaniu w przełomowe technologie.