Neatsun Ziv, Đồng sáng lập và CEO của OX Security – Series Phỏng vấn

Neatsun Ziv, Đồng sáng lập và CEO của OX Security, là người tiên phong trong việc định nghĩa lại bảo mật chuỗi cung ứng phần mềm cho kỷ nguyên DevSecOps. Trước khi thành lập OX, ông từng là Phó Chủ tịch An ninh mạng tại Check Point, dẫn đầu các sáng kiến toàn cầu và điều phối các phản ứng nhanh chóng đối với các mối đe dọa nổi bật như SolarWinds và NotPetya. Công việc của ông thường đưa ông vào hợp tác trực tiếp với Interpol, các đội CERT quốc gia và các cơ quan thực thi pháp luật khác trong một số sự kiện mạng quan trọng nhất trong thập kỷ qua.

OX Security là một nền tảng bảo mật ứng dụng được thiết kế để cắt giảm tiếng ồn, giúp các tổ chức tập trung vào tỷ lệ nhỏ các rủi ro thực sự quan trọng. Bằng cách phân tích khả năng khai thác, khả năng tiếp cận và tác động kinh doanh, nền tảng này cung cấp ưu tiên dựa trên bằng chứng trên toàn bộ vòng đời phát triển phần mềm. Với phạm vi phủ từ mã đến đám mây, 100+ tích hợp và các quy trình không cần mã, OX nhúng các biện pháp khắc phục được hướng dẫn trực tiếp vào các quy trình làm việc của nhà phát triển, đảm bảo các biện pháp bảo mật vừa hiệu quả vừa không gây cản trở.

Trước khi đồng sáng lập OX Security, bạn đã lãnh đạo các phản ứng sự cố lớn tại Check Point. Điều gì đã khiến bạn quyết định rằng đã đến lúc bắt đầu công ty của riêng mình, và bạn đã nhận thấy sự thiếu hụt nào trong không gian bảo mật ứng dụng?

Làm việc tại Check Point, tôi đã trải nghiệm trực tiếp “Khoảng cách Tốc độ Doanh nghiệp” – các doanh nghiệp bảo mật truyền thống di chuyển với tốc độ chậm hơn. Tôi cũng thấy rằng các đội bảo mật không hiệu quả ở nhiều cách, đặc biệt là khi nói đến việc ưu tiên rủi ro một cách chính xác.

Đồng thời, tôi nhận ra rằng trí tuệ nhân tạo sinh (tại thời điểm đó chưa phát triển) đại diện cho tương lai của cách các công cụ bảo mật cần phát triển, và thực sự, nó di chuyển với tốc độ lớn. Một số thay đổi quan trọng đang xảy ra đồng thời:

Tăng tốc Hành động của Đối tượng Đe dọa: Các đối tượng tấn công đang nhanh chóng áp dụng các công nghệ và kỹ thuật mới, di chuyển nhanh hơn so với các giải pháp bảo mật có thể theo kịp.

Hiện tượng “Lập trình Vibe”: Thuật ngữ này không tồn tại tại thời điểm đó, nhưng tôi thấy các nhà phát triển ngày càng phụ thuộc vào các công cụ mã hóa hỗ trợ AI như Copilot, thay đổi cơ bản cách phần mềm được xây dựng và giới thiệu các xem xét bảo mật hoàn toàn mới.

Sự tiến hóa của Cuộc tấn công Chuỗi Cung ứng: Sự tăng tốc của các cuộc tấn công chuỗi cung ứng phần mềm tạo ra một nhu cầu cấp thiết đối với các phương pháp bảo mật ứng dụng mới mà các công cụ hiện có không giải quyết.

Các cải tiến dần dần trong các cấu trúc doanh nghiệp hiện có sẽ không đủ để giải quyết những thách thức đang phát triển nhanh chóng này.

Sự nhận thức cuối cùng của tôi là các mối đe dọa đang di chuyển nhanh vào mã – và bảo mật cần theo dõi. Chúng tôi cần phá vỡ các khuôn khổ đã biết và bắt đầu chạy trong một cuộc đua mới.

Nhiệm vụ cốt lõi của OX là giúp các nhà phát triển tập trung vào 5% lỗ hổng thực sự quan trọng. Khi nào bạn nhận ra tầm nhìn này, và nó định hình các quyết định sản phẩm như thế nào ngày nay?

Sau khi quản lý các hoạt động phát triển khá lớn, tôi chứng kiến sự áp đảo của khối lượng các vấn đề liên quan đến bảo mật. Bạn cần hiểu những gì quan trọng và những gì không. Việc đi qua các danh sách không kết thúc không giúp công ty tiến gần hơn đến việc giảm thiểu rủi ro. Thay vào đó, nó tạo ra sự thất vọng và thậm chí khiến các công ty rời xa việc giảm thiểu rủi ro vì nó tiêu tốn rất nhiều thời gian và tài nguyên.

Điều này đã dạy cho chúng tôi rằng chúng tôi cần giúp các nhà phát triển tập trung vào những gì thực sự quan trọng – và sau đó giải thích cho họ tại sao nó quan trọng. Sau đó, chúng tôi cần chỉ cho họ cách giải quyết nó một cách dễ dàng, hoặc tốt hơn – giải quyết nó cho họ – điều này hiện có thể thực hiện được thông qua các công cụ như Agent OX.

Tầm nhìn này đã trở thành nền tảng mà chúng tôi xây dựng công ty, và nó định hình tất cả các quyết định sản phẩm của chúng tôi ngày nay. Mỗi tính năng, mỗi khả năng chúng tôi phát triển đều bắt đầu với câu hỏi: “Điều này có giúp các nhà phát triển tập trung vào những gì thực sự quan trọng không? Điều này có giảm thiểu rủi ro không?”

Nền tảng này tập trung vào “Dự đoán Mã” để ánh xạ rủi ro trên toàn bộ vòng đời phát triển phần mềm. Bạn có thể giải thích công nghệ này hoạt động như thế nào và điều gì khiến nó khác biệt so với các công cụ quản lý lỗ hổng khác?

Dự đoán Mã là một công nghệ cơ bản nhìn thấy một vấn đề trong mã và biết trước cách nó sẽ hành xử khi mã đó đạt đến đám mây. Điều này cho phép bạn giải quyết vấn đề từ rất sớm – khi rủi ro vẫn chưa được lộ diện.

Nó hoạt động bằng cách hiểu rằng mỗi mã có một quy trình xây dựng và đưa nó lên đám mây – CI/CD. Chúng tôi có thể đọc mã và giải thích ý nghĩa của nó. Để đưa ra một ví dụ thẳng thắn – những gì được lộ diện trên internet rõ ràng có những ý nghĩa khác so với những gì không.

Sự khác biệt chính so với các sản phẩm khác là hầu hết các công cụ kết thúc công việc của chúng với một danh sách dài các vấn đề. Không có khả năng tập trung vào 5% hoặc thậm chí ít hơn các rủi ro thực sự quan trọng, việc lọc qua những điều này – bạn sẽ kết thúc với các khung thời gian gần như không liên quan. Bạn cũng không biết nên giao nhiệm vụ cho nhà phát triển nào.

Cách tiếp cận của chúng tôi thay đổi điều đó hoàn toàn – chúng tôi không chỉ xác định vấn đề, mà còn cung cấp ngữ cảnh, ưu tiên và quyền sở hữu rõ ràng.

Bạn cung cấp tích hợp đầy đủ trên các công cụ quét, quản lý bí mật, SBOM, khám phá SaaS và nhiều hơn nữa. Những thách thức kỹ thuật khó khăn nhất là gì khi thống nhất tất cả những điều này vào một trải nghiệm nhà phát triển liền mạch?

Vấn đề khó khăn nhất là chuyển đổi dữ liệu thành thông tin. Dữ liệu là tất cả những gì bạn vừa đề cập. Nhưng các nhà phát triển cần sự rõ ràng, điểm chính, và lý do. Truyền đạt tập trung. Làm thế nào để chuyển đổi núi dữ liệu thành những thông tin có thể hành động – đó là thách thức lớn nhất trong ngành.

Tổng hợp thông tin đó theo cách kể một câu chuyện nhất quán và cung cấp hành động rõ ràng, ưu tiên mà các nhà phát triển có thể thực hiện – đó là thách thức lớn nhất.

PBOM (Danh sách Vật liệu Đường ống) là một đổi mới của OX. Nó khác với SBOM như thế nào, và tại sao nó lại quan trọng cho việc bảo mật chuỗi cung ứng phần mềm hiện đại?

PBOM là khả năng nhìn vào mọi thứ xảy ra với phần mềm từ khi nó được viết cho đến khi nó được đưa vào sản xuất. SBOM là một thành phần trong đó – nó nhìn vào tất cả các gói phần mềm bên trong một ứng dụng.

Để trả lời câu hỏi trước đó – PBOM thực sự là nền tảng cho phép chúng tôi chuyển đổi dữ liệu thành thông tin, vì nó nhìn vào một bức tranh rộng lớn hơn – tất cả dữ liệu. Nó nắm bắt toàn bộ hành trình và biến đổi của mã, không chỉ các thành phần cuối cùng.

Tầm nhìn toàn diện này là điều cần thiết vì các công cụ bảo mật truyền thống chỉ nhìn thấy kết quả cuối cùng, bỏ qua các vector tấn công quan trọng như các công cụ xây dựng bị xâm phạm, các cam kết độc hại hoặc việc thao túng đường ống xảy ra trong quá trình phát triển và triển khai.

OX vừa ra mắt Agent OX – một kiến trúc đa tác nhân mới nơi mỗi mô hình AI tập trung vào các loại lỗ hổng và ngôn ngữ lập trình cụ thể. Điều gì đã thúc đẩy quyết định thiết kế này, và làm thế nào bạn đảm bảo rằng các bản sửa lỗi nó đề xuất là cả giải thích được và đáng tin cậy trong thực tế?

Chúng tôi tạo ra cách tiếp cận đa tác nhân này bằng cách nhìn vào cách con người phát triển chuyên môn và áp dụng nguyên tắc đó cho AI. Để trở thành một chuyên gia trong một lĩnh vực nào đó, một nhà phát triển cần phải là chuyên gia trong ngôn ngữ, kiến trúc cụ thể và tổ chức cụ thể. Một nhà phát triển không thể giải quyết tất cả các vấn đề, và theo cùng logic, một tác nhân AI cũng không thể đạt đến mức độ chuyên môn đó. Ngoài ra, bạn muốn một tác nhân có thể xử lý đảm bảo chất lượng.

Vì vậy, mỗi tác nhân phát triển chuyên môn sâu trong lĩnh vực cụ thể của nó, giống như các chuyên gia con người.

Về tính đáng tin cậy và giải thích được, mỗi tác nhân không chỉ đề xuất các bản sửa lỗi mà còn giải thích lý do, hiển thị công việc của nó và cho phép các nhà phát triển hiểu rõ tại sao một giải pháp cụ thể được chọn.

Điều gì đã khiến bạn tập trung vào việc khắc phục một lần nhấp trực tiếp trong các quy trình làm việc của nhà phát triển? Và làm thế nào bạn đảm bảo rằng các nhà phát triển vẫn giữ quyền kiểm soát và không gặp phải các tác dụng phụ không mong muốn?

Ý tưởng chính là giảm thiểu sự phức tạp và tăng cường bảo mật. Chúng tôi cung cấp cho các nhà phát triển quyền kiểm soát đầy đủ để xem xét và xác nhận bản sửa lỗi được đề xuất trước khi chấp nhận.

Chìa khóa là “một lần nhấp” không có nghĩa là “tự động” – nó có nghĩa là được tối ưu hóa. Các nhà phát triển có thể xem chính xác những gì sẽ được thay đổi, hiểu tại sao, xem xét giải pháp được đề xuất và sau đó chọn áp dụng nó với một hành động duy nhất. Quyền kiểm soát và quyết định vẫn hoàn toàn nằm trong tay họ, nhưng chúng tôi loại bỏ công việc thủ công tốn thời gian của việc nghiên cứu và thực hiện bản sửa lỗi.

Bạn có Microsoft, IBM và SoFi trong số khách hàng của mình. Những mối quan hệ doanh nghiệp này định hình con đường và quá trình phản hồi cho các công cụ như Agent OX như thế nào?

Chúng tôi làm việc với hàng trăm khách hàng, và hàng chục trong số họ chia sẻ với chúng tôi những thách thức họ gặp phải. Những cuộc thảo luận sâu về đường lối và mẫu thiết kế là nền tảng của khả năng tinh chỉnh giải pháp được đề xuất của chúng tôi. Chúng tôi đánh giá cao mối quan hệ với khách hàng của mình và coi đó là ưu tiên hàng đầu cho chúng tôi như một công ty, và điều đó hướng dẫn chúng tôi khi chúng tôi hiểu nhu cầu thực tế và tạo ra các giải pháp để giải quyết chúng.

Khi các công cụ bảo mật AI trở nên phổ biến hơn, bạn làm thế nào để cân bằng tự động hóa với sự tin cậy và kiểm soát của nhà phát triển? Bạn vẽ ranh giới giữa hỗ trợ và tự chủ ở đâu?

Như chúng ta đã thấy trong các cuộc cách mạng trước đó, những người không tham gia vào xu hướng đó sẽ không tồn tại. Chúng tôi đang bắt đầu thấy các tổ chức chúng tôi hợp tác có sự thay đổi tất cả tài nguyên của họ sang việc áp dụng AI vì họ hiểu rằng chúng tôi đang chứng kiến một cuộc cách mạng.

Đây thực sự là những khách hàng hợp tác nhất của chúng tôi vì họ đang đối mặt với một căng thẳng chưa từng có: các nhà phát triển của họ cần di chuyển nhanh với các công cụ AI, nhưng họ lo lắng về việc mất kiểm soát. Họ thậm chí sẵn sàng chấp nhận rủi ro và mất kiểm soát tạm thời để có được lợi thế cạnh tranh, nhưng họ cần chúng tôi giúp họ lấy lại niềm tin. Công việc của chúng tôi là cho phép họ có tốc độ họ cần, trong khi xây dựng lại sự tự tin trong quá trình.

Bạn vừa kết thúc một vòng tài trợ Series B trị giá 60 triệu đô la. Vòng tài trợ này sẽ thúc đẩy giai đoạn tăng trưởng tiếp theo của OX như thế nào – cho dù về mặt công nghệ, tiếp thị, hay mở rộng quốc tế?

Vòng tài trợ mới này cơ bản là về mở rộng, và cũng sẽ giúp chúng tôi tăng cường khả năng trong việc xác định rủi ro có nguồn gốc từ mã được tạo bởi AI, điều mà chúng tôi đang bắt đầu thấy với việc ra mắt Agent OX.

Chúng tôi đã phân tích hơn 100 triệu dòng mã mỗi ngày cho hơn 200 khách hàng trả phí. Vòng tài trợ này sẽ cho phép chúng tôi mở rộng tác động đó trên toàn cầu trong khi vẫn duy trì sự tập trung vào các câu hỏi cốt lõi đã luôn hướng dẫn chúng tôi: “Điều này có giúp các nhà phát triển tập trung vào những gì quan trọng không? Điều này có giảm thiểu rủi ro không?”

Cảm ơn bạn vì cuộc phỏng vấn tuyệt vời, những người đọc muốn tìm hiểu thêm nên truy cập OX Security.