Connect with us

Neatsun Ziv, співзасновник і CEO компанії OX Security – Серія інтерв’ю

Інтерв’ю

Neatsun Ziv, співзасновник і CEO компанії OX Security – Серія інтерв’ю

mm
Published
Updated

Neatsun Ziv, співзасновник і CEO компанії OX Security, перебуває на чолі революції у сфері безпеки ланцюга постачання програмного забезпечення для епохи DevSecOps. До заснування OX він обіймав посаду віце-президента з кібербезпеки в компанії Check Point, очолюючи глобальні ініціативи та організовуючи швидкі відповіді на високопрофільні загрози, такі як SolarWinds і NotPetya. Його робота часто ставила його у прямий контакт з Інтерполом, національними CERT та іншими правоохоронними органами під час деяких з найбільш критичних кібер-інцидентів останнього десятиліття.

OX Security є платформою безпеки застосунків, розробленою для того, щоб розрізняти шум, допомагаючи організаціям зосередитися на невеликій частці ризиків, які дійсно мають значення. Використовуючи аналіз експлуатованості, досяжності та впливу на бізнес, платформа забезпечує доказову пріоритезацію протягом усього життєвого циклу розробки програмного забезпечення. З повним покриттям від коду до хмари, понад 100 інтеграціями та безкодовими робочими процесами, OX впроваджує кероване виправлення безпосередньо у робочі процеси розробників, забезпечуючи, щоб заходи безпеки були як ефективними, так і безперешкодними.

До заснування компанії OX Security ви очолювали великі інциденти безпеки в компанії Check Point. Що спонукало вас вирішити, що пора заснувати свою власну компанію, і яку прогалину ви бачили в сфері безпеки застосунків?

Працюючи в компанії Check Point, я особисто пережив “Корпоративний розрив швидкості” – традиційна корпоративна безпека рухається повільніше темпом. Я також бачив, як команди безпеки були досить неефективними в різних аспектах, особливо коли йшлося про правильну пріоритезацію ризиків.

Водночас я визнав, що генераційна штучна інтелект (на той час недорозвинена) представляла майбутнє того, як безпекові інструменти повинні розвиватися, і дійсно, вона рухалася з великою швидкістю. Кілька критичних зрушень відбувалися одночасно:

Прискорення дії загроз: нападники швидко приймали нові технології та техніки, рухаючись швидше, ніж безпекові рішення могли за ними跟увати.

Феномен “Vibe Coding”: на той час цей термін не існував, але я бачив, як розробники все частіше покладалися на інструменти кодування з підтримкою штучної інтелекту, такі як Copilot, фундаментально змінюючи спосіб побудови програмного забезпечення та вводячи зовсім нові безпекові міркування.

Еволюція атак на ланцюг постачання: прискорення атак на ланцюг постачання програмного забезпечення створило термінову потребу в нових підходах до безпеки застосунків, яких існуючі інструменти просто не могли забезпечити.

Покращення всередині існуючих корпоративних структур не було б достатнім для вирішення цих швидко еволюціонуючих проблем.

Моя остаточна реалізація полягала в тому, що загрози рухалися швидко у код – і безпека повинна була слідувати за ними. Нам потрібно було відійти від відомих рамок і почати бігати в новому швидкому забігу.

Основна місія OX полягає в тому, щоб допомогти розробникам зосередитися на 5% уразливостей, які дійсно мають значення. Коли ця ідея кристалізувалася для вас, і як вона формує рішення щодо продукту сьогодні?

Менеджуючи досить великі операції команд розробників, я бачив, як приглушуюча кількість безпекових проблем може бути для них. Вам потрібно зрозуміти, що важливо, а що ні. Перегляд нескінченних списків не сприяє компанії у зменшенні ризику, а навпаки створює розчарування і навіть відштовхує компанії від зменшення ризику, оскільки це просто споживає багато часу та ресурсів.

Це навчило нас, що нам потрібно допомогти розробникам зосередитися на тому, що дійсно має значення – і потім пояснити їм, чому це має значення. Після цього нам потрібно показати їм, як легко вирішити проблему, або навіть краще – вирішити її за них – що зараз стало можливим завдяки інструментам, таким як Agent OX.

Ця ідея стала основою, на якій ми побудували компанію, і це те, що керує усіма нашими рішеннями щодо продукту сьогодні. Кожна функція, кожна можливість, яку ми розробляємо, починається з питання: “Чи допомагає це розробникам зосередитися на тому, що дійсно має значення? Чи зменшує це ризик?”

Платформа центрована на “Code Projection” для карти ризиків по всьому життєвому циклу розробки програмного забезпечення. Чи можете ви пояснити, як працює ця технологія, і що робить її відмінною від інших інструментів управління уразливостями?

Code Projection є фундаментально технологією, яка бачить проблему в коді і знає заздалегідь, як вона поведе себе, коли цей код досягне хмари. Це дозволяє вам вирішувати проблеми довго до того, як вони будуть запущені в продуктивному середовищі – коли ризик вже відкритий.

Це працює шляхом розуміння того, що кожна частина коду має процес, який його будує і приносить до хмари – CI/CD. Ми можемо прочитати код і інтерпретувати, що це означає. Навіть грубий приклад – те, що викривається в інтернеті, очевидно має інші наслідки, ніж те, що не викривається.

Ключова відмінність від інших продуктів полягає в тому, що більшість інструментів закінчують свою роботу довгим списком проблем. Без можливості зосередитися на 5% або навіть менше дійсно значимих ризиків, фільтруючи через ці – ви закінчуєте з термінами, які майже 无релевантні. Ви також не знаєте, якого розробника призначити проблему.

Наш підхід змінює це повністю – ми не тільки ідентифікуємо проблеми, а забезпечуємо контекст, пріоритезацію та чітку власність.

Ви пропонуєте повну інтеграцію по інструментам сканування, керуванню секретами, SBOM, відкриттю SaaS та іншим. Які були деякими з найскладніших технічних проблем у уніфікації всіх цих у безперешкодний досвід розробника?

Найскладнішою проблемою є перетворення даних у інсайти. Дані – це все, про що ви тільки що згадали. Але розробникам потрібна ясність, пункти та обґрунтування. Зосереджена комунікація. Як перетворити гори даних у дієвані інсайти – це найбільша проблема в галузі.

Синтезування цієї інформації таким чином, щоб вона розповідала узгоджену історію та забезпечувала ясні, пріоритезовані дії, які розробники можуть фактично виконувати – це була найбільша проблема.

PBOM (Pipeline Bill of Materials) є інновацією OX. Як вона відрізняється від SBOM, і чому вона є суттєвою для забезпечення сучасних ланцюгів постачання програмного забезпечення?

PBOM є можливістю подивитися на все, що відбувається з програмним забезпеченням від моменту його написання до моменту його потрапляння у продуктивне середовище. SBOM є складовою частиною цього – вона розглядає всі пакети програмного забезпечення, які знаходяться всередині застосунку.

Щоб відповісти на попереднє питання – PBOM є фактично основою, яка дозволяє нам перетворити дані у інсайти, оскільки вона розглядає набагато ширшу картину – всі дані. Вона захоплює весь шлях і трансформацію коду, а не тільки кінцеві компоненти.

Цей комплексний вигляд є суттєвим, оскільки традиційні безпекові інструменти бачать тільки кінцевий результат, пропускаючи критичні вектори атаки, такі як скомпрометовані інструменти побудови, зловмисні коміти або маніпуляція з конвеєром, які відбуваються під час розробки та розгортання.

OX щойно представила Agent OX – нову багатоагентну архітектуру, де кожна модель штучної інтелекту зосереджена на конкретних типах уразливостей та мовах програмування. Що спонукало це рішення щодо дизайну, і як ви забезпечуєте, щоб запропоновані виправлення були як пояснювані, так і довірені в практиці?

Ми створили цей багатоагентний підхід, розглядаючи, як люди розвивають експертизу, і застосовуючи той самий принцип до штучної інтелекту. Щоб бути експертом у якійсь галузі, розробнику потрібно бути експертом у мові, конкретній архітектурі та конкретній організації. Один розробник не може вирішити всі проблеми, і за тією ж логікою один агент штучної інтелекту також не може досягти такого рівня експертизи. Крім того, вам потрібен агент, який може займатися забезпечення якості.

Отже кожен агент розвиває глибоку експертизу у своїй конкретній галузі, як і люди-спеціалісти.

Для довіри та пояснюваності кожен агент не тільки пропонує виправлення, але й пояснює своє обґрунтування, показує свою роботу та дозволяє розробникам зрозуміти точно, чому було вибрано конкретне рішення.

Що спонукало вас зосередитися на однокліковому виправленні безпосередньо всередині робочих процесів розробників? І як ви забезпечуєте, щоб розробники зберігали контроль і не зустрічали непередбачувані побічні ефекти?

Основна ідея полягає у зменшенні тертя та поліпшенні заходів безпеки. Ми надаємо розробникам повний контроль для перегляду та затвердження запропонованого виправлення.

Ключовим є те, що “одноклікове” не означає “автоматичне” – воно означає оптимізоване. Розробники можуть бачити точно, які зміни будуть внесені, розуміти чому, переглядати запропоноване рішення та потім обирати його з однією дією. Контроль та прийняття рішень залишаються повністю в їхніх руках, але ми ліквідуємо ручну роботу з дослідження та реалізації виправлення.

Ви рахуєте Microsoft, IBM та SoFi серед своїх клієнтів. Як ці корпоративні відносини формують вашу дорожню карту та процес зворотного зв’язку для інструментів, таких як Agent OX?

Ми працюємо з сотнями клієнтів, і десятки з них відкрито діляться з нами проблемами, з якими вони зустрічаються. Ці глибокі дискусії щодо дорожньої карти та дизайнерських шаблонів є основою нашої здатності до тонкої настройки запропонованого рішення. Ми високо цінуємо відносини з нашими клієнтами та бачимо їх як верхній пріоритет для нас як компанії, і яке керує нами, коли ми розуміємо реальні потреби та створюємо рішення для їх вирішення.

Як інструменти безпеки штучної інтелекту стають більш поширеними, як ви балансуйте автоматизацію з довірою та контролем розробників? Де ви проводите межу між асистивним та автономним?

Як ми бачили в попередніх революціях, ті, хто не сідає на вагон, не виживають. Ми починаємо бачити організації, з якими ми працюємо, які перекинули всі свої ресурси на прийняття штучної інтелекту, оскільки вони розуміють, що ми є свідками революції.

Це фактично наші найбільш співробітничі клієнти, оскільки вони стикаються з новим невідомим напруженням: їхнім розробникам потрібно рухатися швидко з інструментами штучної інтелекту, але вони стурбовані втратою контролю. Вони навіть готові прийняти ризик та тимчасову втрату контролю, щоб отримати конкурентну перевагу, але їм потрібно, щоб ми допомогли їм відновити довіру. Наша робота полягає в тому, щоб дозволити їм швидкість, якої їм потрібно, одночасно відновлюючи довіру до процесу.

OX щойно закрила $60M Серії B. Як це фінансування прискорить наступну фазу зростання OX – чи на технічній, чи на ринку, чи на міжнародному розширенні?

Нове фінансування є фундаментально про розширення, і також допоможе нам поліпшити наші можливості з ідентифікації ризиків, що походять від коду, згенерованого штучною інтелекту, яке ми зараз бачимо з запуском Agent OX.

Ми вже аналізуємо понад 100 мільйонів рядків коду щодня для понад 200 платних клієнтів. Це фінансування позиціонує нас для масштабування цього впливу глобально, одночасно зберігаючи наш фокус на тих основних питаннях, які завжди керували нами: “Чи допомагає це розробникам зосередитися на тому, що має значення? Чи зменшує це ризик?”

Дякую за велике інтерв’ю. Читачам, які бажають дізнатися більше, слід відвідати OX Security.

mm

Антуан є видним лідером і засновником Unite.AI, який рухає невпинною пристрастю до формування та просування майбутнього штучного інтелекту та робототехніки. Як серійний підприємець, він вважає, що штучний інтелект буде таким же революційним для суспільства, як і електрика, і часто захоплюється потенціалом деструктивних технологій та AGI.

Як футуролог, він присвячений дослідженню того, як ці інновації сформують наш світ. Крім того, він є засновником Securities.io, платформи, орієнтованої на інвестування в передові технології, які переінакшують майбутнє та змінюють цілі сектори.