Connect with us

Röportajlar

Nir Valtman, CEO & Founder at Arnica – Interview Series

mm
Published
Updated

Nir Valtman, Arnica’nın CEO’su ve Kurucusu, Arnica platformunun arkasındaki isimdir. Arnica, girişimlerin yazılımlarının temin zincirini risklerden proaktif bir şekilde koruyabilmesini sağlayan ve güvenlik operasyonlarını otomatikleştiren, aynı zamanda geliştiricilerin güvenlikten ödün vermeden veya hızlarını kaybetmeden güvenlikten sorumlu olmasını sağlayan bir platformdur.

Siber güvenliğe ilk olarak neler sizi çekti?

Ben bir hileci zihniyetle büyüdüm. 13 yaşımdayken, ilk kodlama kursunda bilgisayar laboratuvarını yok ettim ve çok az kodlama becerisiyle diğer bilgisayarlara sızdım. İsrail’de askerlik hizmetine katıldığımda, güvenlik konusundaki savunma tarafında pratik bir eğitim aldım ve bu da sonunda siber güvenlik alanında profesyonel kariyerime yol açtı.

Arnica’nın arkasındaki hikayeyi paylaşabilir misiniz?

Arnica’dan önce, Finastra’da, üçüncü büyük küresel FinTek şirketinde Güvenlik Başkan Yardımcısı olarak çalıştım. Ünlü Solarwinds’in tozları henüz yerleşmişti ve CEO’muz bize nasıl bir yazılımların temin zinciri saldırısından etkilenme riskini minimize edebileceğimizi sordu. Bu alanda çözüm geliştiren şirketlerin kapsamlı bir değerlendirmesini yaptık, bazılarıyla kanıtlama konseptleri gerçekleştirdik. Ancak hiçbir satıcı, aradığımız şey için iyi bir uyum değildi: kapsamlı kapsam, risklerin aktif olarak azaltılması ve geliştiriciler için harika bir deneyim. Özellikle geliştirici deneyimi yönü kritikti, çünkü geliştiricilerin iş akışlarını bozan herhangi bir çözümü dayatırsam, reddedilecek ve her şey yeniden başlayacaktı.

Çözüm bulamadığım için, son 5 yıl içinde gerçekleşen tüm yazılımların temin zinciri saldırılarını araştırmaya karar verdim ve bu saldırıların temel semptomlarını ve nasıl önleyebileceğimizi anlamak için bir araştırma gerçekleştirdim. Aynı zamanda, geliştirme ve operasyonlar liderliği deneyimine sahip iki arkadaşım, Eran Medan (CTO) ve Diko Dahan (COO) ile konuştum. Eran ve Diko, benzer zorlukları paylaştılar – Diko, teknoloji operasyonları açısından ve Eran, geliştirme açısından. Hiçbirimizin çözüm bulamamasına rağmen, bir çözümün nasıl olması gerektiği hakkında bir hipotez geliştirdik. Güvenlik, operasyonlar ve mühendislik liderleriyle doğrulama görüşmeleri yaptık ve bu görüşmeler hem sorunu hem de çözümümüzün hipotezini doğruladı. several ay ilerledik ve Ağustos 2021’de Arnica’yı kurduk.

Arnica, uçtan uca davranış tabanlı güvenlik sağlar, davranış tabanlı güvenlik nedir?

Size el yazısı ile yazılmış bir not verilse ve bu notun gerçekten sizin yazdığınız olduğunu söyleseler, muhtemelen bunun gerçekten sizin yazıp yazmadığını anlayabilirsiniz. Örneğin, el yazısı sizin el yazınız değilse, not daha önce doğmadan önce tarihliyse ve Fransızca yazılıysa (Fransızca konuşmayı veya yazmayı bilmiyorsanız), bunun sizin yazmadığınız açık olur. Biz de benzer bir yaklaşımı kod için uyguluyoruz, ancak her geliştirici için binlerce faktörden (makine öğrenmesindeki özellikler olarak da bilinir) oluşan bir profil oluşturuyoruz. Geliştiricilerin eğilimlerini ve davranışlarını gözlemleyerek, normal geliştirme kalıplarından sapmalar gösteren riskleri durdurabiliyoruz. Bu, hesap ele geçirme, iç tehditler ve yazılım geliştirme ile ilgili diğer riskleri durdurabilmemizi sağlar.

Her geliştiricinin çalışma şeklinin nüanslarını nasıl tespit edebiliyor?

Arnica, geliştiricilerin geçmişteki denetim ve kod katkı aktiviteleri temelinde her geliştirici için bir davranış parmak izi oluşturur. Bu parmak izi, geliştiricinin izin kullanımı, kodlama stili, commit dili ve geliştirme uygulamaları açısından bilinen ve beklenen davranışı temsil eder. Gelecekteki tüm aktiviteleri bu parmak izi ile karşılaştırarak, gelecekteki kodun bu geliştiriciden geldiği olasılığını belirleyebiliriz.

Sistem anormal davranışları tespit ettiğinde ne olur?

Güvenlik değerini maksimize etmeye ve aynı zamanda geliştirme sürtünmesini ortadan kaldırmaya çalışıyoruz. Arnica, bir geliştirici hesabından anormal davranış tespit ettiğinde, bunu Arnica’da işaretler ve otomatik olarak geliştiriciye ve güvenlik ekibine, politika yapılandırmanıza göre, doğrudan sohbet aracılığıyla ek bir kimlik doğrulama gönderir.

Arnica, kod denetimi ile nasıl yardımcı oluyor?

Arnica, geliştiricilere kod değişiklikleri pushladıklarında gerçek zamanlı bildirimler sağlar, bu da çekme isteklerine ulaşan risklerin sayısını azaltır. Çekme isteklerine ulaşan riskler için Arnica, otomatik kod kontrolleri sunar. Riskler bulunduğunda, Arnica her risk için risk ayrıntıları ve azaltma bağlamı ile yorum yapar. Arnica ayrıca, risklerin üretim koduna ulaşmasını önlemek için otomatik olarak birleştirmeleri engelleyebilir.

Arnica, geliştiriciler için üçüncü taraf bağımlılıklarının tespit edilmesini de sağlar, bu nasıl çalışır?

Arnica, her kod push’u için üçüncü taraf paketlerini ve riskleri tarar ve geliştiricilere, sohbet operasyonları aracılığıyla, kod tabanına zafiyetli veya düşük itibarlı bir paket ekledikleri zaman doğrudan bildirir.

Arnica platformunun sunduğu diğer işlevler nelerdir?

Arnica, uygulama güvenlik ekiplerine yazılımların temin zinciri riskleri boyunca görünürlük kazandırmayı, bu riskleri önceliklendirmeyi ve yeni riskleri durdurup mevcut riskleri düzeltmeyi sağlayan bir platform sunmayı amaçlıyor. Bu yetenekleri, aşırı geliştirici izinleri, kod riskleri (Statik Uygulama Güvenlik Testi ve Altyapı olarak Kod taraması), sabitlenmiş gizli anahtarlar, üçüncü taraf bağımlılıkları ve daha fazlası dahil olmak üzere geniş bir risk kategorisi yelpazesi boyunca sunuyoruz.

Arnica hakkında paylaşmak istediğiniz başka bir şey var mı?

Arnica’da, uygulama ve temin zinciri güvenlik çözümleri geliştirdiğimiz kadar, kendimizi bir geliştirici deneyimi şirketi olarak görüyoruz. Güvenlik sorunlarını çözmenin sorunsuz ve keyifli bir deneyim olmasını istiyoruz. Örneğin, gizli anahtar azaltma çözümümüzü düşünün. Kod push’u sırasında gizli anahtarı tespit eder, doğrular ve geliştiriciye tercih ettiği sohbet aracında bir bildirim gönderir. Bildirim, geliştiriciye “Çözümü Benim İçin” düğmesi verir, bu da tüm git geçmişinden gizli anahtarı kaldırır, geliştiricinin git komutları yazmasına gerek kalmaz, sadece bir tıklama.

Güvenliği geliştirme deneyiminin keyifli ve sorunsuz bir parçası haline getirebilirsek, Arnica’yı kullanan her organizasyon daha iyi durumda olacaktır.

Harika bir röportaj için teşekkür ederiz, daha fazla bilgi edinmek isteyen okuyucular Arnica sitesini ziyaret edebilir.

Related Topics:
mm

Antoine bir vizyoner lider ve Unite.AI'in kurucu ortağıdır ve AI ve robotik geleceğini şekillendirmek ve tanıtmak için sarsılmaz bir tutkuyla hareket etmektedir. Bir seri girişimci olarak, toplum için elektrik kadar yıkıcı olacağına inandığı AI'nin potansiyeli hakkında sık sık konuşur ve coşkusunu dile getirir.
Bir futurist olarak, bu yeniliklerin dünyamızı nasıl şekillendireceğini keşfetmeye adanmıştır. Ayrıca, Securities.io kurucusudur, bu platform geleceği yeniden tanımlayan ve tüm sektörleri yeniden şekillendiren teknolojilere yatırım yapmaya odaklanmıştır.