Інтерв’ю

Неатсун Зів, співзасновник і генеральний директор OX Security – Серія інтерв’ю

mm
Published
Updated

Неатсун Зів, співзасновник і генеральний директор OX Security, перебуває на передовій пере визначення безпеки ланцюга постачання програмного забезпечення для епохи DevSecOps. До заснування OX він обіймав посаду віце-президента з кібербезпеки в Check Point, очолюючи глобальні ініціативи та організовуючи швидкі відповіді на високопрофільні загрози, такі як SolarWinds і NotPetya. Його робота часто ставила його у прямий контакт з Інтерполом, національними CERT та іншими правоохоронними органами під час деяких з найбільш критичних кібер-інцидентів останнього десятиліття.

OX Security – це платформа безпеки застосунків, розроблена для того, щоб розрізняти шум, допомагаючи організаціям зосередитися на невеликій частці ризиків, які дійсно мають значення. Використовуючи аналіз експлуатації, досяжності та бізнес-впливу, платформа забезпечує доказову пріоритезацію протягом усього життєвого циклу розробки програмного забезпечення. З повним покриттям від коду до хмари, 100+ інтеграціями та безкодовими робочими процесами, OX впроваджує спрямоване виправлення безпосередньо у робочі процеси розробників, забезпечуючи, щоб заходи безпеки були як ефективними, так і безперешкодними.

До заснування OX Security ви очолювали великі інциденти безпеки в Check Point. Що змусило вас вирішити, що пора заснувати свою власну компанію, і яку прогалину ви бачили в сфері безпеки застосунків?

Працюючи в Check Point, я особисто пережив “Корпоративний розрив швидкості” – традиційна корпоративна безпека рухається повільніше. Я також бачив, як команди безпеки були досить неефективними в різних аспектах, особливо коли йшлося про пріоритезацію ризиків.

Водночас я визнав, що генераційна штучна інтелект (на той час недорозвинена) представляла майбутнє того, як безпекові інструменти повинні розвиватися, і дійсно, вона рухалася з великою швидкістю. Кілька критичних зрушень відбувалися одночасно:

Прискорення дій загроз: нападники швидко приймали нові технології та техніки, рухаючись швидше, ніж безпекові рішення могли за ними跟увати.

Феномен “Vibe Coding”: термін не існував на той час, але я бачив, як розробники все більше покладалися на інструменти штучної інтелекту, такі як Copilot, фундаментально змінюючи спосіб побудови програмного забезпечення та вводячи зовсім нові безпекові міркування.

Еволюція атак на ланцюг постачання: прискорення атак на ланцюг постачання програмного забезпечення створило термінову потребу у нових підходах до безпеки застосунків, яких не могли забезпечити існуючі інструменти.

Покращення всередині існуючих корпоративних структур не було достатнім для вирішення цих швидко еволюційних проблем.

Моя остаточна думка полягала в тому, що загрози рухалися швидко у код – і безпека повинна слідувати за ними. Нам потрібно було розірвати звичні рамки та почати бігати у новому швидкому забігу.

Основна місія OX полягає в тому, щоб допомогти розробникам зосередитися на 5% уразливостей, які дійсно мають значення. Коли ця ідея кристалізувалася для вас, і як вона формує рішення щодо продукції сьогодні?

Керуючи досить великими операціями команд розробників, я бачив, як величезна кількість безпекових питань може бути перевантажуючою. Вам потрібно зрозуміти, що є важливим, а що ні. Перегляд нескінченних списків не сприяє компанії у зменшенні ризику. Натомість це створює розчарування та навіть відштовхує компанії від зменшення ризику, оскільки це просто споживає багато часу та ресурсів.

Це навчило нас, що нам потрібно допомогти розробникам зосередитися на тому, що дійсно має значення – і потім пояснити їм, чому це має значення. Після цього нам потрібно показати їм, як легко вирішити цю проблему, або краще ще – вирішити її за них – що тепер можливе завдяки інструментам, таким як Agent OX.

Ця ідея стала основою, на якій ми побудували компанію, і це те, що керує всіма нашими рішеннями щодо продукції сьогодні. Кожна функція, кожна можливість, яку ми розробляємо, починається з питання: “Чи допомагає це розробникам зосередитися на тому, що дійсно має значення? Чи зменшує це ризик?”

Платформа центрована на “Code Projection”, щоб відобразити ризики по всьому життєвому циклу розробки програмного забезпечення. Чи можете ви пояснити, як працює ця технологія, і що робить її різною від інших інструментів управління уразливостями?

Code Projection – це фундаментально технологія, яка бачить проблему в коді та знає заздалегідь, як вона поведеться, коли цей код досягне хмари. Це дозволяє вам вирішувати проблеми довго до того, як вони будуть запущені в виробництві – коли ризик вже відкритий.

Це працює шляхом розуміння того, що кожна частина коду має процес, який будує її та приносить до хмари – CI/CD. Ми можемо прочитати код та інтерпретувати, що він означає. Щоб дати прямий приклад – те, що викладається в інтернет, очевидно має інші наслідки, ніж те, що не викладається.

Ключова різниця від інших продуктів полягає в тому, що більшість інструментів закінчують свою роботу довгим списком проблем. Без можливості зосередитися на 5% або навіть менше дійсно значимих ризиків, фільтруючи через ці списки – ви закінчуєте тим, що маєте терміни, які майже не мають значення. Ви також не знаєте, якого розробника призначити питання.

Наш підхід змінює це повністю – ми не тільки визначаємо проблеми, а й забезпечуємо контекст, пріоритезацію та чітку власність.

Ви пропонуєте повну інтеграцію по всім інструментам сканування, управлінню секретами, SBOM, відкриттю SaaS та іншим. Які були деякі з найскладніших технічних проблем у об’єднанні всіх цих елементів у безперешкодний досвід розробника?

Найбільшою проблемою є перетворення даних у інсайти. Дані – це все, про що ви тільки що згадали. Але розробникам потрібна ясність, пункти та обґрунтування. Зосереджена комунікація. Як перетворити гори даних у діючі інсайти – це найбільша проблема в галузі.

Синтезування цієї інформації таким чином, щоб вона розповідала сповідальну історію та забезпечувала чіткі, пріоритезовані дії, які розробники можуть фактично виконувати – це була найбільша проблема.

PBOM (Pipeline Bill of Materials) – це інновація OX. Як вона відрізняється від SBOM, і чому вона є важливою для забезпечення безпеки сучасних ланцюгів постачання програмного забезпечення?

PBOM – це можливість подивитися на все, що відбувається з програмним забезпеченням від моменту його написання до моменту його потрапляння у виробництво. SBOM – це складова частина цього – вона розглядає всі програмні пакети, які знаходяться всередині застосунку.

Щоб відповісти на попереднє питання – PBOM є фундаментом, який дозволяє нам перетворити дані у інсайти, оскільки вона розглядає набагато ширшу картину – всі дані. Вона захоплює весь шлях та трансформацію коду, а не тільки кінцеві компоненти.

Цей комплексний вигляд є важливим, оскільки традиційні інструменти безпеки бачать тільки кінцевий результат, пропускаючи критичні вектори атак, такі як скомпрометовані інструменти побудови, зловмисні коміти або маніпуляція з конвеєром, які відбуваються під час розробки та розгортання.

OX щойно представила Agent OX – нову багатокомпонентну архітектуру, у якій кожна модель штучної інтелекту зосереджена на конкретних типах уразливостей та мовах програмування. Що спонукало це рішення щодо дизайну, і як ви забезпечуєте, щоб запропоновані виправлення були як пояснювані, так і довірені на практиці?

Ми створили цей багатокомпонентний підхід, розглянувши, як люди розвивають експертизу, та застосувавши той же принцип до штучної інтелекту. Щоб бути експертом у чомусь, розробнику потрібно бути експертом у мові, конкретній архітектурі та конкретній організації. Один розробник не може виправити всі проблеми, і за тією ж логікою одна модель штучної інтелекту також не може досягти такого рівня експертизи. Крім того, ви хочете агента, який може займатися забезпечення якості.

Таким чином кожен агент розвиває глибоку експертизу у своїй конкретній галузі, як і люди-спеціалісти.

Для довіреності та пояснюваності кожен агент не тільки пропонує виправлення, а й пояснює своє мислення, показує свою роботу та дозволяє розробникам зрозуміти, чому було вибрано конкретне рішення.

Що змусило вас зосередитися на однокліковому виправленні безпосередньо у робочих процесах розробників? І як ви забезпечуєте, щоб розробники зберігали контроль та не зустрічали непередбачувані побічні ефекти?

Основна ідея полягає в тому, щоб зменшити тертя та підвищити безпеку виправлень. Ми надаємо розробникам повний контроль для перегляду та перевірки запропонованого виправлення перед його прийняттям.

Ключовим є те, що “одноклікове” не означає “автоматичне” – воно означає оптимізоване. Розробникам можна побачити точно, що буде змінено, зрозуміти, чому, переглянути запропоноване рішення та потім вибрати його застосування одним діянням. Контроль та прийняття рішень залишаються повністю в їхніх руках, але ми усуваємо ручну роботу з дослідження та реалізації виправлення.

Ви рахуєте Microsoft, IBM та SoFi серед своїх клієнтів. Як ці корпоративні відносини формують вашу дорожню карту та процес зворотного зв’язку для інструментів, таких як Agent OX?

Ми працюємо з сотнями клієнтів, і десятки з них відкрито діляться з нами проблемами, з якими вони зустрічаються. Ці глибокі дискусії про дорожню карту та шаблони дизайну є основою нашої можливості дофільтрувати запропоноване рішення. Ми дуже цінуємо відносини, які ми маємо з нашими клієнтами, та бачимо їх як головний пріоритет для нас як компанії, який керує нами, коли ми розуміємо реальні потреби та створюємо рішення для їх вирішення.

Як інструменти безпеки штучної інтелекту стають більш популярними, як ви балансуйте автоматизацію з довірою та контролем розробників? Де ви проводите межу між допоміжним та автономним?

Як ми бачили в попередніх революціях, ті, хто не сідає на вагон, не виживає. Ми починаємо бачити організації, з якими ми працюємо, які перейшли всі свої ресурси на прийняття штучної інтелекту, оскільки вони розуміють, що ми є свідками революції.

Це насправді наші найбільш співробітничі клієнти, оскільки вони стикаються з новим невідомим напруженням: їхнім розробникам потрібно рухатися швидко з інструментами штучної інтелекту, але вони стурбовані втратою контролю. Вони навіть готові прийняти ризик та тимчасову втрату контролю, щоб здобути конкурентну перевагу, але їм потрібно, щоб ми допомогли їм відновити довіру. Наша робота полягає в тому, щоб дати їм швидкість, якої їм потрібно, одночасно відновлюючи довіру до процесу.

Ви нещодавно закрили серію B на суму 60 мільйонів доларів. Як це фінансування прискорить наступну фазу зростання OX – чи то на технічній, чи то на ринку, чи то на міжнародному рівні?

Нове фінансування фундаментально стосується розширення, та також допоможе нам покращити наші можливості щодо ідентифікації ризиків, пов’язаних з кодом, згенерованим штучною інтелектом, яких ми зараз починаємо бачити з запуском Agent OX.

Ми вже аналізуємо понад 100 мільйонів рядків коду щодня для понад 200 платних клієнтів. Це фінансування позиціонує нас для масштабування цього впливу глобально, одночасно зберігаючи наш фокус на основних питаннях, які завжди керували нами: “Чи допомагає це розробникам зосередитися на тому, що дійсно має значення? Чи зменшує це ризик?”

Дякуємо за велике інтерв’ю, читачам, які бажають дізнатися більше, слід відвідати OX Security.

mm

Антуан є видним лідером і засновником Unite.AI, який рухає невпинною пристрастю до формування та просування майбутнього штучного інтелекту та робототехніки. Як серійний підприємець, він вважає, що штучний інтелект буде таким же революційним для суспільства, як і електрика, і часто захоплюється потенціалом деструктивних технологій та AGI.

Як футуролог, він присвячений дослідженню того, як ці інновації сформують наш світ. Крім того, він є засновником Securities.io, платформи, орієнтованої на інвестування в передові технології, які переінакшують майбутнє та змінюють цілі сектори.