Intervjuer

Neatsun Ziv, medgrundare och VD för OX Security – Intervju-serie

mm
Published
Updated

Neatsun Ziv, medgrundare och VD för OX Security, är i framkant när det gäller att omdefiniera säkerheten för programvaruleverantörskedjan under DevSecOps-eran. Innan han grundade OX var han vice VD för cybersäkerhet på Check Point, där han ledde globala initiativ och samordnade snabba svar på välkända hot som SolarWinds och NotPetya. Hans arbete ledde ofta till direkt samarbete med Interpol, nationella CERT och andra verkställande myndigheter under några av de mest kritiska cyberriskerna under det senaste decenniet.

OX Security är en plattform för programsäkerhet som är utformad för att skära igenom bruset och hjälpa organisationer att fokusera på den lilla procenten av risker som verkligen är viktiga. Genom att använda analys av exploaterbarhet, nåbarhet och affärspåverkan levererar plattformen evidensbaserad prioritering över hela programvaruutvecklingslivscykeln. Med fullständig täckning från kod till moln, 100+ integreringar och arbetsflöden utan kod, integrerar OX vägledande åtgärder direkt i utvecklarnas arbetsflöden, vilket säkerställer att säkerhetsåtgärderna är både effektiva och friktionsfria.

Innan du grundade OX Security ledde du stora incidenter på Check Point. Vad gjorde att du bestämde dig för att starta ditt eget företag, och vilken lucka såg du i programsäkerhetsområdet?

Jag upplevde “Corporate Velocity Gap” – traditionell säkerhetsföretag rör sig i en långsammare takt. Jag såg också hur säkerhetsteam var ganska ineffektiva på olika sätt, särskilt när det gällde att prioritera risker korrekt.

Samtidigt insåg jag att generativ AI (som då var outvecklad) representerade framtiden för hur säkerhetsverktyg behövde utvecklas, och det rörde sig i hög hastighet. Flera kritiska förändringar skedde samtidigt:

Hotaktörernas acceleration: Angriparna antog snabbt nya teknologier och tekniker, och rörde sig snabbare än säkerhetslösningarna kunde hålla jämna steg med.

“Vibe Coding”-fenomenet: Utvecklare började alltmer lita på AI-assisterade verktyg för kodning som Copilot, och förändrade grundläggande hur programvara byggs och introducerade helt nya säkerhetsaspekter.

Programvaruleverantörskedjans utveckling: Accelerationen av programvaruleverantörskedjeattacker skapade ett brådskande behov av nya tillvägagångssätt för programsäkerhet som befintliga verktyg inte tillfredsställde.

Inkrementella förbättringar inom befintliga företagsstrukturer skulle inte räcka för att hantera dessa snabbt utvecklande utmaningar.

Min slutliga insikt var att hoten rörde sig snabbt in i koden – och säkerheten behövde följa efter. Vi behövde bryta oss loss från de kända ramarna och börja springa i ett nytt snabbt lopp.

OX:s kärnuppdrag är att hjälpa utvecklare att fokusera på de 5% av sårbarheter som verkligen är viktiga. När kristalliserade den insikten för dig, och hur formar den produktbeslut idag?

Jag har hanterat ganska stora utvecklingsteam och sett hur överväldigande mängden säkerhetsrelaterade problem kan vara. Du behöver förstå vad som är viktigt och vad som inte är det. Att gå igenom oändliga listor främjar inte företaget mot riskreducering. Istället skapar det frustration och får till och med företag att avvika från att reducera risk eftersom det bara konsumerar så mycket tid och resurser.

Detta lärde oss att vi behöver hjälpa utvecklare att fokusera på vad som verkligen är viktigt – och sedan förklara för dem varför det är viktigt. Efter det behöver vi visa dem hur de kan lösa det enkelt, eller bättre ännu – lösa det åt dem – vilket nu är möjligt med verktyg som Agent OX.

Denna insikt blev grunden för vilken vi byggde företaget, och det är vad som vägleder alla våra produktbeslut idag. Varje funktion, varje förmåga vi utvecklar börjar med frågan: “Hjälper detta utvecklare att fokusera på vad som verkligen är viktigt? Reducerar detta risken?”

Plattformen kretsar kring “Code Projection” för att kartlägga risker över hela SDLC. Kan du förklara hur denna teknik fungerar och vad som gör den annorlunda än andra sårbarhets hanteringsverktyg?

Code Projection är i grunden en teknik som ser ett problem i koden och vet i förväg hur det kommer att bete sig när koden når molnet. Detta möjliggör att lösa problem långt innan de är i produktion – när risken redan är exponerad.

Det fungerar genom att förstå att varje bit kod har en process som bygger och tar den till molnet – CI/CD. Vi kan läsa koden och tolka vad den betyder. För att ge ett brutalt exempel – vad som exponeras för internet har uppenbarligen olika konsekvenser än vad som inte gör det.

Den viktigaste skillnaden från andra produkter är att de flesta verktyg slutar sitt arbete med en lång lista med problem. Utan att kunna fokusera på de 5% eller ännu färre av verkligt betydande risker, filtrerar du igenom dessa – du hamnar med tidsramar som är nästan irrelevanta. Du vet inte heller vilken utvecklare du ska tilldela problemet.

Vår tillvägagångssätt förändrar detta helt – vi identifierar inte bara problem, vi tillhandahåller sammanhang, prioritering och tydligt ägandeskap.

Erbjuder fullständig integrering över skanningsverktyg, hemlighets hantering, SBOM, SaaS-upptäckt och mer. Vilka var några av de svåraste tekniska utmaningarna i att förena allt detta i en sömlös utvecklarupplevelse?

Det svåraste problemet är att omvandla data till insikter. Data är allt du just nämnde. Men utvecklare behöver klarhet, punkter och resonemang. Fokuserad kommunikation. Hur man omvandlar berg av data till handlingsbara insikter – det är den största utmaningen i branschen.

Att syntetisera den informationen på ett sätt som berättar en sammanhängande historia och tillhandahåller tydliga, prioriterade åtgärder som utvecklare faktiskt kan utföra – det var den största utmaningen.

PBOM (Pipeline Bill of Materials) är en OX-innovation. Hur skiljer sig det från SBOM, och varför är det avgörande för att säkra moderna programvaruleverantörskedjor?

PBOM är förmågan att se på allt som händer med programvara från det ögonblick den skrivs till den är i produktion. SBOM är en komponent inom det – det tittar på alla programvarupaket som finns i en applikation.

För att svara på den tidigare frågan – PBOM är faktiskt grunden som möjliggör att omvandla data till insikter, eftersom det tittar på en mycket bredare bild – all data. Det fångar hela resan och omvandlingen av kod, inte bara de slutliga komponenterna.

Denna omfattande vy är avgörande eftersom traditionella säkerhetsverktyg bara ser slutresultatet och missar kritiska attackvektorer som komprometterade byggverktyg, skadliga commits eller pipeline-manipulation som sker under utveckling och distribution.

OX avslöjade nyligen Agent OX – en ny multi-agentarkitektur där varje AI-modell är fokuserad på specifika sårbarhetstyper och programmeringsspråk. Vad drev detta designbeslut, och hur säkerställer du att de lösningar det föreslår är både förklarliga och pålitliga i praktiken?

Vi skapade detta multi-agenttillvägagångssätt genom att titta på hur människor utvecklar expertis och tillämpa samma princip på AI. För att vara expert på något behöver en utvecklare vara expert på språket, den specifika arkitekturen och den specifika organisationen. En ensam utvecklare kan inte lösa alla problem, och på samma sätt kan en ensam AI-agent inte nå den nivån av expertis. Dessutom vill du ha en agent som kan hantera kvalitetssäkring.

Varje agent utvecklar djup expertis inom sitt specifika område, precis som mänskliga specialister gör.

För tillförlitlighet och förklarbarhet föreslår varje agent inte bara lösningar utan förklarar också sitt resonemang, visar sitt arbete och tillåter utvecklare att förstå exakt varför en specifik lösning valdes.

Vad ledde dig att fokusera på enklicksåtgärd direkt inuti utvecklarnas arbetsflöden? Och hur säkerställer du att utvecklare behåller kontrollen och inte möter oavsiktliga bieffekter?

Huvudidén är att reducera friktion och förbättra säkerhetsåtgärder. Vi ger utvecklare fullständig kontroll för att granska och validera den föreslagna lösningen innan de accepterar den.

Nyckeln är att “enklick” inte betyder “automatisk” – det betyder strömlinjeformat. Utvecklare kan se exakt vad som kommer att ändras, förstå varför, granska den föreslagna lösningen och sedan välja att tillämpa den med en enda åtgärd. Kontrollen och beslutsfattandet förblir helt i deras händer, men vi eliminerar det tråkiga manuella arbetet med att forska och implementera lösningen.

Er räknar Microsoft, IBM och SoFi bland era kunder. Hur formar dessa företagsrelationer er vägkarta och återkopplingsprocess för verktyg som Agent OX?

Vi arbetar med hundratals kunder, och dussintals av dem delar öppet med oss de utmaningar de möter. Dessa djupa diskussioner om vägkarta och designmönster är hörnstenen i vår förmåga att finjustera den föreslagna lösningen. Vi värdesätter starkt de relationer vi har med våra kunder och ser dem som vår främsta prioritet som företag, och som vägleder oss när vi förstår verkliga behov och skapar lösningar för att lösa dem.

När AI-säkerhetsverktyg blir alltmer mainstream, hur balanserar du automatisering med utvecklartillit och kontroll? Var drar du gränsen mellan assistent och autonom?

Som vi har sett i tidigare revolutioner, de som inte hoppar på vagnen överlever inte. Vi börjar se organisationer vi arbetar med som har flyttat alla sina resurser till AI-antagande eftersom de förstår att vi är vittnen till en revolution.

Dessa är faktiskt våra mest samarbetsvilliga kunder eftersom de står inför en ny okartad spänning: deras utvecklare behöver flytta snabbt med AI-verktyg, men de är oroliga för att förlora kontrollen. De är till och med villiga att acceptera risken och tillfällig förlust av kontroll för att få en konkurrensfördel, men de behöver vår hjälp för att återfå förtroendet. Vår uppgift är att ge dem den hastighet de behöver, samtidigt som vi återuppbygger förtroendet för processen.

Nyligen avslutade ni en finansieringsrunda på 60 miljoner dollar i serie B. Hur kommer denna finansiering att accelerera OX:s nästa tillväxtfas – antingen på teknik-, marknads- eller internationell expansionsidan?

Den nya finansieringen handlar i grunden om expansion och kommer också att hjälpa oss att förbättra våra förmågor att identifiera risker som härrör från AI-genererad kod, som vi nu ser med lanseringen av Agent OX.

Vi analyserar redan över 100 miljoner rader kod dagligen för mer än 200 betalande kunder. Denna finansiering möjliggör att vi kan skala den påverkan globalt samtidigt som vi behåller fokus på de centrala frågorna som alltid har väglett oss: “Hjälper detta utvecklare att fokusera på vad som är viktigt? Reducerar detta risken?”

Tack för den utmärkta intervjun, läsare som vill lära sig mer kan besöka OX Security.

mm

Antoine är en visionär ledare och medgrundare av Unite.AI, driven av en outtröttlig passion för att forma och främja framtiden för AI och robotik. En serieentreprenör, han tror att AI kommer att vara lika omstörtande för samhället som elektricitet, och fångas ofta i extas över potentialen för omstörtande teknologier och AGI. Som en futurist, är han dedikerad till att utforska hur dessa innovationer kommer att forma vår värld. Dessutom är han grundare av Securities.io, en plattform som fokuserar på att investera i banbrytande teknologier som omdefinierar framtiden och omformar hela sektorer.