Phỏng vấn
Neatsun Ziv, Đồng sáng lập và Giám đốc điều hành của OX Security – Chuỗi phỏng vấn
Neatsun ZivÔng là Đồng sáng lập kiêm Tổng giám đốc điều hành của OX Secuity, người đi đầu trong việc định nghĩa lại bảo mật chuỗi cung ứng phần mềm cho kỷ nguyên DevSecOps. Trước khi thành lập OX, ông từng là Phó chủ tịch An ninh mạng tại Check Point, dẫn dắt các sáng kiến toàn cầu và chỉ đạo phản ứng nhanh chóng trước các mối đe dọa nghiêm trọng như SolarWinds và NotPetya. Công việc của ông thường xuyên đòi hỏi sự hợp tác trực tiếp với Interpol, các CERT quốc gia và các cơ quan thực thi pháp luật khác trong một số sự cố an ninh mạng nghiêm trọng nhất của thập kỷ qua.
bảo mật OX là một nền tảng bảo mật ứng dụng được thiết kế để loại bỏ nhiễu, giúp các tổ chức tập trung vào tỷ lệ nhỏ các rủi ro thực sự quan trọng. Tận dụng khả năng phân tích khả năng khai thác, khả năng tiếp cận và tác động kinh doanh, nền tảng này cung cấp khả năng ưu tiên dựa trên bằng chứng trong toàn bộ vòng đời phát triển phần mềm. Với phạm vi bao phủ toàn diện từ mã nguồn đến đám mây, hơn 100 tích hợp và quy trình làm việc không cần mã nguồn, OX tích hợp các biện pháp khắc phục có hướng dẫn trực tiếp vào quy trình làm việc của nhà phát triển, đảm bảo các biện pháp bảo mật vừa hiệu quả vừa trơn tru.
Trước khi đồng sáng lập OX Security, anh đã chỉ đạo các hoạt động ứng phó sự cố lớn tại Check Point. Điều gì khiến anh quyết định đã đến lúc thành lập công ty riêng, và anh thấy còn thiếu sót gì trong lĩnh vực bảo mật ứng dụng?
Làm việc tại Check Point, tôi đã trực tiếp trải nghiệm “Khoảng cách tốc độ doanh nghiệp” – các doanh nghiệp an ninh truyền thống thường di chuyển chậm hơn. Tôi cũng thấy các nhóm an ninh khá kém hiệu quả ở nhiều khía cạnh, đặc biệt là khi ưu tiên rủi ro một cách chính xác.
Đồng thời, tôi nhận ra rằng AI tạo sinh (vào thời điểm đó còn chưa phát triển) đại diện cho tương lai của cách thức các công cụ bảo mật cần phải phát triển, và thực sự, nó đã phát triển với tốc độ chóng mặt. Một số thay đổi quan trọng đã diễn ra đồng thời:
Tăng tốc tác nhân đe dọa: Kẻ tấn công nhanh chóng áp dụng các công nghệ và kỹ thuật mới, hành động nhanh hơn khả năng theo kịp của các giải pháp bảo mật.
Hiện tượng “Vibe Coding”: Thuật ngữ này không tồn tại vào thời điểm đó, nhưng tôi thấy các nhà phát triển ngày càng dựa vào các công cụ mã hóa hỗ trợ AI như Copilot, về cơ bản thay đổi cách thức xây dựng phần mềm và đưa ra những cân nhắc về bảo mật hoàn toàn mới.
Sự phát triển của tấn công chuỗi cung ứng: Sự gia tăng các cuộc tấn công chuỗi cung ứng phần mềm đã tạo ra nhu cầu cấp thiết về các phương pháp tiếp cận mới đối với bảo mật ứng dụng mà các công cụ hiện tại không giải quyết được.
Những cải tiến gia tăng trong cơ cấu doanh nghiệp hiện tại sẽ không đủ để giải quyết những thách thức đang phát triển nhanh chóng này.
Nhận thức cuối cùng của tôi là các mối đe dọa đang xâm nhập nhanh chóng vào mã nguồn – và bảo mật cần phải theo kịp. Chúng tôi cần thoát khỏi những khuôn khổ đã biết và bắt đầu một cuộc đua tốc độ mới.
Sứ mệnh cốt lõi của OX là giúp các nhà phát triển tập trung vào 5% lỗ hổng thực sự quan trọng. Bạn nhận ra điều đó từ khi nào, và nó ảnh hưởng thế nào đến các quyết định về sản phẩm hiện nay?
Từng quản lý các hoạt động quy mô lớn của các nhóm phát triển, tôi đã chứng kiến khối lượng lớn các vấn đề liên quan đến bảo mật có thể lớn đến mức nào. Bạn cần hiểu rõ điều gì quan trọng và điều gì không. Việc xem xét danh sách dài dằng dặc không giúp công ty giảm thiểu rủi ro. Ngược lại, nó gây ra sự thất vọng và thậm chí khiến các công ty không thể giảm thiểu rủi ro vì nó tiêu tốn quá nhiều thời gian và nguồn lực.
Điều này dạy chúng tôi rằng chúng tôi cần giúp các nhà phát triển tập trung vào những gì thực sự quan trọng – và sau đó giải thích cho họ tại sao điều đó lại quan trọng. Sau đó, chúng tôi cần chỉ cho họ cách giải quyết vấn đề một cách dễ dàng, hoặc tốt hơn nữa – giải quyết thay họ – điều này hiện có thể thực hiện được thông qua các công cụ như Đặc vụ OX.
Hiểu biết sâu sắc này đã trở thành nền tảng cho chúng tôi xây dựng công ty, và cũng là kim chỉ nam cho mọi quyết định về sản phẩm của chúng tôi ngày nay. Mỗi tính năng, mỗi năng lực chúng tôi phát triển đều bắt đầu bằng câu hỏi: "Liệu điều này có giúp các nhà phát triển tập trung vào những gì thực sự quan trọng không? Liệu điều này có giảm thiểu rủi ro không?"
Nền tảng này tập trung vào "Chiếu Mã" để lập bản đồ rủi ro trên toàn bộ SDLC. Ông có thể giải thích cách thức hoạt động của công nghệ này và điểm khác biệt của nó so với các công cụ quản lý lỗ hổng khác không?
Về cơ bản, Code Projection là một công nghệ có khả năng phát hiện vấn đề trong mã nguồn và dự đoán trước cách mã nguồn đó sẽ hoạt động khi được đưa lên đám mây. Điều này cho phép bạn giải quyết vấn đề từ rất lâu trước khi chúng được đưa vào vận hành – khi rủi ro đã được phát hiện.
Nó hoạt động dựa trên việc hiểu rằng mỗi đoạn mã đều có một quy trình xây dựng và đưa lên đám mây – CI/CD. Chúng ta có thể đọc mã và diễn giải ý nghĩa của nó. Ví dụ đơn giản – những gì được đưa lên internet rõ ràng có ý nghĩa khác với những gì không được đưa lên.
Điểm khác biệt chính so với các sản phẩm khác là hầu hết các công cụ đều kết thúc công việc với một danh sách dài các vấn đề. Nếu không thể tập trung vào 5% hoặc thậm chí ít hơn các rủi ro thực sự đáng kể, việc lọc qua những rủi ro này sẽ dẫn đến những khung thời gian gần như không liên quan. Bạn cũng không biết nên giao vấn đề cho nhà phát triển nào.
Phương pháp của chúng tôi thay đổi hoàn toàn điều đó – chúng tôi không chỉ xác định vấn đề mà còn cung cấp bối cảnh, thứ tự ưu tiên và quyền sở hữu rõ ràng.
Bạn cung cấp khả năng tích hợp toàn diện giữa các công cụ quét, quản lý bí mật, SBOM, khám phá SaaS, v.v. Một số thách thức kỹ thuật khó khăn nhất trong việc hợp nhất tất cả những yếu tố này thành một trải nghiệm liền mạch cho nhà phát triển là gì?
Vấn đề khó khăn nhất là chuyển đổi dữ liệu thành thông tin chi tiết. Dữ liệu là tất cả những gì bạn vừa đề cập. Nhưng các nhà phát triển cần sự rõ ràng, các điểm chính và lập luận. Giao tiếp tập trung. Làm thế nào để chuyển đổi hàng núi dữ liệu thành thông tin chi tiết có thể hành động - đó là thách thức lớn nhất trong ngành.
Tổng hợp thông tin theo cách kể một câu chuyện mạch lạc và cung cấp các hành động rõ ràng, được ưu tiên mà các nhà phát triển thực sự có thể thực hiện - đây chính là thách thức lớn nhất.
PBOM (Pipeline Bill of Materials - Danh mục Vật liệu Đường ống) là một sáng kiến của OX. Nó khác với SBOM như thế nào, và tại sao nó lại cần thiết cho việc bảo mật chuỗi cung ứng phần mềm hiện đại?
PBOM là khả năng xem xét mọi thứ xảy ra với phần mềm từ khi nó được viết cho đến khi được đưa vào sản xuất. SBOM là một thành phần trong đó – nó xem xét tất cả các gói phần mềm bên trong một ứng dụng.
Để trả lời câu hỏi trước đó – PBOM thực chất là nền tảng cho phép chúng ta chuyển đổi dữ liệu thành thông tin chi tiết, bởi vì nó nhìn nhận một bức tranh tổng thể hơn nhiều – toàn bộ dữ liệu. Nó nắm bắt toàn bộ hành trình và quá trình chuyển đổi của mã, chứ không chỉ các thành phần cuối cùng.
Quan điểm toàn diện này rất cần thiết vì các công cụ bảo mật truyền thống chỉ nhìn thấy kết quả cuối cùng, bỏ qua các hướng tấn công quan trọng như công cụ xây dựng bị xâm phạm, cam kết độc hại hoặc thao túng đường ống xảy ra trong quá trình phát triển và triển khai.
OX vừa ra mắt Agent OX—một kiến trúc đa tác tử mới, trong đó mỗi mô hình AI tập trung vào các loại lỗ hổng bảo mật và ngôn ngữ lập trình cụ thể. Điều gì đã thúc đẩy quyết định thiết kế này, và làm thế nào để đảm bảo các bản sửa lỗi mà nó đề xuất vừa dễ hiểu vừa đáng tin cậy trong thực tế?
Chúng tôi đã tạo ra phương pháp tiếp cận đa tác tử này bằng cách xem xét cách con người phát triển chuyên môn và áp dụng nguyên tắc tương tự vào AI. Để trở thành chuyên gia trong một lĩnh vực nào đó, một nhà phát triển cần phải là chuyên gia về ngôn ngữ, kiến trúc cụ thể và tổ chức cụ thể. Một nhà phát triển đơn lẻ không thể giải quyết tất cả các vấn đề, và theo logic tương tự, một tác nhân AI đơn lẻ cũng không thể đạt đến trình độ chuyên môn đó. Ngoài ra, bạn cần một tác nhân có thể xử lý đảm bảo chất lượng.
Vì vậy, mỗi tác nhân đều phát triển chuyên môn sâu sắc trong lĩnh vực cụ thể của mình, giống như các chuyên gia con người vậy.
Để đảm bảo độ tin cậy và khả năng giải thích, mỗi tác nhân không chỉ đề xuất các bản sửa lỗi mà còn giải thích lý do, trình bày công việc của mình và cho phép các nhà phát triển hiểu chính xác lý do tại sao một giải pháp cụ thể được chọn.
Điều gì đã thúc đẩy anh tập trung vào việc khắc phục sự cố chỉ bằng một cú nhấp chuột ngay trong quy trình làm việc của nhà phát triển? Và làm thế nào anh đảm bảo rằng các nhà phát triển duy trì được quyền kiểm soát và không gặp phải các tác dụng phụ không mong muốn?
Ý tưởng chính là giảm thiểu sự bất tiện và tăng cường các bản sửa lỗi bảo mật. Chúng tôi trao cho các nhà phát triển toàn quyền kiểm soát để xem xét và xác thực bản sửa lỗi được đề xuất trước khi chấp nhận.
Điều quan trọng là "một cú nhấp chuột" không có nghĩa là "tự động" - mà là tinh gọn. Các nhà phát triển có thể thấy chính xác những gì sẽ được thay đổi, hiểu lý do, xem xét giải pháp được đề xuất và sau đó chọn áp dụng chỉ bằng một thao tác. Quyền kiểm soát và ra quyết định hoàn toàn nằm trong tay họ, nhưng chúng tôi loại bỏ công việc thủ công tẻ nhạt trong việc nghiên cứu và triển khai bản sửa lỗi.
Bạn có Microsoft, IBM và SoFi là khách hàng của mình. Những mối quan hệ doanh nghiệp này định hình lộ trình và quy trình phản hồi của bạn cho các công cụ như Agent OX như thế nào?
Chúng tôi làm việc với hàng trăm khách hàng, và hàng chục người trong số họ cởi mở chia sẻ với chúng tôi những thách thức họ gặp phải. Những cuộc thảo luận sâu sắc về lộ trình và mẫu thiết kế này là nền tảng cho khả năng tinh chỉnh giải pháp được đề xuất của chúng tôi. Chúng tôi trân trọng mối quan hệ với khách hàng và coi đó là ưu tiên hàng đầu của công ty, đồng thời là kim chỉ nam cho chúng tôi trong việc thấu hiểu nhu cầu thực tế và tạo ra các giải pháp để giải quyết chúng.
Khi các công cụ bảo mật AI ngày càng trở nên phổ biến, làm thế nào để cân bằng giữa tự động hóa với sự tin tưởng và khả năng kiểm soát của nhà phát triển? Ranh giới giữa hỗ trợ và tự động hóa được phân định như thế nào?
Như chúng ta đã thấy trong các cuộc cách mạng trước, những ai không tham gia sẽ không thể tồn tại. Chúng ta đang bắt đầu thấy các tổ chức mà chúng ta hợp tác đã chuyển toàn bộ nguồn lực sang ứng dụng AI vì họ hiểu rằng chúng ta đang chứng kiến một cuộc cách mạng.
Đây thực sự là những khách hàng hợp tác chặt chẽ nhất của chúng tôi bởi vì họ đang phải đối mặt với một áp lực mới chưa từng có: các nhà phát triển của họ cần phải nhanh chóng ứng dụng các công cụ AI, nhưng họ lại lo ngại về việc mất quyền kiểm soát. Họ thậm chí sẵn sàng chấp nhận rủi ro và tạm thời mất quyền kiểm soát để đạt được lợi thế cạnh tranh, nhưng họ cần chúng tôi giúp họ lấy lại niềm tin. Nhiệm vụ của chúng tôi là cho phép họ đạt được tốc độ cần thiết, đồng thời xây dựng lại niềm tin vào quy trình.
Gần đây, anh đã hoàn tất vòng gọi vốn Series B trị giá 60 triệu đô la. Khoản tài trợ này sẽ thúc đẩy giai đoạn tăng trưởng tiếp theo của OX như thế nào—dù là về mặt công nghệ, đưa sản phẩm ra thị trường hay mở rộng ra quốc tế?
Nguồn tài trợ mới về cơ bản là để mở rộng và cũng sẽ giúp chúng tôi nâng cao năng lực xác định rủi ro bắt nguồn từ mã do AI tạo ra, điều mà chúng tôi hiện đang bắt đầu thấy khi ra mắt Agent OX.
Chúng tôi hiện đang phân tích hơn 100 triệu dòng mã mỗi ngày cho hơn 200 khách hàng trả phí. Khoản tài trợ này giúp chúng tôi mở rộng quy mô tác động trên toàn cầu, đồng thời vẫn tập trung vào những câu hỏi cốt lõi đã luôn dẫn dắt chúng tôi: "Liệu điều này có giúp các nhà phát triển tập trung vào những điều quan trọng không? Liệu điều này có giảm thiểu rủi ro không?"
Cảm ơn bạn về cuộc phỏng vấn tuyệt vời, độc giả muốn tìm hiểu thêm hãy truy cập bảo mật OX.
