Connect with us

Інтерв’ю

Nir Valtman, CEO & Founder at Arnica – Інтерв’ю Серія

mm
Published
Updated

Nir Valtman є CEO і засновником компанії Arnica, платформи, яка дозволяє підприємствам проактивно захищати програмне забезпечення ланцюга постачання від ризиків шляхом автоматизації щоденних операцій з безпеки та надання розробникам можливості володіти безпекою без ризику чи компромісу швидкості.

Що спочатку привернуло вас до кібербезпеки?

Я виріс з менталітетом хакера. Я почав з того, що знищив комп’ютерну лабораторію на своєму першому курсі програмування та хакнув інші комп’ютери з мінімальними навичками програмування, все це було мені 13 років. Коли я вступив на армійську службу в Ізраїлі, я отримав практичну освіту в галузі оборони безпеки, що в кінцевому підсумку привело мене до професійної кар’єри в галузі кібербезпеки.

Чи можете ви поділитися історією створення компанії Arnica?

До створення компанії Arnica я працював у компанії Finastra, третьому за величиною глобальному FinTech-концерні, на посаді віце-президента з безпеки. Пил від відомої атаки на Solarwinds тільки що осідав, і наш CEO запитав мене, як ми можемо мінімізувати ризик бути вплинутим на програмне забезпечення ланцюга постачання. Ми провели комплексну оцінку компаній, які будують рішення в цій сфері, деякі з яких ми провели тестування. Жодна з цих компаній не була хорошим варіантом для того, що ми шукали: повне покриття, активна мінімізація ризиків та гарний досвід для розробників. Особливо важливим був аспект досвіду розробників, оскільки будь-яке рішення, яке я нав’язую розробникам, що порушує їх робочий процес, буде відхилено, і ми знову повернемося до початку.

Не знайшовши рішення, я вирішив дослідити кожну атаку на програмне забезпечення ланцюга постачання, яка відбулася за останні 5 років, щоб сформувати розуміння ключових симптомів та того, як їх попередити. Водночас я говорив з двома друзями, Ераном Меданом (CTO) і Діко Даханом (COO), які мали великий досвід у сфері розробки та операцій. Еран і Діко висловили подібні проблеми у пошуках рішення – Діко з технічної точки зору, а Еран – з точки зору розробки. Оскільки ми всі не знайшли рішення, ми сформулювали гіпотезу про те, яким повинно бути рішення. Ми провели десятки валідних дзвінків з лідерами безпеки, операцій та інженерії, які підтвердили проблему та нашу гіпотезу про необхідне рішення. Пропустимо кілька місяців вперед до серпня 2021 року, і ми заснували компанію Arnica.

Arnica надає поведінкову безпеку від кінця до кінця, можете ви визначити, що таке поведінкова безпека?

Якщо хтось дав вам написаний від руки лист і сказав, що ви його написали, ви, ймовірно, зможете сказати, чи це真的 ваша робота. Якщо, наприклад, почерк не ваш, лист датований до вашого народження, і він написаний французькою (яку ви не знаєте), то буде ясно, що ви не автор. Ми підходимо до коду подібним чином, окрім того, що ми створюємо профіль кожного розробника, який складається з тисяч факторів (також відомих як функції машинного навчання). Відстежуючи тенденції та поведінку розробників, ми можемо зупинити ризики, які відхиляються від їх звичайних моделей розробки. Це допомагає нам зупинити захоплення облікових записів, внутрішні загрози та інші ризики, пов’язані з розробкою програмного забезпечення.

Чи можете ви обговорити, як платформа може ідентифікувати нюанси того, як кожен розробник працює?

Arnica використовує історичні дані аудиту та діяльності коду, щоб створити поведінковий відбиток для кожного розробника. Цей відбиток представляє відому та очікувану поведінку використання дозволів розробником, стилю кодування, мови комітів та практики розробки. Ми потім можемо порівняти всю майбутню діяльність з цим відбитком, щоб визначити ймовірність того, що майбутній код походять від цього автора.

Що відбувається, коли система прапорець аномальну поведінку?

Ми завжди прагнемо максимізувати безпеку та одночасно усунути розробницький тертя. Коли Arnica виявляє аномальну поведінку від облікового запису розробника, ми прапорець його в Arnica та автоматично надсилаємо додаткову автентифікацію через прямий чат розробнику, про який йдеться, та команді безпеки згідно з вашою конфігурацією політики.

Як Arnica допомагає з аудитом коду?

Arnica надає повідомлення в режимі реального часу розробникам, коли вони роблять зміни коду, зменшуючи кількість ризиків, які досягають запитів на прийняття. Для тих ризиків, які досягають запитів на прийняття, Arnica вводить автоматичні перевірки коду на PR. Коли ризики виявляються, Arnica коментує ризики та контекст мінімізації для кожного ризику. Arnica також може автоматично блокувати злиття, де існують ризики, запобігаючи їм від досягнення виробничого коду.

Arnica також дозволяє ідентифікувати вразливі залежності третіх сторін, можете ви обговорити, як це працює для розробників?

Arnica сканує всі пакети третіх сторін та ризики на кожному коді, і повідомляє розробникам безпосередньо через ChatOps, коли вони використовують версії з уразливостями або вводять пакет низької репутації в код.

Які інші функції пропонуються платформою Arnica?

Arnica зосереджена на наданні платформи для команд застосункової безпеки, щоб отримати видимість усіх ризиків ланцюга постачання програмного забезпечення, щоб能够 пріоритизувати ці ризики та легко зупиняти нові ризики та виправляти існуючі ризики. Ми надаємо цю можливість по широкому спектру категорій ризиків, включаючи надмірні дозволи розробників, ризики коду, що результатують з SAST (Статичне тестування безпеки застосунка) та IaC (Інфраструктура як код) сканування, закодовані секрети, залежності третіх сторін та інше.

Чи є щось інше, що ви хотіли б поділитися про Arnica?

У компанії Arnica, так само, як ми розробляємо рішення безпеки застосунка та ланцюга постачання, ми вважаємо себе компанією досвіду розробників. Ми хочемо зробити розв’язання проблем безпеки безперешкодним та приємним досвідом. Взявши, наприклад, наше рішення з мінімізації секретів. Ми ідентифікуємо секрет на етапі кодування, ми валідуємо його, і ми надсилаємо повідомлення розробнику в його інструменті чату на вибір. Повідомлення надає розробнику кнопку – «Вирішити це для мене» – яка усуває секрет з усієї історії git без того, щоб розробник мав писати будь-які команди git. Просто кліком.

Ми вважаємо, що якщо ми можемо зробити безпеку легкою та приємною частиною досвіду розробників, кожна організація, яка використовує Arnica, буде краще.

Дякую за велике інтерв’ю, читачам, які бажають дізнатися більше, слід відвідати Arnica.

Related Topics:
mm

Антуан є видним лідером і засновником Unite.AI, який рухає невпинною пристрастю до формування та просування майбутнього штучного інтелекту та робототехніки. Як серійний підприємець, він вважає, що штучний інтелект буде таким же революційним для суспільства, як і електрика, і часто захоплюється потенціалом деструктивних технологій та AGI.

Як футуролог, він присвячений дослідженню того, як ці інновації сформують наш світ. Крім того, він є засновником Securities.io, платформи, орієнтованої на інвестування в передові технології, які переінакшують майбутнє та змінюють цілі сектори.